Anzeige

Anzeige

VERANSTALTUNGEN

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

ACMP Competence Days Stuttgart
18.09.19 - 18.09.19
In simINN Flugsimulator, Stuttgart

SD-WAN im Alltag – sichere Vernetzung mit Peplink
18.09.19 - 18.09.19
In München

Be CIO Summit
26.09.19 - 26.09.19
In Design Offices Frankfurt Wiesenhüttenplatz, Frankfurt am Main

Anzeige

Anzeige

Cloud Bedrohung

Cloud-Umgebungen verändern grundlegende Annahmen über die Erkennung und Reaktion auf Cyberbedrohungen. Was kann man dagegen tun?

Der dynamische Bestand an Cloud-Workloads hat dazu geführt, dass Systeme heute in Sekundenschnelle „kommen und gehen“. Ein starker Fokus auf die Automatisierung verstärkt das Potenzial für menschliche Fehler in Systemkonfigurationen. Die gemeinsame Verantwortung zusammen mit dem Cloud Service Provider (CSP) schafft potenzielle Lücken bei der Erkennung von Bedrohungen im Angriffslebenszyklus. Alles in der Cloud verlagert sich auf eine API-Datenzugriffsmethode, während traditionelle Ansätze zur Überwachung des Verkehrsflusses nicht mehr vorhanden sind.

Neben der Erkennung und Reaktion auf Bedrohungen ist das Innovationstempo in der Cloud eine Herausforderung für Unternehmen. Die explosive Zunahme von Cloud-Diensten bedeutet, dass das Modell der äußeren Netzwerkgrenze, des Perimeters, und dessen Absicherung obsolet geworden ist. Das Wachstum neuer Infrastruktur- und Bereitstellungswerkzeuge führt zu neuartigen Umgebungen mit ebenso neuen Sicherheitsmodellen und Angriffsflächen. Schließlich wird der bestehende Mangel an Sicherheitskompetenz mit allen neu veröffentlichten Funktionen und Services nochmals verstärkt.

Am kritischsten ist, dass die Einführung von Mehrfachzugriffs- und Managementfunktionen eine Variabilität schafft, die ein erhebliches Risiko für Cloud-Bereitstellungen darstellt. Es ist schwierig, administrative Aktionen zu verwalten, zu verfolgen und zu auditieren, wenn die Benutzer von innerhalb oder außerhalb der Unternehmensumgebung auf Cloud-Ressourcen zugreifen können. Der Zugriff auf einen Server erforderte bislang die Authentifizierung am Unternehmensperimeter. Die Überwachung konnte innerhalb des privaten Netzwerks implementiert werden, um den administrativen Zugriff zu verfolgen und zu überwachen.

Angriff auf den Lebenszyklus in der Cloud

Angreifer haben nun zwei Angriffsmöglichkeiten, um Cloud-Ressourcen zu kompromittieren. Die erste Strategie setzt auf herkömmliche Mittel, d.h. den Zugriff auf Systeme innerhalb der Unternehmensnetzwerkgrenze, gefolgt von Aufklärung und Privilegien-Eskalation auf ein Administratorkonto, das Zugriff auf Cloud-Ressourcen hat. Die zweite Möglichkeit besteht darin, alle oben genannten Punkte zu umgehen, indem man einfach die Zugangsdaten eines Administratorkontos kompromittiert, das über Remote-Administrationsfunktionen oder CSP-Administrationszugriff verfügt.

Diese Variabilität in den administrativen Zugriffsmodellen bedeutet, dass sich die Angriffsfläche mit neuen Sicherheitsbedrohungen verändert. Das Risiko geht nun von einem ungeregelten Zugriff auf Endpunkte zur Verwaltung von Cloud-Services aus. Nicht verwaltete Geräte, die für die Entwicklung und Verwaltung von Infrastrukturen verwendet werden, setzen Unternehmen Bedrohungsvektoren wie Web-Browsing und E-Mail aus. Wenn der zentrale Administrations-Account kompromittiert wurde, muss der Angreifer sich keine Berechtigungen verschaffen (Privilegien-Eskalation) oder den Zugriff auf das Unternehmensnetzwerk aufrechterhalten, da er über das Admin-Konto all das und noch mehr tun kann. Wie stellt das Unternehmen eine angemessene Überwachung des Missbrauchs von CSP-Administrationsrechten sicher?

Unternehmen müssen nach Angaben von Vectra überprüfen, wie mit der Systemadministration und dem Besitz des Cloud-Kontos umgegangen wird. Dies bedeutet:

  • Wie viele Personen verwalten das Hauptkonto?
  • Wie werden Passwörter und Authentifizierung durchgeführt?
  • Wer überprüft die Sicherheit dieses wichtigen Kontos?

Wer ist schuld, wenn es ein Sicherheitsproblem gibt? Der CSP oder das Unternehmen als Cloud-Mieter? Zunächst scheint es vom Problem abhängig zu sein, aber einige CSPs wollen diese Verantwortung auf die Kunden übertragen. Am wichtigsten ist die Frage: Wie überwacht ein Unternehmen das Vorhandensein und den Missbrauch von administrativen Zugangsdaten? Fehlende Transparenz der Backend-CSP-Management-Infrastruktur bedeutet, dass Cloud-Kunden den Missbrauch des CSP-Zugriffs in ihren eigenen Umgebungen erkennen müssen, wenn dieser als Mittel eingesetzt wird, um in die Unternehmensumgebung einzudringen.

Die wichtigsten Cloud-Sicherheitsbedrohungen

Im Jahr 2017 führte die Cloud Security Alliance (CSA) eine Umfrage durch, um professionelle Meinungen darüber sammeln, was die dringlichsten Sicherheitsprobleme im Cloud-Computing sind. Von den zwölf identifizierten Bedenken betrafen fünf die Verwaltung von Zugangsdaten und Methoden zur Gefährdung dieser Zugangsdaten, um Zugang zu Cloud-Umgebungen für böswillige Zwecke zu erhalten.

Diese fünf Umfrageergebnisse sind:

1. Unzureichende Identitäts-, Anmelde- und Zugriffsverwaltung – Fehlende skalierbare Systeme für das Identitätszugriffsmanagement, fehlende Multifaktor-Authentifizierung, schwache Passwörter und fehlende automatische Rotation von kryptografischen Schlüsseln, Passwörtern und Zertifikaten.

2. Unsichere Schnittstellen und APIs – Von der Authentifizierung und Zugriffskontrolle bis hin zur Verschlüsselung und Aktivitätsüberwachung müssen diese Schnittstellen so konzipiert sein, dass sie sowohl vor versehentlichen als auch vor bösartigen Versuchen zur Umgehung von Richtlinien schützen.

3. Account-Hijacking – Angreifer können Benutzeraktivitäten und -transaktionen abhören, Daten manipulieren, gefälschte Informationen zurückgeben und Clients auf illegale Websites umleiten.

4. Böswillige Insider – Ein aktueller oder ehemaliger Mitarbeiter, Auftragnehmer oder anderer Geschäftspartner, der Zugang zu den Netzwerken, Systemen oder Daten eines Unternehmens hat oder hatte und diesen Zugang absichtlich überwunden oder missbraucht hat, in einer Weise, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen oder Informationssysteme des Unternehmens negativ beeinflusst.

5. Unzureichende Sorgfaltspflicht – Die Nichterfüllung der Sorgfaltspflicht setzt ein Unternehmen einer Vielzahl von wirtschaftlichen, finanziellen, technischen, rechtlichen und Compliance-Risiken aus, die den Geschäftserfolg gefährden.

Andreas Müller, Regional Sales Director DACH
Andreas Müller
Regional Sales Director DACH, Vectra
Andreas Müller ist Regional Sales Director für die DACH-Region bei Vectra. Er verfügt über mehr als 15 Jahre Vertriebserfahrung im Cybersicherheitsmarkt. In früheren Funktionen leitete er den Vertrieb bei Check Point Software und zuvor bei Ivanti, ehemals Lumension, in der Region. 
GRID LIST
Cloud Security

Tipps für mehr Security in der Public Cloud

Sorgen um die Datensicherheit in der Public Cloud halten sich hartnäckig. Eine Sophos…
Prävention, Angriffserkennung und Threat Hunting

Neue Container- und Cloud-native Workflow-Protection

Eine Plattformerweiterung bietet Prävention, Angriffserkennung und Threat Hunting für…
KI Cyber Security

KI spielt immer wichtigere Rolle in der Cloud-Sicherheitsstrategie

Die Cloud erfreut sich unter Firmen immer größerer Beliebtheit. Mittlerweile nutzen sie…
Cloud-Security

Ab in die Cloud? Aber sicher! Tipps für lückenlose Cloud-Security

Die Cloud-Technologie hat in den vergangenen Jahren nicht nur den IT-Markt, sondern auch…
Hacker Cloud

Einblicke in das Verhalten von Hackern in Cloud-Umgebungen

Virtualisierte Cloud-Umgebungen, die von Cloud-Service-Providern (CSPs) unterstützt…
Hacker im binären Regen

Guideline Cloud Security

Die Ansprüche an vernetztes Arbeiten steigen: Mitarbeiter nutzen verschiedene…