Erkennung von Cyber-Bedrohungen in der Cloud

Cloud-Umgebungen verändern grundlegende Annahmen über die Erkennung und Reaktion auf Cyberbedrohungen. Was kann man dagegen tun?

Der dynamische Bestand an Cloud-Workloads hat dazu geführt, dass Systeme heute in Sekundenschnelle „kommen und gehen“. Ein starker Fokus auf die Automatisierung verstärkt das Potenzial für menschliche Fehler in Systemkonfigurationen. Die gemeinsame Verantwortung zusammen mit dem Cloud Service Provider (CSP) schafft potenzielle Lücken bei der Erkennung von Bedrohungen im Angriffslebenszyklus. Alles in der Cloud verlagert sich auf eine API-Datenzugriffsmethode, während traditionelle Ansätze zur Überwachung des Verkehrsflusses nicht mehr vorhanden sind.

Anzeige

Neben der Erkennung und Reaktion auf Bedrohungen ist das Innovationstempo in der Cloud eine Herausforderung für Unternehmen. Die explosive Zunahme von Cloud-Diensten bedeutet, dass das Modell der äußeren Netzwerkgrenze, des Perimeters, und dessen Absicherung obsolet geworden ist. Das Wachstum neuer Infrastruktur- und Bereitstellungswerkzeuge führt zu neuartigen Umgebungen mit ebenso neuen Sicherheitsmodellen und Angriffsflächen. Schließlich wird der bestehende Mangel an Sicherheitskompetenz mit allen neu veröffentlichten Funktionen und Services nochmals verstärkt.

Am kritischsten ist, dass die Einführung von Mehrfachzugriffs- und Managementfunktionen eine Variabilität schafft, die ein erhebliches Risiko für Cloud-Bereitstellungen darstellt. Es ist schwierig, administrative Aktionen zu verwalten, zu verfolgen und zu auditieren, wenn die Benutzer von innerhalb oder außerhalb der Unternehmensumgebung auf Cloud-Ressourcen zugreifen können. Der Zugriff auf einen Server erforderte bislang die Authentifizierung am Unternehmensperimeter. Die Überwachung konnte innerhalb des privaten Netzwerks implementiert werden, um den administrativen Zugriff zu verfolgen und zu überwachen.

Angriff auf den Lebenszyklus in der Cloud

Angreifer haben nun zwei Angriffsmöglichkeiten, um Cloud-Ressourcen zu kompromittieren. Die erste Strategie setzt auf herkömmliche Mittel, d.h. den Zugriff auf Systeme innerhalb der Unternehmensnetzwerkgrenze, gefolgt von Aufklärung und Privilegien-Eskalation auf ein Administratorkonto, das Zugriff auf Cloud-Ressourcen hat. Die zweite Möglichkeit besteht darin, alle oben genannten Punkte zu umgehen, indem man einfach die Zugangsdaten eines Administratorkontos kompromittiert, das über Remote-Administrationsfunktionen oder CSP-Administrationszugriff verfügt.

Diese Variabilität in den administrativen Zugriffsmodellen bedeutet, dass sich die Angriffsfläche mit neuen Sicherheitsbedrohungen verändert. Das Risiko geht nun von einem ungeregelten Zugriff auf Endpunkte zur Verwaltung von Cloud-Services aus. Nicht verwaltete Geräte, die für die Entwicklung und Verwaltung von Infrastrukturen verwendet werden, setzen Unternehmen Bedrohungsvektoren wie Web-Browsing und E-Mail aus. Wenn der zentrale Administrations-Account kompromittiert wurde, muss der Angreifer sich keine Berechtigungen verschaffen (Privilegien-Eskalation) oder den Zugriff auf das Unternehmensnetzwerk aufrechterhalten, da er über das Admin-Konto all das und noch mehr tun kann. Wie stellt das Unternehmen eine angemessene Überwachung des Missbrauchs von CSP-Administrationsrechten sicher?

Unternehmen müssen nach Angaben von Vectra überprüfen, wie mit der Systemadministration und dem Besitz des Cloud-Kontos umgegangen wird. Dies bedeutet:

  • Wie viele Personen verwalten das Hauptkonto?
  • Wie werden Passwörter und Authentifizierung durchgeführt?
  • Wer überprüft die Sicherheit dieses wichtigen Kontos?

Wer ist schuld, wenn es ein Sicherheitsproblem gibt? Der CSP oder das Unternehmen als Cloud-Mieter? Zunächst scheint es vom Problem abhängig zu sein, aber einige CSPs wollen diese Verantwortung auf die Kunden übertragen. Am wichtigsten ist die Frage: Wie überwacht ein Unternehmen das Vorhandensein und den Missbrauch von administrativen Zugangsdaten? Fehlende Transparenz der Backend-CSP-Management-Infrastruktur bedeutet, dass Cloud-Kunden den Missbrauch des CSP-Zugriffs in ihren eigenen Umgebungen erkennen müssen, wenn dieser als Mittel eingesetzt wird, um in die Unternehmensumgebung einzudringen.

Die wichtigsten Cloud-Sicherheitsbedrohungen

Im Jahr 2017 führte die Cloud Security Alliance (CSA) eine Umfrage durch, um professionelle Meinungen darüber sammeln, was die dringlichsten Sicherheitsprobleme im Cloud-Computing sind. Von den zwölf identifizierten Bedenken betrafen fünf die Verwaltung von Zugangsdaten und Methoden zur Gefährdung dieser Zugangsdaten, um Zugang zu Cloud-Umgebungen für böswillige Zwecke zu erhalten.

Diese fünf Umfrageergebnisse sind:

1. Unzureichende Identitäts-, Anmelde- und Zugriffsverwaltung – Fehlende skalierbare Systeme für das Identitätszugriffsmanagement, fehlende Multifaktor-Authentifizierung, schwache Passwörter und fehlende automatische Rotation von kryptografischen Schlüsseln, Passwörtern und Zertifikaten.

2. Unsichere Schnittstellen und APIs – Von der Authentifizierung und Zugriffskontrolle bis hin zur Verschlüsselung und Aktivitätsüberwachung müssen diese Schnittstellen so konzipiert sein, dass sie sowohl vor versehentlichen als auch vor bösartigen Versuchen zur Umgehung von Richtlinien schützen.

3. Account-Hijacking – Angreifer können Benutzeraktivitäten und -transaktionen abhören, Daten manipulieren, gefälschte Informationen zurückgeben und Clients auf illegale Websites umleiten.

4. Böswillige Insider – Ein aktueller oder ehemaliger Mitarbeiter, Auftragnehmer oder anderer Geschäftspartner, der Zugang zu den Netzwerken, Systemen oder Daten eines Unternehmens hat oder hatte und diesen Zugang absichtlich überwunden oder missbraucht hat, in einer Weise, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen oder Informationssysteme des Unternehmens negativ beeinflusst.

5. Unzureichende Sorgfaltspflicht – Die Nichterfüllung der Sorgfaltspflicht setzt ein Unternehmen einer Vielzahl von wirtschaftlichen, finanziellen, technischen, rechtlichen und Compliance-Risiken aus, die den Geschäftserfolg gefährden.

Müller Andreas

Vectra -

Regional Sales Director DACH

Andreas Müller ist Regional Sales Director für die DACH-Region bei Vectra. Er verfügt über mehr als 15 Jahre Vertriebserfahrung im Cybersicherheitsmarkt. In früheren Funktionen leitete er den Vertrieb bei Check Point Software und zuvor bei Ivanti, ehemals Lumension, in der DACH Region. 
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.