Um die globalen Auswirkungen von COVID-19 auf die Sicherheitslage von Unternehmen zu verstehen, hat das Cloud Threat Intelligence-Team von Palo Alto Networks, Unit 42, eine Untersuchung durchgeführt.

Die Experten für IT-Sicherheit analysierte die Daten von Hunderten von Cloud-Accounts auf der ganzen Welt zwischen Oktober 2019 und Februar 2021, also vor und nach Ausbruch der Pandemie.

Die Untersuchung zeigt, dass Cloud-Sicherheitsvorfälle im zweiten Quartal 2020 (April bis Juni) um erstaunliche 188 Prozent zugenommen haben. Palo Alto Networks hat festgestellt, dass Unternehmen als Reaktion auf die Pandemie zwar schnell mehr Workloads in die Cloud verlagert haben, aber viele Monate später Schwierigkeiten hatten, die Cloud-Sicherheit zu automatisieren und Cloud-Risiken zu mindern. Obwohl Infrastructure as Code (IaC) den DevOps- und Sicherheitsteams einen vorhersehbaren Weg zur Durchsetzung von Sicherheitsstandards bietet, wird diese leistungsstarke Option weiterhin nicht genutzt.

 

Der Bericht zur Untersuchung verdeutlicht den Umfang der Auswirkungen von COVID-19 auf die Cloud-Bedrohungslandschaft und erklärt, welche Arten von Risiken in bestimmten Regionen und Branchen am häufigsten auftreten. Außerdem zeigen die IT-Sicherhetsprofis Maßnahmen auf, die Unternehmen ergreifen können, um die mit ihren Cloud-Workloads verbundenen Sicherheitsrisiken zu reduzieren.

 

Kritische Branchen erleiden einen Anstieg der Sicherheitsvorfälle

 

Unternehmen erlebten nach dem Ausbruch der Pandemie eine starke Ausweitung der Cloud-Workload-Implementierungen, mussten aber auch einen Anstieg der Cloud-Sicherheitsvorfälle hinnehmen. Auffällig ist, dass Cloud-Sicherheitsvorfälle im Einzelhandel, in der produzierenden Industrie und in Behörden um 402 Prozent, 230 Prozent bzw. 205 Prozent gestiegen sind. Dieser Trend ist nicht überraschend, da diese Branchen zu denjenigen gehörten, die angesichts der Pandemie dem größten Anpassungs- und Skalierungsdruck ausgesetzt waren: der Einzelhandel im Bereich der Grundversorgung, die Fertigungsbranche und Regierungsbehörden im Bereich der COVID-19-Versorgung und -Hilfe.

 

Cryptojacking in der Cloud ist auf dem Rückzug

 

Während die Pandemie wütete, gewannen Kryptowährungen wie Bitcoin (BTC), Ethereum (ETH) und Monero (XMR) an Popularität und Marktwert. Trotzdem ist Cryptojacking tendenziell rückläufig: Von Dezember 2020 bis Februar 2021 zeigten nur 17 Prozent der Unternehmen mit Cloud-Infrastruktur Anzeichen für diese Aktivität, verglichen mit 23 Prozent von Juli bis September 2020. Dies ist der erste verzeichnete Rückgang, seit Unit 42 im Jahr 2018 begonnen hat, Cryptojacking-Trends zu beobachten. Unternehmen scheinen Cryptojacking proaktiver zu blockieren. Dies kann effektiv durch Workload-Runtime-Schutzmaßnahmen geschehen, die die Fähigkeit von Angreifern, bösartige Cryptomining-Software unbemerkt in Unternehmens-Cloud-Umgebungen auszuführen, abschwächen.

 

Sensible Daten in der Cloud bleiben öffentlich zugänglich

 

Die Ergebnisse der Studie zeigen, dass 30 Prozent der Unternehmen sensible Inhalte im Internet preisgeben, wie etwa personenbezogene Daten, geistiges Eigentum sowie Gesundheits- und Finanzdaten. Jeder, der die URLs kennt oder erraten kann, kann auf diese Daten zugreifen. Wenn diese Daten direkt im Internet veröffentlicht werden, sind Unternehmen einem erheblichen Risiko ausgesetzt, das mit unbefugtem Zugriff und Verstößen gegen gesetzliche Vorschriften verbunden ist.

Dieser Grad der Gefährdung deutet darauf hin, dass Unternehmen weiterhin Schwierigkeiten haben, angemessene Zugriffskontrollen für die Hunderte von Datenspeicher-Buckets durchzusetzen, die in der Cloud betrieben werden können. Dies gilt insbesondere, wenn diese Buckets über mehrere Cloud-Anbieter und Konten verteilt sind.

 

Fazit und Empfehlungen

 

Die wichtigste Erkenntnis aus den Daten der Studie ist eindeutig: Unternehmen haben es versäumt, in die Cloud-Governance und automatisierte Sicherheitskontrollen zu investieren, die notwendig sind, um ihre Workloads bei der Verlagerung in die Cloud zu schützen. Im Gegenzug haben sie ernsthafte Geschäftsrisiken geschaffen. So haben viele Unternehmen unverschlüsselte sensible Daten dem Internet ausgesetzt und Datenklau begünstigt, indem sie unsichere Ports offenließen.

Die Forscher von Unit 42 empfehlen insbesondere, sich auf mehrere strategische Bereiche der Cloud-Sicherheit zu konzentrieren:

 

  1. Bewusstseinsbildung und tiefe Cloud-Transparenz: Der erste Schritt zur Vereinfachung von Cloud-Sicherheit und Compliance besteht darin, zu verstehen, wie Entwickler und Geschäftsteams die Cloud heute nutzen. Das bedeutet, sich einen Überblick darüber zu verschaffen, was in den Cloud-Umgebungen passiert, und zwar bis hinunter zu den API- und Workload-Ebenen.
  2. Sicherheitsleitplanken setzen: Welche Fehlkonfigurationen sollte es in der eigenen Cloud-Umgebung niemals geben? Ein Beispiel wäre eine Datenbank, die direkten Datenverkehr aus dem Internet erhält. Obwohl dies eine „worst practice“ ist, hat die Bedrohungsforschung von Unit 42 gezeigt, dass diese Fehlkonfiguration in 28 Prozent der Cloud-Umgebungen weltweit existiert. Wenn solche Fehlkonfigurationen auftauchen, sollten Security Guardrails, also Sicherheitsleitplanken, sie automatisch korrigieren. Wenn nicht bereits im Einsatz, ist die Verwendung von IaC-Templates als weitere Möglichkeit zur Durchsetzung von Security Guardrails in Betracht zu ziehen. Dabei ist darauf zu achten, diese Templates auf häufige Sicherheitsfehlkonfigurationen zu überprüfen.
  3. Standards einführen und durchsetzen: Es ist extrem schwierig, etwas zu automatisieren, was nicht standardisiert wurde. Viele Teams reden von Automatisierung, ohne einen Sicherheitsstandard zu haben. Unternehmen müssen nicht bei null anfangen. Das Center for Internet Security (CIS) verfügt über Benchmarks für alle wichtigen Cloud-Plattformen. Unternehmen sollten versuchen, diese Standards durch den Einsatz von IaC zu automatisieren und zu kodifizieren.
  4. Schulung und Einstellung von Sicherheitsingenieuren mit Programmierpraxis: Im Gegensatz zu den meisten klassischen Rechenzentren werden Public-Cloud-Umgebungen durch APIs gesteuert. Ein erfolgreiches Risikomanagement in der Cloud erfordert, dass Sicherheitsteams in der Lage sind, diese APIs zu nutzen, um die Sicherheit von Workloads in großem Umfang zu verwalten. APIs lassen sich nur schwer nutzen, wenn Unternehmen in ihrem Sicherheitsteam keine Fachkräfte haben, die wissen, wie man programmiert und Sicherheitsprozesse als Teil der CI/CD-Pipeline automatisiert.
  5. Sicherheit in DevOps einbetten: Unternehmen sollten klären, wer, was, wann, wo und wie Code in die Cloud überträgt. Sobald dies geschehen ist, sollte es das Ziel sein, die am wenigsten störenden Integrationspunkte für Sicherheitsprozesse und -tools in ihrer CI/CD-Pipeline zu finden. In dieser Hinsicht ist die frühe Zustimmung der DevOps-Teams entscheidend. Von dort aus sollten Unternehmen daran arbeiten, die menschliche Interaktion im Laufe der Zeit zu minimieren, indem sie so viele Vorgänge wie möglich automatisieren.

Den kompletten Report inkl. Schaubilder und weitere Details finden Sie zum Download:
www.paloaltonetworks.com/prisma/unit42-cloud-threat-research-1h21