Der hochdynamische Bestand an Cloud-Workloads hat dazu geführt, dass IT-Systeme heute in Sekundenschnelle „kommen und gehen“. Ein starker Fokus auf die Automatisierung verstärkt das Potenzial für menschliche Fehler in Systemkonfigurationen. Die gemeinsame Verantwortung der Anwender zusammen mit dem Cloud Service Provider (CSP) schafft potenzielle Lücken bei der Erkennung von. Alles in der Cloud verlagert sich auf eine API-Datenzugriffsmethode, während traditionelle Ansätze zur Überwachung des Verkehrsflusses nicht mehr vorhanden sind.

Neben der Erkennung von und der Reaktion auf Bedrohungen ist das Innovationstempo in der Cloud nach Ansicht von Vectra eine große Herausforderung für Unternehmen. Die explosive Zunahme von Cloud-Diensten bedeutet, dass das Modell der äußeren Netzwerkgrenze – des Perimeters – und dessen Absicherung obsolet geworden sind. Die Verfügbarkeit neuer Infrastruktur- und Bereitstellungswerkzeuge führt zu neuartigen Umgebungen mit ebenso neuen Angriffsflächen, die entsprechend neue Sicherheitsmodelle notwendig machen. Schließlich wird der bestehende Mangel an Sicherheitskompetenz mit allen neu veröffentlichten Funktionen und Services nochmals verstärkt.

Am kritischsten ist, so Vectra, dass die Einführung von Mehrfachzugriffs- und Managementfunktionen eine Variabilität schafft, die ein erhebliches Risiko für Cloud-Bereitstellungen darstellt. Es ist schwierig, administrative Aktionen zu verwalten, zu verfolgen und zu auditieren, wenn die Benutzer von innerhalb oder außerhalb der Unternehmensumgebung auf Cloud-Ressourcen zugreifen können. Der Zugriff auf einen Server erforderte bislang die Authentifizierung am Unternehmensperimeter. Die Überwachung konnte innerhalb des privaten Netzwerks implementiert werden, um den administrativen Zugriff zu verfolgen und zu überwachen.

Angreifer haben zwei Möglichkeiten, um Cloud-Ressourcen zu kompromittieren. Die erste Strategie setzt auf herkömmliche Mittel, das heißt, den Zugriff auf Systeme innerhalb der Unternehmensnetzwerkgrenze, gefolgt von Ausspähung und Privilegien-Eskalation auf ein Administratorkonto, das Zugriff auf Cloud-Ressourcen hat. Die zweite Möglichkeit besteht darin, alle oben genannten Punkte zu umgehen, indem man die Zugangsdaten eines Administratorkontos kompromittiert, das über Remote-Administrationsfunktionen oder CSP-Administrationszugriff verfügt.

Diese Variabilität in den administrativen Zugriffsmodellen bedeutet, dass die Angriffsfläche größer wird und neue Sicherheitsbedrohungen entstehen. Eines der größten Risiken geht nun von einem ungeregelten Zugriff auf Endpunkte zur Verwaltung von Cloud-Services aus. Nicht verwaltete Geräte, die für die Entwicklung und Verwaltung von Infrastrukturen verwendet werden, setzen Unternehmen Bedrohungsvektoren wie Web-Browsing und E-Mail aus.

Wenn der zentrale Administrations-Account kompromittiert wurde, muss der Angreifer sich keine Berechtigungen verschaffen (Privilegien-Eskalation) oder den Zugriff auf das Unternehmensnetzwerk aufrechterhalten, da er über das Admin-Konto all das und noch mehr tun kann. Wie also können Unternehmen eine angemessene Überwachung von CSP-Administrationsrechten sicherstellen und sich gegen deren Missbrauch schützen?

Unternehmen müssen nach Angaben von Vectra überprüfen, wie mit der Systemadministration und dem Besitz des Cloud-Kontos umgegangen wird:

  1. Wie viele Personen verwalten das Hauptkonto?
  2. Wie werden Passwörter und Authentifizierung durchgeführt?
  3. Wer überprüft die Sicherheit dieses wichtigen Kontos?

Wer ist schuld, wenn es ein Sicherheitsproblem gibt? Der CSP oder das Unternehmen als Cloud-Mieter? Zunächst scheint es vom Problem abhängig zu sein, aber einige CSPs wollen diese Verantwortung auf die Kunden übertragen.

Am wichtigsten ist nach Ansicht von Vectra, wie Unternehmen dem Missbrauch von administrativen Zugangsdaten vorbeugen wollen? Fehlende Transparenz der Backend-CSP-Management-Infrastruktur bedeutet, dass Cloud-Kunden den Missbrauch des CSP-Zugriffs in ihren eigenen Umgebungen erkennen müssen, wenn dieser als Mittel eingesetzt wird, um in die Unternehmensumgebung einzudringen.

Die wichtigsten Cloud-Sicherheitsbedrohungen

Im Jahr 2017 führte die Cloud Security Alliance (CSA) eine Umfrage durch, um professionelle Meinungen darüber zu sammeln, was die dringlichsten Sicherheitsprobleme im Cloud-Computing sind. Von den zwölf identifizierten Bedenken betrafen fünf die Verwaltung von Zugangsdaten bzw. die Methoden zur Gefährdung dieser Daten, um Zugang zu Cloud-Umgebungen für böswillige Zwecke zu erhalten:

  1. Unzureichende Identitäts-, Anmelde- und Zugriffsverwaltung – Fehlende skalierbare Systeme für das Identitätszugriffsmanagement, fehlende Multifaktor-Authentifizierung, schwache Passwörter und fehlende automatische Rotation von kryptografischen Schlüsseln, Passwörtern und Zertifikaten.
  2. Unsichere Schnittstellen und APIs – Von der Authentifizierung und Zugriffskontrolle bis hin zur Verschlüsselung und Aktivitätsüberwachung müssen diese Schnittstellen so konzipiert sein, dass sie sowohl vor versehentlichen als auch vor bösartigen Versuchen zur Umgehung von Richtlinien schützen.
  3. Account-Hijacking – Angreifer können Benutzeraktivitäten und -transaktionen abhören, Daten manipulieren, gefälschte Informationen zurückgeben und Clients auf illegale Websites umleiten.
  4. Böswillige Insider – Ein aktueller oder ehemaliger Mitarbeiter, Auftragnehmer oder anderer Geschäftspartner, der Zugang zu den Netzwerken, Systemen oder Daten eines Unternehmens hat oder hatte und diesen Zugang absichtlich missbraucht hat, und zwar in einer Weise, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen oder Informationssysteme des Unternehmens negativ beeinflusst.
  5. Unzureichende Sorgfaltspflicht – Die Nichterfüllung der Sorgfaltspflicht setzt ein Unternehmen einer Vielzahl von wirtschaftlichen, finanziellen, technischen, rechtlichen und Compliance-Risiken aus, die den Geschäftserfolg gefährden.

Analyse eines realen Cloud-Angriffs

Der APT10-Gruppe wird eine taktische Kampagne mit dem Namen „Operation Cloud Hopper“ zugerechnet, eine globale Serie von nachhaltigen Angriffen auf CSPs und deren Kunden. Diese Angriffe zielten darauf ab, Zugang zu sensiblen Kundendaten zu erhalten.

Das US-CERT stellte fest, dass ein entscheidendes Merkmal der Operation Cloud Hopper darin bestand, dass die Angreifer die CSP-Infrastruktur nutzten, um von einem Cloud-Mieter zum anderen zu gelangen. Damit gelang es ihnen, sich Zugang zu sensiblen Daten in einer Vielzahl von Regierungs- und Industrieeinheiten in den Bereichen Gesundheitswesen, Fertigung, Finanzen und Biotechnologie in mindestens einem Dutzend Länder zu verschaffen.

Der Angriffslebenszyklus von Cloud Hopper

Bei der Operation Cloud Hopper nutzten die Angreifer zunächst Phishing-E-Mails, um Konten mit Zugriff auf CSP-Administrationsdaten zu kompromittieren. Dies ist die häufigste Angriffsmethode und immer noch der einfachste Weg, um ein Netzwerk zu infiltrieren. Der Angreifer setzt Malware ein, die die notwendigen Zugangsdaten sammelt, um direkt in die CSP- und Client-verwaltete Infrastruktur eindringen zu können.

Um eine dauerhafte Konnektivität zur Cloud-Infrastruktur zu gewährleisten, falls ein Administratorkonto nicht mehr funktionierte, installierten die Angreifer Fernzugriffstrojaner für Command-and-Control zum Spoofing legitimer Domains. Zum Einsatz kam Open-Source-Malware „von der Stange“, die zuvor bereits bei vielen Angriffen wie Poison Ivy und PlugX eingesetzt wurde. Viele der Systeme, die mit Fernzugriff kompromittiert wurden, waren nicht geschäftskritisch, so dass sie ohne aufzufallen verwendet werden konnten.

Sobald der Zugriff auf die Managementinfrastruktur erreicht ist, kann PowerShell für Befehlszeilen-Skripte verwendet werden, um die Umgebung auszukundschaften und Informationen zu sammeln. Diese werden dann für die seitliche Bewegung verwendet, um Zugriff auf zusätzliche Systeme zu erhalten und die Erkennung durch Systemadministratoren zu vermeiden.

Die letzte Phase der Operation Cloud Hopper war die Datenexfiltration. Die Daten wurden gesammelt, komprimiert und aus der CSP-Infrastruktur in die von den Angreifern kontrollierte Infrastruktur exfiltriert.

Da CSPs die Verantwortung in den verwalteten Infrastrukturen übernehmen, nimmt das Maß an Kontrolle und Transparenz, das die Cloud-Mieter beibehalten, entsprechend ab. APT10 nutzte diese verringerte Transparenz und die sich daraus eröffnenden Vorteile, über die ein Zugriff sowohl auf CSP- als auch auf Unternehmens-Infrastrukturen möglich war.

Cloud-Mieter haben keine Transparenz oder Kontrolle in der CSP-Infrastruktur selbst. Daher ist es eine große Herausforderung, Angreifer zu erkennen und zu überwachen, die auf ein System zugreifen und sich dann schnell innerhalb der CSP-Infrastruktur bewegen, um auf ein anderes System zuzugreifen.

Zudem muss beachtet werden, dass die Komplexität hybrider Umgebungen, in denen CSPs und lokale Systeme involviert sind, es schwierig macht, Probleme wie gestohlene Zugangsdaten oder Seitwärtsbewegungen von Angreifern von einem Cloud-Mieter zu einem CSP und dann zu einem zweiten Cloud-Mieter adäquat anzugehen. Ein sorgloser und unaufmerksamer Cloud-Mieter kann das Risiko für andere Cloud-Mieter erhöhen, die eine größere Sorgfalt walten lassen.

Shared Responsibility: Modell der gemeinsamen Verantwortung

Die Sicherstellung von Fähigkeiten zur Erkennung von und Reaktion auf Bedrohungen in Cloud-Umgebungen beginnt mit einem grundlegenden Verständnis des Modells der gemeinsamen Verantwortung und der Auswirkungen, die das Modell auf das Sicherheitsmanagement und die Überwachungsfunktionen hat.

Die Sicherheit von Cloud-Services basiert auf einer Partnerschaft und somit auf der gemeinsamen Verantwortung von Cloud-Mietern und CSP. Der CSP ist für die Cloud-Plattform und die physische Sicherheit seiner Rechenzentren verantwortlich. Darüber hinaus bietet er Sicherheitskontrollen und -funktionen zum Schutz von Daten und Anwendungen an. Die Mieter allerdings tragen die Verantwortung für den Schutz ihrer Cloud-Daten und Identitäten, die Sicherheit der lokalen Ressourcen sowie die Sicherheit der Cloud-Komponenten, über die sie die Kontrolle haben. Letztlich richtet sich der Grad der Verantwortung des Mieters für die Sicherheit seiner Daten nach der Art des Cloud-Service.

Das Maß und die Ausgewogenheit von Kontrollen durch CSPs und Cloud-Mieter hängt dabei vom verwendeten Computing-Modell ab. Das Modell, das von Microsoft für Azure bereitgestellt wird, veranschaulicht den Grad der gemeinsamen Verantwortung auf der Grundlage einer Cloud-Plattform. Bei On-Premises-Bereitstellungen handelt es sich um Rechenzentren, die eine virtualisierte Infrastruktur nutzen, die sich im Besitz des Unternehmens befindet. In diesem Modell ist ein Unternehmen für den gesamten Security Stack verantwortlich, von physischen Geräten bis hin zu Daten.

Ein virtuelles Infrastruktur-as-a-Service (IaaS)-Modell für virtuelle Rechenzentren repliziert bestehende interne Rechenzentren. In diesem Fall ist eine physische Trennung der Hardware nicht möglich und erfordert Fähigkeiten auf Hypervisor-Ebene zum Erstellen von Sicherheitszonen und für den Fernzugriff.

Bei der Wahl zwischen der Verwaltung der Infrastruktur in einer privaten oder öffentlichen Cloud entscheiden sich die meisten Unternehmen für eine hybride Cloud, eine Kombination aus privater und öffentlicher Cloud mit gemeinsamen Ressourcen und Verteilungskomponenten. Normalerweise ist die kritische Backend-Infrastruktur privat, und der Zugriff und die Verteilung sind öffentlich. Sicherheits- und Compliance-Bedenken haben bei virtualisierten Rechenzentrums- und Cloud-Bereitstellungen oberste Priorität. Zu den Sicherheitsanforderungen für virtualisierte Rechenzentren und Clouds gehört die Möglichkeit, virtualisierte Umgebungen zu überwachen und gleichzeitig die höchste Kapazität und Leistung der VM-Hosts aufrechtzuerhalten. Zu den Techniken gehören Hypervisor-basierte zustandsorientierte Firewalls, Netzwerkerkennung und virtualisierungsspezifischer Endpunktschutz.

In einem Plattform-as-a-Service (PaaS)-Modell werden Anwendungen auf bestehenden ausgelagerten Plattformen installiert und verwaltet. Ein Server kann für den exklusiven Zugriff bereitgestellt werden oder er wird von mehreren Anwendungen gemeinsam genutzt.

Vertrauliche Informationen können anderen Benutzern oder dem Dienstanbieter zugänglich gemacht werden, da keine Kontrolle über die vorhandene Hardware besteht. Die Kontrollen müssen auf die Daten innerhalb der Anwendungen und Datenbanken unter Verwendung von Verschlüsselung und externer Schlüsselverwaltung für virtuelle Umgebungen angewendet werden.

Mit Software-as-a-Service (SaaS) werden Drittanbieteranwendungen wie Salesforce genutzt, um einen bestimmten Service bereitzustellen. Die Daten werden auf dem Backend der Anwendungsanbieter mit Hilfe von Zugriffskontrollen gespeichert.

Unternehmensanwendungen unterstützen nun die Integration mit Active Directory über ADFS (Active Directory Federation Services) und SAML (Security Assertion Markup Language) zur Kommunikation. Es müssen Kontrollen für die Authentifizierung und das Zugriffsmanagement sowie die Überwachung vorgesehen werden, um sicherzustellen, dass das Unternehmen die Kontrolle über die Nutzung dieser Anwendungen behält.

Wichtige Schlussfolgerungen

Bei der Operation Cloud Hopper, dem Angriff der APT10-Gruppe, war die Methode des anfänglichen Eindringens Cloud-spezifisch, aber das Angriffsverhalten innerhalb dieser Cloud-Umgebungen war das gleiche wie in privaten Clouds und physischen Rechenzentren.

Alle Angriffe müssen nämlich einem bestimmten Angriffslebenszyklus folgen, um erfolgreich zu sein, insbesondere, wenn das Ziel die Datenexfiltration ist. Die Verhinderung einer Kompromittierung wird immer schwieriger, aber das Erkennen des auftretenden Verhaltens – von Command-and-Control bis zur Datenexfiltration – ist es nicht. Hinzukommt, dass, wenn ein Angriff in Stunden statt in Tagen durchgeführt wird, die erforderliche Zeit zur Erkennung immer wichtiger wird.

Eine wichtige Weiterentwicklung des Modells der gemeinsamen Verantwortung ist, dass unabhängig vom eingesetzten Rechenzentrumsmodell, also Infrastructure-, Platform- oder Software-as-a-Service, das Unternehmen immer für Daten, Endpunkte, Konten und Zugriffsmanagement verantwortlich ist.

Zugriffsverwaltung: CSPs müssen ihr eigenes Zugriffsmanagement und ihre Kontrollen sicherstellen, die den Zugriff auf Cloud-Mieterumgebungen einschränken. Die Cloud-Mieter selbst müssen jedoch davon ausgehen, dass eine Kompromittierung möglich ist, und über das „Wer“, „Was“, „Wann“ und „Wo“ des Zugriffsmanagements Bescheid wissen. Die korrekte Zuweisung von Benutzerzugriffsrechten hilft, indem sie Instanzen von gemeinsamen Zugangsdaten reduziert, so dass sich Cloud-Mieter darauf konzentrieren können, wie diese Zugangsdaten verwendet werden. Richtlinien für den Ressourcenzugriff können auch die Bewegungsmöglichkeiten zwischen der CSP-Infrastruktur und Cloud-Mietern reduzieren.

Erkennung und Reaktion: Wenn es um Cloud- und On-Premises-Monitoring geht, ist es notwendig, sowohl das Geschehen zu überwachen als auch festzustellen, wie Daten und Kontext von beiden Umgebungen zu verwertbaren Informationen für Sicherheitsanalysten korreliert werden können. Die Überwachung von Cloud-Ressourcen durch Cloud-Mieter ist unerlässlich, um die Fähigkeit zu erhöhen, Querbewegungen von der CSP-Infrastruktur zu den Mieterumgebungen zu erkennen und umgekehrt. Die Koordination mit dem CSP – sowie die CSP-Koordination mit Cloud-Mietern – kann eine leistungsfähige Kombination von Informationen liefern, um die Wahrscheinlichkeit zu erhöhen, die Aktivitäten nach der Kompromittierung zu erkennen. Noch wichtiger ist, dass die Transparenz des Angriffsverhaltens von Angreifern von der Implementierung geeigneter Tools abhängt, die Cloud-spezifische Daten nutzen können.

Sicherheitsmaßnahmen: Die Kenntnis und Verwaltung der Infrastruktur im Rahmen der Due Diligence sollte dazu beitragen, Systeme und Abläufe zu identifizieren, die durch Malware-Implantate wie die in der Operation Cloud Hopper verwendeten gefährdet sind. Änderungen an Produktionssystemen sind oft schwer zu erkennen. Wenn jedoch in der Cloud-Infrastruktur Transparenz vorhanden ist, ist es viel einfacher, das Verhalten von Angreifern in kompromittierten Systemen und Diensten zu erkennen, die eindeutig außerhalb der erwarteten Spezifikationen arbeiten. Im Idealfall verfügen die Sicherheitsteams über solide Informationen zu den Erwartungen an diese Infrastruktur, so dass Abweichungen von der normalen Aktivität eher dazu führen, dass Malware und ihre Aktivitäten identifiziert werden.

Vectra

www.vectra.ai