Durch die Fortschritte in der Cloud-Technologie ist der Datenzugriff jetzt problemlos möglich. Dies ist ein Segen für Entwickler. Für Sicherheitsexperten stellt es jedoch eine Herausforderung dar. Mit der zunehmenden Verfügbarkeit von Datensätzen für viele Mitarbeiter durch die Migration in die Cloud steigt die Gefahr, dass persönliche und identifizierbare Daten in die falschen Hände geraten.
Die Implementierung eines robusten und systematischen Sicherheitsprogramms zum Schutz der Cloud-Umgebung ist der erste Schritt, um sicherzustellen, dass sensible interne Daten nicht in diese Hände geraten.
Im „Cloud Threat Report, Volume 7: Navigating the Expanding Attack Surface“ identifizieren die Forscher von Unit 42 / Palo Alto Networks zehn kritische Risiken, die einen architektonischen und operativen Fokus erfordern, um die Erkennung fortschrittlicher Bedrohungen in Cloud-Umgebungen sicherzustellen. Diese Liste hilft Unternehmensleitern in allen Branchen und Bereichen, ihre Cloud-Umgebungen gegen Cloud-Bedrohungen zu schützen.
Nicht ordnungsgemäße Verwaltung von IAM-Richtlinien
Die Forscher haben einen Index bekannter Gruppen von Cloud-Angreifern (CTAG) erstellt, die aktiv auf Cloud-Umgebungen abzielen. Unternehmen können die Indikatoren für eine Kompromittierung (IOC) für jede CTAG unter den entsprechenden Tags abrufen, darunter Automated Libra, Adept Libra, Thief Libra, Money Libra, Aged Libra und Returned Libra.
Die Verbindung zwischen diesen Gruppen von Angreifern besteht darin, dass sie es gemeinsam auf IAM-Zugangsdaten abgesehen haben und die Automatisierung nutzen, um identifizierbare IAM-Zugangsdaten innerhalb von Sekunden nach dem Eindringen in eine Cloud-Umgebung zu exfiltrieren. Laut des neuesten Cloud Threat Report von Unit 42 haben 83 Prozent der Unternehmen IAM-Zugangsdaten in ihren Quellcode-Verwaltungssystemen fest codiert, und 76 Prozent der Unternehmen setzen keine MFA für ihre Cloud-Konten durch. Die ordnungsgemäße Erstellung von IAM-Richtlinien ist eine wesentliche Sicherheitsvoraussetzung für die Aufrechterhaltung einer sicheren Cloud.
Um sicherzustellen, dass ein Unternehmen angemessen vor dem Diebstahl von IAM-Zugangsdaten geschützt ist, gilt es die folgenden Sicherheitsmaßnahmen in Betracht zu ziehen:
- Für jede IAM-Rolle oder -Richtlinie eine robuste Architektur der geringsten Privilegien, z. B. isolierte Servicekonten zur einmaligen Verwendung für alle Cloud-Entwicklungen definieren.
- Automatisiertes Cycling von IAM-Zugangsdaten, um langlebige Zugangsdaten zu vermeiden, und Zugriff für IAM-Benutzerzugangsdaten standardmäßig auf Null setzen, wenn sie abgelaufen sind.
- Warnung bei jeder Änderung oder Löschung einer eingerichteten IAM-Rolle oder -Richtlinie.
- Warnung bei der Erstellung neuer IAM-Benutzer, -Rollen oder -Richtlinien.
Dazu der Experten-Tipp: Scannen Sie alle geänderten Cloud-Infrastrukturen als Code (IaC) auf durchgesickerte IAM-Daten und implementieren Sie einen Abhilfeplan für positive Ergebnisse. Zu achten gilt es besonders auf Zugangskennungen, Schlüssel, Token, PII und sensible interne Daten.
Mangelnde Operationalisierung von Cloud-Audit- und Protokolldaten
Cloud-Plattformen, ihre Dienste und Cloud-native Anwendungen generieren riesige Mengen an Daten. Diese Daten sind eine wahre Fundgrube für Sicherheits- und Reaktionsteams, wenn sie auf sie zugreifen und sie einsehen können. Laut Cloud Threat Report, Volume 7, setzen jedoch 76 Prozent der Unternehmen in ihren Cloud-Umgebungen keine Richtlinien zur Audit-Protokollierung von Cloud-Speicherdaten ein.
Es gibt viele Gründe, warum Unternehmen auf die Protokollierung der Cloud-Audit- und -Infrastrukturnutzung verzichten. Die Speicherung von Protokollen ist oft lästig und teuer, aber das Fehlen von Protokollen kann Sicherheitsteams bei der Erkennung und Behebung von Sicherheitsverletzungen lähmen.
Um Protokolldaten effektiv zu speichern und zu nutzen, empfiehlt Unit 42 die Umsetzung der folgenden Maßnahmen:
- Aktivieren von CSP-Tools und -Services, die darauf ausgelegt sind, das Protokollrauschen zu reduzieren und die notwendigen Informationen zu extrahieren.
- Konsolidieren der Überwachung von Cloud-Protokollen in einer Sicherheitsüberwachungsanwendung eines Drittanbieters, wie z. B. Prisma Cloud, um die Daten in hybriden und Multi-Cloud-Umgebungen zusammenzuführen. Dies ermöglicht auch die Identifizierung von Cloud-Vorfällen, die mehr als eine einzelne Cloud-Umgebung betreffen.
- Einordnung und Priorisierung kritischer Protokollierungsquellen und ihrer Ereignisse. Priorisierung von IAM- und Laufzeitüberwachungsprotokollen aus Cloud-Quellen, um sicherzustellen, dass Sicherheitsforscher über die Daten verfügen, die sie benötigen, um bösartige Vorgänge zu erkennen, sobald sie auftreten.
Längere Reaktionszeiten auf Cloud-Warnungen
Sobald die Sicherheitsteams Zugriff auf die Protokollierung haben, können sie mit der aktiven Überwachung und Suche nach Bedrohungen in ihren Cloud-Umgebungen beginnen. Die Protokollierung ist jedoch nur eine grundlegende Komponente. Die Reaktion auf Warnmeldungen ist für den langfristigen Erfolg von Sicherheitsteams ebenso wichtig.
Laut Cloud Threat Report, Vol. 7, beträgt die durchschnittliche Verweildauer von Warnmeldungen jedoch 145 Stunden (6 Tage). Darüber hinaus fanden Forscher heraus, dass fünf Prozent der kritischen Warnmeldungen 80 Prozent der gesamten Warnmeldungen ausmachen, was zu vermeidbarem Rauschen und zu einer Ermüdung der Warnmeldungen beiträgt.
Unternehmen sollten die folgenden Taktiken umsetzen, damit ihre Sicherheitsteams kritische Warnmeldungen rechtzeitig erkennen und darauf reagieren können:
- Aktivieren von Zeitanforderungen für Alarme auf der Grundlage ihrer Kritikalität.
- Kritische Alarme priorisieren. Eine Warnung steht oft in Zusammenhang mit nachfolgenden Warnungen und beeinflusst diese. Wenn eine kritische Warnung korrigiert wird, wirkt sich dies auf alle damit verbundenen Warnungen aus.
- Richtlinien für Warnmeldungen an die Bedürfnisse des Unternehmens und die GRC-Anforderungen anpassen.
- Bei der Erstellung von benutzerdefinierten Warnmeldungen die Anweisungen des Prisma-Cloud-Prozesses zur Erstellung von Warnmeldungen befolgen.
Versäumnis, die Cloud-Bedrohungslandschaft zu bewerten
63 Prozent der produktiven Cloud-Codebases enthalten ungepatchte Schwachstellen, die als kritisch oder hochgradig eingestuft sind, wie im Cloud Threat Report, Vol. 7, berichtet wird. Zu bedenken ist, dass elf Prozent der exponierten Cloud-Webdienste kritische oder hochgradige Schwachstellen enthalten – und 71 Prozent davon sind mindestens zwei Jahre alt.
Diese beiden Ergebnisse zeigen, dass Unternehmen mehr Zeit darauf verwenden sollten, ihre Cloud-Infrastruktur auf Schwachstellen und Fehlkonfigurationen zu überprüfen, zumal viele Cloud-basierte Angriffe aufgrund von Fehlkonfigurationen in Cloud-Umgebungen erfolgreich sind.
Die folgenden fünf Taktiken können Unternehmen eine solide Grundlage für die Kenntnis und Absicherung ihrer Cloud-Bedrohungslage bieten:
- Vierteljährliche Durchführung einer Bestandsaufnahme und Sicherheitsbewertung der Cloud-Dienste und -Ressourcen.
- Scannen aller Cloud-Ressourcen auf Schwachstellen und Fehlkonfigurationen, bevor sie in Betrieb genommen werden.
- Identifizierung gefährdeter Systeme und Dienste mithilfe von Netzwerkscannern.
- Laufende Penetrationstests in Cloud-Produktionsumgebungen durchführen.
- Ausdrücklich festlegen, dass nur die neuesten Versionen und Patches von containerisierten Anwendungen für die Produktion bereitgestellt werden.
Unbekannte CTAG-Operationen
Wenn Unternehmen ihre Cloud-Bedrohungslandschaft kennen, sind sie schon auf halbem Weg zur Verteidigung. Auch wenn es wie ein mühsames Unterfangen erscheinen mag, finden sie zahlreiche Ressourcen, die ihnen dabei helfen können, darunter die Actionable Threat Objects and Mitigations (ATOM) von Unit 42.
Die folgenden Taktiken können dabei helfen Unternehmen, die wichtigsten CTAGs zu identifizieren und herauszufinden, welche Maßnahmen sie dagegen ergreifen können:
- Abonnieren von verschiedenen Threat Intelligence-Plattformen, wie z. B. den Taxii-Feed von Unit 42, die STIX/TAXII IOC-Daten anbieten, die von den Sicherheitstools des Unternehmens genutzt werden können.
- Ermitteln, welche CTAGs auf die eigene Branche abzielen.
- Entwickeln von Erkennungslösungen und Alarmierungsrichtlinien für identifizierte CTAG-Operationen.
- Implementieren von Präventionsmaßnahmen, die bestimmte IOCs vollständig blockieren.
- Schulung des Sicherheitspersonals in Bezug auf Cloud-Angriffstechniken und -Vorgänge, damit es besser in der Lage ist, Vorfälle zu erkennen.
Versäumnis, Cloud-Malware zu erkennen und ihr effektiv zu begegnen
Die Laufzeitüberwachung von Cloud-Endpunkten ist für viele Unternehmen verfügbar, die Single- und Multi-Cloud-Plattformen nutzen. Die Laufzeitüberwachung von virtuellen Maschinen, Containern und serverlosen Cloud-Instanzen ist für Unternehmen erforderlich, die wissen wollen, ob ihre Cloud-Instanzen für die Ausführung von Operationen konzipiert wurden (d. h. für die Interaktion mit bekannten Command-and-Control/C2-Knoten oder die Ausführung bösartiger Binärdateien nach der Kompromittierung).
Angesichts der Tatsache, dass 63 Prozent der produktiven Cloud-Codebases eine Schwachstelle mit hohem oder kritischem Schweregrad enthalten, ist die Notwendigkeit, Cloud-Instanzen zu überwachen, größer denn je. Zu den taktischen Maßnahmen, die ein Unternehmen ergreifen sollte, um sicherzustellen, dass es Laufzeitoperationen innerhalb seiner Cloud-Instanzen einsehen kann, gehören:
- Bereitstellung und ordnungsgemäße Konfiguration von Cloud Workload Protection (CWP) für VM-, Cluster- und Container-Hosts sowie für serverlose Funktionen.
- Sicherstellen, dass CWP-Lösungen für die Abfrage von Backend Threat Intelligence-Datenspeichern wie Wildfire konfiguriert sind.
- Implementierung von Warn-, Präventions- und Sicherheitsrichtlinien für identifizierte Malware.
Redundanter Betrieb von Sicherheitstools
Es mag logisch erscheinen, dass mehrere Sicherheitstools zur Erkennung von Sicherheitsbedrohungen zur Verfügung stehen. Schließlich ist Redundanz eine Schlüsselkomponente, um Transparenz zu gewährleisten. Für 76 Prozent der Unternehmen schafft die Verwendung mehrerer punktueller Tools jedoch blinde Flecken. Je mehr Sicherheitstools vorhanden sind, desto mehr Zeit ist für die Konfiguration dieser Tools nötig. Sobald die Tools eingerichtet sind, steigt die Anzahl der Alarme, was die Alarmmüdigkeit unter den Sicherheitsexperten noch verschlimmert.
In Anbetracht dieser Tatsachen empfehlen die Forscher von Palo Alto Networks die folgenden Taktiken:
- Reduzieren der Anzahl unabhängiger oder redundanter Sicherheitstools, um die Effektivität der Sicherheitsabläufe im Unternehmen zu optimieren.
- Integrieren von Sicherheitstools, die eine einheitliche Plattform bieten, um eine geringere Lückenabdeckung zu gewährleisten.
Mehrere Eigentümer von Cloud-Operationen
In einem kürzlich von Unit 42 IR bearbeiteten Fall verfolgten die Forscher die Aktionen einer CTAG, die sich über eine ungeschützte und anfällige Cloud-Instanz aufgrund einer Cloud-Fehlkonfiguration Zugang zu den Cloud-Umgebungen eines Unternehmens verschaffte. Die Fehlkonfiguration wurde durch einen Kommunikationsfehler verursacht.
Zwei Teams hatten zwei Sicherheitsvorkehrungen getroffen, wobei keines der beiden Teams von den Maßnahmen des anderen wusste. Das Entwicklungsteam hatte eine Sicherheitsnetzwerkgruppe eingerichtet, die den öffentlichen Zugriff auf die anfällige Anwendung ermöglichte. In der Zwischenzeit hatte das IT-Team einen übergreifenden ACL-Mechanismus (Access Control List) geändert, der die gefährdete Instanz geschützt hätte.
Da es innerhalb des Unternehmens keinen zentralen Verantwortlichen für die Cloud-Sicherheitsprozesse gab, konnten die beiden Teams unabhängig voneinander Änderungen an ihrem Sicherheitsbereich vornehmen. Die kompromittierte Cloud-Instanz ermöglichte es der CTAG dann, sensible IAM-Zugangsdaten zu sammeln, die ihr Zugang zu zwei Cloud-Plattformen des Unternehmens verschafften, was zum Verlust sensibler Daten führte.
Die folgenden Taktiken werden empfohlen, um sicherzustellen, dass Unternehmen eine sichere Umgebung für alle Teams aufrechterhalten:
- Übertragen der Verantwortung für alle Cloud-Prozesse auf eine einzige Organisationseinheit, z. B. die Sicherheitsabteilung oder die IT-Abteilung.
- Entwickeln einer hierarchischen Organisationsstruktur, die Cloud-IT-Administration, DevOps und Sicherheitsoperationen umfasst.
- Implementieren von Richtlinien zur Änderungskontrolle, die auf den Prinzipien von CI/CD basieren, um sicherzustellen, dass alle Cloud-Ressourcen die Anforderungen an Funktionalität, Sicherheit und Zugänglichkeit erfüllen, bevor sie in die Produktion gehen.
- Routinemäßige Überprüfung der gesamten Cloud-Infrastruktur, um gefährdete Cloud-Instanzen zu identifizieren.
Ignorieren von Zero-Trust-Prinzipien
Zu berücksichtigen ist das Ökosystem von Kontrollen, das einem Unternehmen über das Netzwerk, den Endpunkt, die Cloud, die Anwendungsebene und das IoT zur Verfügung steht. Das Identitätsmanagement ist die Kontrolle, die diese Ebenen miteinander verbindet, und somit sind IAM-Richtlinien die Grundlage einer sicheren Zero Trust-Architektur. Die Implementierung von Zero Trust ist jedoch nicht einfach, und Cloud-Angreifer betrachten die Last dieser Schwierigkeit als ihr goldenes Ticket in die Umgebung.
Identität ist die neue Grenze der Umgebung und macht IAM zum wichtigsten Faktor für den Betrieb eines Unternehmens. Dies erfordert die Umsetzung der Prinzipien der Zero Trust-Architektur für IAM-Richtlinien, Rollen und Benutzer. Ein strategischer Ansatz für die Cybersicherheit beseitigt implizites Vertrauen und validiert kontinuierlich jede Phase der digitalen Interaktion.
Unternehmen, die sich gerade erst auf den Weg zu Zero Trust machen, sollten die folgenden Taktiken berücksichtigen:
- Aufbau von Cloud-Umgebungen mit mehreren Cloud-Konten, die für jede Unternehmensgruppe oder jedes Projekt bestimmt sind.
- Segmentieren von Produkt- und Entwicklungs-Cloud-Prozessen innerhalb ihrer eigenen Konten. Sollten die Personalabteilung, die IT-Abteilung, der Kundendienst oder die Marketingabteilung Cloud-Ressourcen benötigen, hat der Betrieb eines eigenen Cloud-Kontos keine Auswirkungen auf andere Teams.
Keine Planung und kein Einsatz von Cloud Incident Response
Pläne zur Reaktion auf Vorfälle (Incident Response, IR) sind für Unternehmen unerlässlich, um sich von einer Sicherheitsverletzung oder einem Sicherheitsvorfall vollständig zu erholen. Cloud-Umgebungen bieten einzigartige Szenarien, die es bei der Implementierung eines Cloud-IR-Betriebs zu berücksichtigen gilt.
Obwohl die Kosten für die Aufzeichnung von Ereignissen, die in der Cloud-Umgebung stattfinden, hoch sein können, finden Unternehmen mit ein wenig Recherche kostensenkende Lösungen für die Cloud-Protokollierung. Die ordnungsgemäße Umsetzung von Zero-Trust-Prinzipien bei der Gestaltung von IAM-Richtlinien, Rollen und Benutzern kann anstrengend sein, wird sich aber durch die Reduzierung der Bedrohungslandschaft erheblich auszahlen. Schließlich sind Cryptojacking-Ereignisse kostspielig. Die Überwachung von Cloud-Instanzen auf Anzeichen bösartiger Aktivitäten wird den ROI steigern.
Zu den Maßnahmen, die Unternehmen bei der Erstellung eines soliden Cloud-IR-Plans helfen, gehören:
- Definieren, wie Cloud-Daten aufgezeichnet und gespeichert werden sollen, um im Falle eines Sicherheitsvorfalls einen angemessenen Einblick in alle Cloud-Vorgänge zu gewährleisten.
- Implementieren eines robusten Quarantäne-Kontrollprozesses für alle Cloud-Ressourcen im Falle einer Kompromittierung.
- Veranlassen der Quarantäne und Analyse von Cloud-Ressourcen – Container, VMs, serverlose Funktionen – durch das Sicherheitsteam im Falle einer Kompromittierung. Kompromittierte Container sollten niemals ohne einen Snapshot ihres aktuellen Betriebs neu gestartet werden.
- Sicherstellen, dass das Sicherheitsforschungsteam, das für die Untersuchung kompromittierter Cloud-Ressourcen zuständig ist, angemessenen Zugang erhält.
Schließen der Lücken in der Cloud-Sicherheit
Die Security-Forscher von Palo Alto Networks / Unit 42 sind der Meinung, dass die Sicherheit von Cloud-Umgebungen durch die Behebung der zehn größten Cloud-Sicherheitsrisiken erheblich verbessert werden kann. Dadurch wird die Messlatte für den Cloud-Sicherheitsbetrieb höher gelegt und Unternehmen können überschaubare, gut geschützte Cloud-Umgebungen aufbauen. (rhh)