Cloud-Sicherheit im Fokus

Setzen agentenbasierte Cloud-Sicherheitslösungen Unternehmen dem Risiko eines Supply-Chain-Angriffs aus? [...]

Der ungehinderte Zugriff des Sicherheitsagenten kann in einer Cloud-Umgebung Schaden anrichten, indem er diese für einen Supply-Chain-Angriff öffnet. (c) Unsplash
Der ungehinderte Zugriff des Sicherheitsagenten kann in einer Cloud-Umgebung Schaden anrichten, indem er diese für einen Supply-Chain-Angriff öffnet. (c) Unsplash

Das Prinzip der geringsten Privilegien (Principle of Least Privilege, PoLP) ist ein Eckpfeiler der IT-Sicherheit. Angesichts zunehmend verteilter IT-Umgebungen sind PoLP und Zero Trust heute wichtiger denn je. Vor dem Hintergrund zunehmender Angriffe auf die Lieferkette gilt es sicherzustellen, dass diese Prinzipien auch für Sicherheitslösungen gelten. Agentenbasierte Sicherheitslösungen erfordern jedoch volle Berechtigungen für den Rechner, auf dem sie installiert sind. Das bedeutet, dass dieselben Cloud-Sicherheitslösungen, auf die sich Unternehmen verlassen, das Risiko für das Unternehmen erhöhen und potenziell die Hintertür für Angriffe auf die Lieferkette öffnen.

PoLP ist seit vielen Jahren eine der wichtigsten bewährten Sicherheitspraktiken und besagt, dass Unternehmen Identitäten nur die Berechtigungen und den Zugriff auf die Ressourcen gewähren sollten, die für die Erfüllung ihrer Aufgaben erforderlich sind, und nicht mehr. Zero Trust geht noch einen Schritt weiter und besagt, dass man niemals einem Benutzer oder einem Dienst implizit vertrauen sollte. Sobald die Identität eines Benutzers nachgewiesen ist, erhält er nur Zugriff auf die spezifischen Ressourcen, die er zu diesem Zeitpunkt benötigt.

Die Anwendung dieser Grundsätze ist im Zeitalter der verteilten IT von entscheidender Bedeutung, um sich vor den immer häufigeren Angriffen auf die Lieferkette zu schützen. An den jüngsten Beispielen wurde deutlich, wie Angriffe auf die Lieferkette verheerende Folgen haben können: SolarWinds und CodeCov haben der Welt gezeigt, wie ein einziger angegriffener Dienst Zehntausende von Unternehmen gefährden kann.

Sicherheitsagent: Wächter oder Feind?

Sicherheitsanbieter mit agentenbasierten Lösungen wählen den einfachen Weg und bauen ihre Agenten so, dass sie nur die Installation mit „administrativen Rechten“ unterstützen. Die Unternehmen als Kunden haben keine Wahl: Ohne Administratorrechte funktionieren diese Agenten nicht. Betrachtet man die Installationsanleitung für fast jeden Agenten, wird deutlich, dass er als privilegierter Dienst ausgeführt wird, der in der installierten Umgebung praktisch alles tun kann. Diese Praxis verstößt jedoch direkt gegen das Prinzip der geringsten Privilegien.

Es liegt in der Natur der Sache, dass Sicherheitstools einen breiten Zugang benötigen, aber das bedeutet nicht, dass sie unbegrenzten Zugang benötigen. Zu betrachten sind die folgenden Szenarien:

  • Ein Sicherheitstool, das einen Host auf Schwachstellen oder Malware überprüft, benötigt nicht die gleichen Berechtigungen wie der Host.
  • Ein Sicherheitstool, das einen Server mit Zugriff auf privilegierte Datenspeicher schützt, benötigt nicht auch Zugriff auf diese Datenspeicher.
  • Ein Agent, der auf einem Server läuft, der dem Internet ausgesetzt ist, muss nicht auch mit dem Internet kommunizieren.

Idealerweise sollten Sicherheitsagenten nicht die Berechtigungen des geschützten Objekts erben, sondern mit den minimalen Berechtigungen laufen, die zur Erfüllung ihrer Aufgabe erforderlich sind. Dies gilt sowohl aus Sicht der Berechtigungen als auch des Netzwerks. Selbst wenn Unternehmen dem Sicherheitsanbieter vertrauen, kann eine übermäßige Freigabe zu katastrophalen Ereignissen führen. Der Anbieter könnte von Angreifern gehackt werden, die sich Zugang zur Kundenumgebung verschaffen wollen. Ebenso, was viel wahrscheinlicher ist, könnte die Lösung des Anbieters ein Open-Source-Tool enthalten, das sich später als bösartig herausstellt und in der gesamten Umgebung ausgeführt wird.

Beispiel für einen Angriff auf die Lieferkette

Der ungehinderte Zugriff des Sicherheitsagenten kann in einer Cloud-Umgebung Schaden anrichten, indem er diese für einen Supply-Chain-Angriff öffnet. Ein Sicherheitsagent verwendet möglicherweise eine bestimmte Bibliothek zum Parsen von JSON, PDF und anderen Dateitypen. Trotz guter interner Sicherheitspraktiken enthält die Bibliothek eine Schwachstelle für die Remote-Code-Ausführung (RCE). Ein Angreifer könnte Dateien erstellen, um diese Sicherheitslücke auszunutzen. Die Dateien können Nutzdaten enthalten, die ein bösartiges Tool installieren, mit einem Command & Control (CnC)-Server kommunizieren oder die Daten auf dem Host verschlüsseln und eine Nachricht senden, um ein Lösegeld zu fordern. Dies geschieht nicht nur bei einem gezielten Angriff, sondern auch, wenn Angreifer diese infizierenden Dateien weit verbreiten.

Ein Sicherheitsagent, der die anfällige Bibliothek nutzt, ist ein bevorzugtes Ziel für Angreifer. Die Nutzlast wird mit vollen Berechtigungen ausgeführt – mit der Fähigkeit, Dateien zu verschlüsseln, mit einem CnC-Server zu kommunizieren und sich sogar seitlich durch die Cloud-Umgebung zu bewegen. Wenn Agenten Unternehmen also potenziell einem Angriff auf die Lieferkette aussetzen können, wie lässt sich dann die Cloud-Umgebung zuverlässig schützen? Die Antwort liegt im Einsatz einer agentenlosen Cloud-Sicherheitslösung.

Agentenloses SideScanning folgt dem Prinzip der geringsten Privilegien

Als agentenlose Cloud Native Application Protection Platform (CNAPP) bietet die Orca Security- Plattform zahlreiche Vorteile, darunter schnelle Bereitstellung, vollständige Sichtbarkeit, kontextbezogene Einblicke und mehr. Darüber hinaus hält sich die Plattform von Orca vollständig an das PoLP-Prinzip und beschränkt die Privilegien auf das absolute Minimum. Anstelle von Agenten verwendet Orca seine proprietäre SideScanning-Technologie, um Cloud-Workloads out-of-band zu scannen. Im Gegensatz zu Agenten erbt SideScanning zudem nicht die Berechtigungen der gescannten Workloads. SideScanning kann zum Beispiel eine Cloud-Umgebung scannen, in der ein Bankensystem ohne Zugriffsberechtigung auf die Kundendaten ausgeführt wird.

Wenn die oben erwähnte hypothetische RCE-Schwachstelle in der Orca-Plattform ausgenutzt wird, sind die Auswirkungen aus den folgenden wichtigen Gründen weitaus geringer als bei agentenbasierten Sicherheitslösungen:

  • Keine Internet-Konnektivität: Auf einem Agenten läuft kein bösartiger Code, der mit einem CnC interagieren könnte, da Orca keine Agenten verwendet. Der Orca SideScanner läuft ohne aktivierte Internetkommunikation.
  • Schreibgeschützter Zugriff: Der SideScanner von Orca hat keinen Schreibzugriff auf Daten und greift nur auf einen schreibgeschützten Snapshot zu. Jede Lösegeldaktivität hat keinerlei Auswirkungen auf die echten Daten.
  • Dedizierte, kurzlebige Instanzen: Da die SideScanning-Technologie auf dedizierten Instanzen ausgeführt wird, ist ihre Anfälligkeit deutlich geringer. Diese Instanzen sind kurzlebig und haben nur einen sehr eingeschränkten Netzwerkzugriff, so dass sie nur auf die gescannten Daten zugreifen und die Digest-Scanergebnisse an einen bestimmten und dedizierten Datenspeicher senden können. Sie werden auch nicht zwischen Scans oder Assets wiederverwendet, was die Angriffsfläche weiter reduziert.

Neben der Einhaltung von PoLP bietet SideScanning von Orca noch weitere Vorteile, darunter vollständige Sichtbarkeit und Abdeckung ohne Installation eines einzigen Agenten: Ist die Plattform einmal bereitgestellt, sind alle Cloud-Assets eines Unternehmens abgedeckt. Dies gilt auch für inaktive, angehaltene und gestoppte Workloads, verwaiste Systeme und Geräte/OS, die keine Agenten unterstützen können.

Es ist an der Zeit, die Art und Weise, wie Unternehmen Sicherheit umsetzen, zu ändern

PoLP ist nach wie vor ein bewährtes Verfahren, weil es die Angriffsfläche effektiv reduziert. Anbieter von agentenbasierten Sicherheitslösungen halten sich jedoch nicht an PoLP, da sie ihre Agenten so entwickeln, dass sie die Berechtigungen ihrer Hosts übernehmen. Das bedeutet, dass die Sicherheitskontrollen, auf die sich Unternehmen verlassen, ihr Risiko für Supply-Chain-Angriffe sogar noch erhöhen. Es ist Zeit für einen neuen Ansatz, eine Sicherheitslösung, die vollständige Sichtbarkeit bietet, ohne das Risiko zu erhöhen.

*John Alexander ist Senior Director of Technical Product Marketing bei Orca Security.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*