In den vergangenen Monaten gab es mehrere Meldungen zu sicherheitskritischen Vorfällen durch versehentliche Datenexposition in der Cloud. Aber es gibt Möglichkeiten, um Datenverlust in der Cloud auszuschließen und zugleich die volle Produktivität der Umgebung zu erhalten. Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks, stellt zentrale Anforderungen und Optionen vor. [...]
Die rechtmäßigen Anwender in Unternehmen haben gute Absichten, einmal abgesehen von kriminell motivierten Insidern. Die heutigen Anwender sind jedoch an eine Umgebung gewöhnt, in der sie auf jede Anwendung zugreifen können, die sie benötigen, von jedem Gerät, das sie gerade benutzen wollen, von überall, wo sie sich gerade befinden – und mit wenig Rücksicht auf Sicherheitsrisiken.
Angesichts von Cloud- und SaaS-Applikationen, die speziell für die einfache Freigabe von Dokumenten zur gemeinsamen Nutzung konzipiert sind, ist das Risiko, dass Daten unabsichtlich geteilt oder offengelegt werden, oftmals recht hoch. Zum Beispiel könnte eine E-Mail mit einem Shared Link, also einem gemeinsam genutzten Link, weitergeleitet werden und schließlich den Weg außerhalb des Unternehmens finden. Ebenso kann der Benutzer, der die Datei als erster teilt, versehentlich auf eine falsche E-Mail-Adresse klicken. Dann bleibt nur noch zu hoffen, dass dieser Fehler nicht zu einem Sicherheitsvorfall, einem Compliance-Problem oder einem noch schlimmeren Ereignis führt.
Darüber hinaus können auch Quellcode-Bedrohungen äußerst problematisch sein. Programmierer fügen oft hartcodierte Benutzerzugangsdaten in ihre API-Schlüssel für Drittanbieter-Cloud-Dienste wie Amazon Web Services (AWS) ein. Sie nutzen hierzu Quellcode, der in einen Web-basierten Repository-Service wie GitHub hochgeladen wird. Kommt es hier zu einem Leak-Vorfall („Datenleck“) oder wird dieses gehackt, gibt der Quellcode dem Angreifer alles an die Hand, was erforderlich ist, um das AWS-Konto, den API-Schlüssel sowie die legitimen Benutzerzugangsdaten zu hacken und diese gegen Bitcoins an den Meistbietenden zu verkaufen.
Ein Shared Link ist eine URL, die jeden Empfänger direkt zu einem bestimmten Ordner oder einer Datei führt. Benutzer können nach Bedarf Links erstellen und freigeben. Der darin enthaltene Inhalt wird für jedermann zugänglich sein, beabsichtigt oder nicht, wenn die Berechtigungen nicht richtig eingestellt sind.
Wie können sich Benutzer und Unternehmen schützen?
Es gibt Schritte, die Unternehmen ergreifen können, um versehentliches Datenexposition und andere gängige Cloud- und SaaS-Bedrohungen zu verhindern:
Es gibt Schritte, die Unternehmen ergreifen können, um versehentliches Datenexposition und andere gängige Cloud- und SaaS-Bedrohungen zu verhindern:
- 1. Führen Sie eine Bewertung des eigenen Risikos durch.
- 2. Holen Sie sich die richtigen Werkzeuge, um Datenverlustprävention zu gewährleisten (z.B. Anwendungserkennung, Datenklassifizierung und -überwachung, Content Matching, maschinelles Lernen etc.).
- 3. Implementieren Sie eine laufende Rückkopplungsschleife.
Hierbei hat sich ein Plattformansatz zur Adressierung von Datenverlustprävention in der Cloud als hilfreich erwiesen. Anstatt sich auf verschiedene, nicht integrierte punktuelle Produkte zu verlassen, erweitert eine präventionsorientierte Sicherheitsplattform die Schutzmaßnahmen und setzt bestehende Richtlinien für die Unternehmenssicherheit in der Cloud zuverlässig um. Dadurch lässt sich das Risiko von unbeabsichtigten Datenverlusten erheblich verringern.
*Thorsten Henning ist Senior Systems Engineering Manager bei Palo Alto Networks.
*Thorsten Henning ist Senior Systems Engineering Manager bei Palo Alto Networks.
Be the first to comment