Laut dem Cloud Threat Risk Report von Palo Alto Networks ist nur ein sehr kleiner Prozentsatz der Cloud-Sicherheitsvorfälle direkt den Anbietern zuzuschreiben. Die Nutzer von Cloud-Angeboten haben offensichtlich jedoch weiterhin Schwierigkeiten, die Grundlagen für effektive Sicherheit umzusetzen. [...]
In der ersten Jahreshälfte 2019 gab es mehr als 20 größere Sicherheitsvorfälle mit Public-Cloud-Plattformen, über die in den Medien berichtet wurde. Der Vorfall bei Capital One in der vergangenen Woche – bei dem ebenfalls die Cloud-Sicherheit im Mittelpunkt stand – hat weltweit für Aufsehen gesorgt. Palo Alto Networks hat dazu vor wenigen Tagen einige Highlights aus dem Cloud Threat Risk Report veröffentlicht. Nun stellt das Unternehmen weitere und noch tiefer gehende Details rund um die aktuelle Situation der Cloud-Sicherheit vor.
Die Cloud Service Provider konnten bisher jedoch ihren soliden Ruf bezüglich Plattformsicherheit beibehalten, da nur ein sehr kleiner Prozentsatz der Vorfälle direkt den Anbietern zugeschrieben werden konnte. Die Nutzer von Cloud-Angeboten für Infrastructure- und Platform-as-as-Service (IaaS und PaaS) haben offensichtlich jedoch weiterhin Schwierigkeiten, die Grundlagen für effektive Sicherheit umzusetzen.
Wenn es eine Sache gibt, die Cloud-Anbieter sehr gut machen, dann ist es Innovation. Leider hat die Flut neuer, innovativer Funktionen – oft fast täglich veröffentlicht – zu einer exponentiell höheren Komplexität geführt. Obwohl viele IT- und Sicherheitsteams das Shared-Responsibility-Model konzeptionell zwar verstehen, zeigt der Forschungsbericht des Threat-Intelligence-Teams Unit 42 von Palo Alto Networks, dass es bei der Umsetzung dieses Konzepts in die Praxis hapert.
Dieser Bericht hebt die wichtigsten Erkenntnisse aus Vorfällen hervor, die sich über die erste Jahreshälfte 2019 erstreckten, und präsentiert Ergebnisse aus der Cloud-fokussierten Bedrohungsforschung. Unternehmen sollten sich spätestens jetzt die erforderlichen Sicherheitskenntnisse, Tools und Best Practices aneignen, um ihre Rolle im Modell der gemeinsamen Verantwortung zu erfüllen. Nur so wird es ihnen gelingen, ihre Anwendungen und Workloads in der Cloud vor den zunehmenden Bedrohungen zu schützen.
Bestandsaufnahme sicherheitsrelevanter Aspekte
40.000 offenliegende Container: Die Untersuchungen zeigen, dass mehr als 40.000 Cloud-Container-Systeme wie Kubernetes und Docker standardmäßig konfiguriert sind. Diese Container konnten mithilfe einer einfachen Stichwortsuche leicht identifiziert werden. Ebenso werden standardmäßig konfigurierte Anwendungen wie ElasticSearch- und MySQL-Datenbanken sowie Datenbank-Benutzeroberflächen wie Kibana gehostet. Angreifer zielen häufig auf standardmäßig konfigurierte Systeme ab, da ein höheres Potenzial für eine erfolgreiche Kompromittierung besteht, da diese Systeme weniger wahrscheinlich gepatcht oder aktualisiert werden.
Freiliegendes RDP: Das Remote Desktop Protocol (RDP) ermöglicht es Benutzern, eine grafische Benutzeroberfläche mit einem entfernten System einzurichten. Traditionell nutzen IT-Abteilungen diese Funktionalität, um Produktionssysteme in einem Rechenzentrum zu verwalten. Sollte ein bösartiger Akteur sich die Vorteile von RDP-Diensten zunutze macht, hätte er die Kontrolle über das Cloud-System, als ob er physisch davorsitzen würde.
Cryptomining-Operationen: Bösartiges Cryptomining, auch bekannt als Cryptojacking, ist der Prozess des verborgenen Schürfens digitaler Währungen, wie Bitcoin, auf fremden Systemen. Unit 42 fand heraus, dass 28 Prozent der Unternehmen mit bösartigen Cryptomining-C2-Domains der Bedrohungsgruppe Rocke kommunizieren.
Verwendung unsicherer Protokolle: Secure Sockets Layer (SSL) ist ein Satz von Sicherheitstechnologien, die verwendet werden, um verschlüsselte Verbindungen zwischen Webservern und Browsern herzustellen. SSL wurde im Juni 2015 durch Transport Layer Security (TLS) ersetzt. Die TLS-Version 1.1 wurde 2008 durch die Version TLSv1.2 ersetzt. Die Forscher stellten aber fest, dass 61 Prozent der Unternehmen immer noch TLSv1.1/1.0 und veraltete Versionen von SSL in ihrer Umgebung aktivieren und verwenden.
Berichtete Cloud-Sicherheitsvorfälle: 65 Prozent der gemeldeten Vorfälle in Zusammenhang mit Cloud-Infrastrukturen wurden als Folge einer Fehlkonfiguration festgestellt. Diese führte zu einer erhöhten Wahrscheinlichkeit von Datenlecks bei diesen Unternehmen.
Angreifer agieren opportunistisch: Angreifer haben es auf Daten abgesehen, wo immer diese sich befinden. Für einen Angreifer, der Daten exfiltrieren und Gewinne erzielen möchte, sind gängige Cloud-Fehlkonfigurationen einfache Ziele. In den letzten 18 Monaten (zum Zeitpunkt der Erstellung dieses Berichts) waren 65 Prozent der öffentlich bekannt gegebenen Cloud-Sicherheitsvorfälle auf Fehlkonfigurationen und 25 Prozent auf kompromittierte Accounts zurückzuführen.
Bedrohungslage auf einen Blick
Die Exposition steigt mit zunehmender Containernutzung: Docker und Kubernetes haben die Unternehmen in den letzten 18 Monaten im Sturm erobert. Die Forschungsergebnisse von Unit 42 zeigen, dass mehr als 40.000 einzigartige Container standardmäßig konfiguriert sind, was eine schnelle Identifizierung ermöglicht. Viele Unternehmen scheinen auch standardmäßig konfigurierte Anwendungen zu nutzen, die auf Standardcontainern gehostet werden. Sicherheitsteams müssen Container berücksichtigen, da sie der Schlüssel zur Aktivierung von DevSecOps sind. Allerdings müssen die Teams auch sicherstellen, dass die Anwendungen und Hosts sicher konfiguriert und überwacht werden.
Malware dehnt Reichweite auf die Cloud aus: Cloud-basierte Malware-Angriffe werden immer häufiger. Anfang 2019 berichtete Unit 42 über eine Kampagne der Cyberkriminellen-Gruppe Rocke, die speziell auf Public Clouds abzielte. Die Erkennung dieser Art von Angriffen hat sich für viele Unternehmen als schwierig erwiesen, da Sicherheitstools, die in Cloud-Umgebungen eingesetzt werden, oft keine integrierten Feeds für Bedrohungsinformationen enthalten.
Cloud-Komplexität bringt tiefhängende Früchte für Angreifer hervor: Obwohl die CSPs ihre nativen Sicherheitsfunktionen weiter ausbauen, zeigt die Forschung von Unit 42 Fehlkonfigurationen als die häufigste Art von Sicherheitsvorfällen. Unternehmen müssen sich auf die Verschiebung der Sicherheit konzentrieren, indem sie besser verstehen, wie Code in die Cloud übertragen wird. Dies wird den Sicherheitsteams helfen, sichere Konfigurationen in Infrastructure-as-Code (IaC) zu kodieren und viele dieser Arten von Risiken zu verhindern, bevor sie in die Produktion gelangen.
Vor-Ort-Schwachstellen-Management wird auf die Cloud übertragen: Selbst Anfänger wissen, dass das Patchen lokaler Umgebungen bereits eine Herausforderung ist. Leider hat sich die Herausforderung auf die Cloud ausgeweitet. Unternehmen haben damit zu kämpfen, da vielen eigenständigen Tools für das Schwachstellenmanagement der Cloud der Kontext fehlt und sie über mehrere Konsolen verteilt bleiben. Sicherheitsteams sollten Tools zu konsolidieren, um eine Cloud-basierte Ansicht zu erstellen.
Fazit
Unternehmen müssen nach Meinung von Palo Alto Networks die Kernanforderungen für den Schutz moderner Anwendungen und Workloads in der Cloud verstehen:
- Sie müssen dafür sorgen, dass Ihre Sicherheitsteams auf eine Echtzeitansicht der virtuellen Maschinen, Container und Serverless-Anwendungen zugreifen können. Die Aufrechterhaltung der Transparenz über verschiedene Computerparadigmen kann eine Herausforderung sein, ist aber entscheidend.
- Sie müssen die Sicherheit in die DevOps-Workflows integrieren, damit die Sicherheitsteams ihre Bemühungen automatisiert skalieren können. Entwickler haben viele Ressourcen in der Cloud, und die Sicherheit muss mithalten können.
- Sie müssen ihre Anwendungen und Workloads „härten“. Obwohl einige Sicherheitsanforderungen im Rahmen des Shared-Responsibility-Modells auf die Provider entfallen, sind die internen Sicherheitsteams weiterhin für die Konfiguration und Einhaltung einzelner Workloads, Container und Funktionen verantwortlich, einschließlich Plattformen wie Kubernetes.
- Sie müssen den Runtime-Schutz aufrechterhalten. Wenn der Cloud-Footprint des Unternehmens wächst, wird die Möglichkeit zur automatischen Modellierung und zum Whitelisting des Anwendungsverhaltens zu einem leistungsstarken Werkzeug, um Cloud-Workloads vor Angriffen und Kompromittierung zu schützen.
Be the first to comment