Cloud-Penetrationstest
Was ist ein Cloud-Penetrationstest?
Cloud-Penetrationstests sind eine Methode, mit der ein Unternehmen die Wirksamkeit seiner Cloud-Sicherheit bewertet, indem es versucht, seine eigenen Verteidigungsmaßnahmen zu umgehen. Durch Penetrationstests kann ein Sicherheitsteam seine Sicherheitslage zu einem bestimmten Zeitpunkt bewerten und Sicherheitsschwachstellen identifizieren, die von anderen ausgenutzt werden könnten.
In der Vergangenheit waren Unternehmen Eigentümer und Betreiber ihrer Systeme und Netzwerke, was Penetrationstests recht einfach machte. Da die IT-Ressourcen eines Unternehmens immer weiter verteilt sind, müssen Penetrationstests neu überdacht werden.
Penetrationstests in der Cloud sind wesentlich komplizierter als herkömmliche Penetrationstests. Diese Herausforderungen ergeben sich aus den dynamischen Umgebungen, die durch softwaredefinierte Netzwerke geschaffen werden, und den unscharfen Grenzen, die sich aus dem Modell der gemeinsamen Verantwortung und der verteilten Natur der Cloud ergeben. Das Zusammenfügen der Daten zu einer kohärenten Geschichte erfordert starke Fähigkeiten des Analysten bei der Orchestrierung; sobald die Tests jedoch abgeschlossen sind, verfügt der Analyst über wichtige Erkenntnisse zur Bedrohungsjagd.
Penetrationstests vs. Cloud-Penetrationstests
Einfache Penetrationstests decken einen genau definierten, abgegrenzten Bereich ab. Berichte, die von Systemen am gleichen Standort erstellt werden, erfordern einige grundlegende Analysen und Formatierungen.
Bei Penetrationstests in der Cloud geht es dagegen um einen verteilten physischen Bereich. Sie müssen sowohl die globale Infrastruktur der Cloud als auch die zugrundeliegenden Hypervisoren, auch bekannt als Virtual Machine Monitors (VMMs), berücksichtigen. Die Koordinierung und Orchestrierung der verschiedenen Ergebnisse müssen in einen abschließenden, kohärenten Bericht einfließen.
Warum sind Penetrationstests in der Cloud so wichtig?
Ein Unternehmen, das sich auf Cloud-Dienste verlässt, lagert implizit einen Teil seiner Cloud-Sicherheitsverwaltung an den Dienstanbieter aus. Denken Sie daran, dass in der Hierarchie der Penetrationstests die Unternehmensdomäne (oder das virtuelle Netzwerk) über der Infrastruktur und der Plattform steht. Selbst wenn das virtuelle Netzwerk über Netzwerkgeräte verfügt, haben diese Geräte also nur einen begrenzten Einblick in die tatsächlichen Schwachstellen.
So kann es beispielsweise sein, dass eine VM scheinbar keine Schwachstellen aufweist, aber eine Schwachstelle in der Konfiguration der zugrunde liegenden Infrastruktur vorhanden ist. Die VM verfügt über keine Protokolle jeglicher Aktivitäten, geschweige denn verdächtiger Aktivitäten, wodurch die Aktivitäten unsichtbar werden. Angreifer nutzen diese Unsichtbarkeit aus und konfigurieren VMs so, dass ihre Aktivitäten nicht protokolliert werden.
Die schwerwiegendsten Fälle dieser Art von Angriffen sind die in den Bibliotheken, die sowohl von Betriebssystemen (OS) als auch von VMs verwendet werden. In diesem Fall sind beide Umgebungen für das gleiche Problem anfällig, werden aber von unterschiedlichen Stellen verwaltet. Wenn ein Unternehmen Patches installiert, bevor der Cloud-Service-Provider dies tut (ein mögliches, aber unwahrscheinliches Szenario), bleibt das Unternehmen verwundbar, bis der Service-Provider den Patch in Kraft setzt. Damit der Cloud-Kunde vor einer Schwachstelle geschützt ist, die an beiden Standorten vorhanden ist, muss die Schwachstelle zur gleichen Zeit oder zuerst vom Service-Provider gepatcht werden.
Die wichtigsten Vorteile von Penetrationstests in der Cloud
Cloud-Penetrationstests sollten Teil einer Cloud-Sicherheitsstrategie sein. Wenn sie richtig durchgeführt werden, können sie wichtige Vorteile bieten, darunter die folgenden:
- Ein vollständiges Bild der Sicherheitslage des Unternehmens. Ein gut organisierter Cloud-Penetrationstest kann potenzielle Schwachstellen im vollständigen Verarbeitungspfad aufdecken.
- Überprüfung der Sicherheitsansprüche und der Sicherheitslage eines Cloud-Anbieters. Ein Dienstanbieter und ein Kunde legen die Sicherheitserwartungen in einer Cloud-Service-Level-Vereinbarung (Cloud-SLA) fest, aber mit Cloud-Penetrationstests werden die Ansprüche des Anbieters tatsächlich überprüft.
- Überprüfung der Sicherheit der Berührungspunkte. Berührungspunkte sind Schnittstellen, an denen der Schutzbereich der einen Partei endet und der Schutzbereich der anderen Partei beginnt. Ein solcher Punkt ist der zwischen dem Unternehmen und dem Cloud-Dienstanbieter.
Arten von Cloud-Penetrationstests
Drei gängige Arten von Cloud-Penetrationstests sind Blackbox, Whitebox und Graybox.
Bei einem Black-Box-Test hat der Prüfer keinen Einblick in das Netz. Blindes Vorgehen mag sich als die realistischste und daher bevorzugte Vorgehensweise anhören, ist es aber nicht. Penetrationstests stützen sich in hohem Maße auf automatisierte Tools, während ein echter und koordinierter Angriff im Laufe der Zeit unter Verwendung von OSINT (Open Systems Intelligence), HUMINT (Human Intelligence) und SIGINT (Signals Intelligence) erfolgt. Penetrationstests stützen sich auf OSINT; die beiden anderen sind in der Regel nicht Teil eines Penetrationstestpakets.
Beim White-Box-Ansatz tauschen die IT- und Sicherheitsteams alle Informationen aus, darunter Schaltpläne, Konfigurationen und andere relevante Informationen (gegebenenfalls auch den Quellcode), die für das Pen-Testing-Team von Nutzen sein könnten. Dieser Ansatz dürfte die genauesten Ergebnisse liefern.
In einem Gray-Box-Szenario könnte der Tester zwar die VM- und VMM-Informationen kennen, nicht aber die zusätzlichen Schnittstellen oder die Details des SLA. Den Ergebnissen könnte die Orchestrierung fehlen, die ein vollständiges Bild des Netzwerks vermittelt.
Typische Herausforderungen bei Cloud-Penetrationstests
Penetrationstest in der Cloud sind zwar hilfreich, aber kein einfaches Unterfangen. Seien Sie sich der folgenden Herausforderungen bewusst:
- SLA-Details. SLAs (Service Level Agreements) erschweren die Durchführung von Tests mit einem Einheitsansatz. Auch wenn Penetrationstester individuelle Berichte erstellen sollen, sind die Tools in der Regel ziemlich standardisiert.
- Umfang der Arbeit. Hier stellt sich die Herausforderung, wenn sich die Arbeit auf die VMs beschränkt oder wenn es sich um Black-Box-Tests handelt. Der Umfang hängt von den Bedürfnissen des Kunden und den Regeln des Dienstanbieters ab.
- Orchestrierung. Es ist nicht immer einfach, zwischen einer harmlosen Anomalie, einem Indikator für eine Kompromittierung (IoC, Indicator of Compromise) oder einem vollwertigen Angriff zu unterscheiden - selbst bei vollem Zugriff. Dies liegt daran, dass die Angreifer nicht immer über dieselbe IP-Adresse, denselben Benutzernamen oder denselben Port eindringen. Ein ausgeklügelter Angriff kann eine Gruppe von IP-Adressen, mehrere gestohlene Anmeldedaten und andere Techniken verwenden. Die Rückverfolgung des Pfades hängt zum Teil vom Verständnis der Bedrohungsdaten ab. Das bedeutet nicht unbedingt, dass man der Cybersecurity-Kill-Chain folgen muss, sondern vielmehr, dass man die Cloud-Umgebung verstehen und feststellen muss, welche Ressourcen für bestimmte Angreifer wertvoll sein könnten.
Bewährte Verfahren für Penetrationstests in der Cloud
Für erfolgreiche Penetrationstests in der Cloud sollten Sie die folgenden Schritte beachten:
- Spezifizieren Sie White-Box-Tests.
- Das Modell der geteilten Verantwortung verstehen, auch an den Schnittstellen.
- Arbeiten Sie mit einem erfahrenen Anbieter zusammen.
- Identifizierung von Sicherheitsschwachstellen und sofortige Weitergabe der Ergebnisse an die Verantwortlichen.
- Setzen Sie realistische Erwartungen und Zeitvorgaben.
- Wahrung der Vertraulichkeit der Ergebnisse.
- Sorgen Sie für eine schnelle Reaktion auf Zwischenfälle.
Die drei großen Cloud-Service-Anbieter (Amazon Web Services, Microsoft Azure und Google Cloud) gestatten ihren Kunden, Penetrationstests in ihren eigenen Cloud-Umgebungen und gegen die ihnen zugewiesene Infrastruktur durchzuführen. Die Anbieter haben Regeln für Penetrationstests; die Kunden müssen sich an diese Grenzen halten. Tests, die die Arbeitsumgebung beeinträchtigen können, sind streng verboten. Auftragnehmer sollten eine ausdrückliche Genehmigung einholen, bevor sie mit Penetrationstests beginnen.