Tierney - stock.adobe.com
Cloud-Gefahren, die häufig unterschätzt werden
Hinter den Kulissen können Cloud-Dienste Zugänge öffnen, die Angreifer zum unerlaubten Zugriff auf Daten nutzen können. Vier typische Cloud-Risiken, die IT-Teams beachten sollten.
Spätestens mit dem Trend zum Home-Office und hybriden Arbeiten wurde deutlich: Ohne die Cloud geht fast nichts mehr. In einem durchschnittlichen Unternehmen nutzen die Mitarbeitenden heute Hunderte von verschiedenen Cloud-Diensten. Diese Anwendungen werden mithilfe von APIs, Rollen und der Übertragung von Berechtigungen integriert, um Arbeitsabläufe in der Cloud so intuitiv, einfach und effizient wie möglich zu gestalten.
Die Interkonnektivität erhöht den Nutzen, die Nutzerfreundlichkeit und die Effektivität, erleichtert aber gleichzeitig auch laterale Bewegungen, insbesondere durch Hintergrunddienste, die über viele Zugriffsrechte verfügen. Einmal konfiguriert, werden viele dieser Dienste und Konten kaum überwacht und können so zu gefährlichen Angriffsszenarien werden. Dabei sollten Sicherheitsverantwortliche besonders auf vier Bereiche achten.
1. SaaS-Verbindungsdaten
Cloud-Anwendungen sind umso nützlicher, je mehr sie mit anderen Cloud-Anwendungen verbunden sind. Die Integration ermöglicht eine Automatisierung, die die Anwendungen auf dem neuesten Stand hält und die Arbeitsabläufe effizienter macht. In der Regel werden Anwendungen über Servicekonten miteinander verbunden, die APIs (Application Programming Interfaces) verwenden. Diese stellen eine Verbindung her und authentifizieren sich mit einem Schlüssel oder Token. Konten, die SaaS-Anwendungen (Software as a Service) verbinden, sind dabei die häufigsten nicht-menschlichen Instanzen in Cloud-Netzwerken. Mit zunehmender Interkonnektivität steigen so auch die Möglichkeiten von Angreifern, sich lateral zwischen Cloud-Anwendungen zu bewegen. Beliebte Anwendungen wie Microsoft 365 oder Salesforce sind Top-Ziele für Angriffe und sollten deshalb genau überwacht werden.
2. Sicherheitsautomatisierung mittels IDaaS, CASB und SIEM
Um Gruppen und Rollen in den Cloud-Anwendungen zu verwalten, müssen Identity-as-a-Service (IDaaS)-Lösungen Berechtigungen zum Erstellen von Benutzern und zum Zuweisen von Richtlinien zugewiesen werden. Wird das IDaaS kompromittiert, lassen sich privilegierte Entitäten erstellen, die als Hintertür zur Cloud-Infrastruktur fungieren können. Genau dies ist beispielsweise 2017 beim Angriff auf OneLogin geschehen, wodurch Tausende Unternehmen betroffen waren.
Als Proxy können Cloud Access Security Brokers (CASB) jedes Paket und jeden API-Aufruf überprüfen. Ein CASB kann auch so konfiguriert werden, dass es administrative API-Aufrufe für Cloud-Dienste durchführt. Sowohl IDaaS als auch CASB verwenden hochprivilegierte Konten, die in den Dienstprotokollen erscheinen, wenn sie Aktionen im Namen menschlicher Benutzer durchführen. Sie machen weniger Fehler als ein menschlicher Benutzer und arbeiten äußerst effektiv. Wenn sie jedoch kompromittiert werden, können sie großen Schaden anrichten und die Untersuchungen erschweren.
Sowohl CASB- als auch SIEM-Lösungen speichern Protokolle von Cloud-Anwendungen und -Diensten, die auch für Angreifer wertvolle Metadaten über relevante Datenspeicher liefern können und entsprechend gut überwacht werden müssen.
3. PaaS-Konten
PaaS-Rollen (Platform as a Service) vereinfachen die Cloud-Infrastruktur, indem sie ereignisgesteuerte Aufgaben übernehmen und die Implementierung und Wartung von Maschinen, Clustern und serverlosen Anwendungen vereinfachen. Ihnen wird hierfür ein Konto oder eine Rolle in der Cloud-Infrastruktur zugewiesen über das sie üblicherweise mit virtuellen Maschinen und Menschen interagieren. Diese Entitäten werden in aller Regel seltener überwacht als Menschen oder Maschinen. Dies ist überaus problematisch, da sie sensible Aufgaben wie das Löschen von Daten, die Vergabe von Berechtigungen, das Senden von E-Mails und den Zugriff auf Secrets ausführen.
„Um Angreifern einen Schritt voraus zu sein, sollten IT-Teams die verschiedenen Vektoren berücksichtigen, die ein Angreifer nutzen kann, um an die wertvollen Unternehmensdaten zu gelangen.“
Michael Scheffler, Varonis Systems
In einem Beispiel verschaffte sich ein Bounty Hunter Zugang zu 14 Prozent der Java-Quellpakete von Node Packet Manager (NPM), die durch schwache Kennwörter geschützt waren. Es wäre für Angreifer einfach gewesen, eine Codezeile in ein Paket einzuschleusen, das von einer AWS Lambda-Funktion verwendet wird, um die temporären AWS-Anmeldeinformationen der Lambda-Rolle an einen Remote-Server zu senden – und so Buckets aufzulisten und Inhalte herunterzuladen.
4. IaaS-Konten
Virtuelle Maschinen in der Cloud sind im Gegensatz zu Menschen immer aktiv. Wenn Maschinen auf Daten aus der Cloud zugreifen müssen, wie auf einen externen Datenbankdienst, eine Software zur Versionierung von Quellcode oder eine Speicherplattform, wird ihnen eine Entität zugewiesen, mit der sie über API-Schlüssel oder „magische IP-Adressen“ auf Cloud-APIs zugreifen können. Obwohl diese Entitäten und Konten in der Regel von denselben Orten aus Verbindungen herstellen, könnte ihr Verhalten aufgrund ihres Umfangs und ihrer 24x7-Arbeitszeiten schwer zu profilieren sein. Deshalb ist es von größter Wichtigkeit, sie auf ungewöhnliches Verhalten zu überwachen. Dies gilt besonders dann, wenn sie in der Lage sind, Verbindungen zum Internet herzustellen oder vom Internet zu empfangen, da aus der Ferne zugängliche Rechner ein beliebtes Angriffsziel sind.
Die Cloud bringt mit all ihren Vorteilen auch eine enorme Komplexität mit sich. Um Angreifern einen Schritt voraus zu sein, sollten Sicherheits- und IT-Teams die verschiedenen Vektoren (einschließlich menschlicher und nicht-menschlicher Identitäten) berücksichtigen, die ein Angreifer nutzen kann, um an die wertvollen Unternehmensdaten zu gelangen. Nur wenn man diese Angriffspfade kennt und weiß, welche Berechtigungen sie haben beziehungsweise nutzen und welchen Schaden sie bei einer Kompromittierung anrichten können, kann man Angriffe identifizieren sowie Risiken reduzieren.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.