Dem Sicherheitsrisiko Cloud Backdoors richtig begegnen
Auch in der Cloud gibt es Backdoors, über die Daten aus einem Unternehmen geschleust werden. Die Maßnahmen zum Schutz vor dieser Gefahr hängen von der jeweiligen Cloud-Umgebung ab.
Versteckte Hintertüren waren mit einem Anteil von mehr als 33 Prozent die am zweithäufigsten entdeckte Malware in Cloud-Umgebungen im vierten Quartal des vergangenen Jahres. Die Zahl stammt aus dem aktuellen „Cloud Report“ von Netskope.
Der hohe Anteil ist eine ernst zu nehmende Gefahr für Unternehmen, die Cloud-Dienste in großem oder kleinem Maßstab nutzen. Es ist deswegen besonders wichtig, genau zu verstehen, wie sich eine Cloud Backdoor von anderen Hintertüren unterscheidet und wie ein Security-Team sie erkennen und blockieren kann.
Was ist eine Cloud Backdoor?
Eine detaillierte Erklärung dieses Begriffs ist etwas schwieriger, als es auf den ersten Blick erscheinen mag. Das liegt zum Teil daran, das die Klassifizierung von Malware, sei es in der Cloud oder an anderen Stellen, ein kompliziertes und äußerst differenziertes Geschäft ist.
Trotz der Bestrebungen vor Sicherheitsforschern in den vergangenen Jahren, einen einheitlichen Standard zur Identifikation von Malware zu entwickeln, sind sie noch bei weitem nicht soweit. Das liegt daran, dass laufend so viele neue Schädlinge gefunden werden, dass ihre Benennung, Einstufung und Klassifizierung eine äußerst aufwändige Aufgabe ist.
Bei eher allgemeinen Schädlingskategorien und -familien gibt es breit akzeptierte Einstufungen, die von den meisten beteiligten Forschern unterstützt und in der Praxis auch genutzt werden. Anders sieht es jedoch bei einzelnen, spezifischen Schädlingen aus. Hier bleibt es im Prinzip den einzelnen Mitarbeitern bei einem Antivirusspezialisten überlassen, welcher der unterschiedlichen Varianten und Unterklassen sie eine neue Malware zuordnen.
Allgemein gesehen, werden Backdoors aber auch so eingestuft, wie sie genutzt werden. Sie dienen vor allem dazu, es einem Angreifer zu ermöglichen, ein infiziertes IT-System für seine Zwecke zu missbrauchen. Davon betroffen können sowohl physisch existierende Systeme, lokale virtuelle Maschinen oder eben auch Instanzen in der Cloud sein. Eine Cloud Backdoor ist also zunächst genau das, was sie auf den ersten Blick auch zu sein scheint: Ein versteckter Kanal, der es einem Angreifer ermöglicht, eine gewisse Kontrolle über eine IT-Ressource in einem Unternehmen auszuüben.
Dieser Punkt trifft auf jede Backdoor zu. In der Cloud ist es jedoch so, dass der versteckte Kanal durch sie selbst erleichtert wird, dass er eine bestimmte Komponente in der Cloud nutzt oder dass er Cloud-Ressourcen dazu verwendet, um sich weiter zu verbreiten. In welcher Form der Schaden auftritt, hängt davon ab, welches Cloud-Modell eingesetzt wird.
Hintertüren zu IaaS- und SaaS-Umgebungen
Im Fall von zum Beispiel einer IaaS-Umgebung (Infrastructure as a Service) könnte sich der Begriff Cloud Backdoor auf eine Malware beziehen, die den Zugang zu einer entfernten virtuellen Umgebung ermöglicht, die von einem IaaS-Provider gehostet wird. Hier sprechen wir also von einer direkten Hintertür in die jeweilige Cloud-Umgebung.
In einem SaaS-Umfeld (Software as a Service) sieht das ganz anders aus. Hier bezieht sich der Begriff Cloud Backdoor auf eine schädliche Komponente, die die Cloud nur nutzt, um sich einen versteckten Zugang zu einem Unternehmen zu verschaffen. Die eingangs erwähnten Zahlen von Netskope basieren vermutlich auf diesem Bereich.
Es gibt ein paar Punkte, die in diesem Zusammenhang noch erwähnt werden müssen. Erstens sind Backdoors, die auf diese Weise entstehen, äußerst schwer zu entdecken. Das liegt daran, dass sie auf Ressourcen zugreifen, die außerhalb der direkten Kontrolle des Kunden liegen.
So verwenden die meisten Unternehmen bereits Sicherheitssoftware, um ihre intern und On-Premises im eigenen Rechenzentrum genutzten Anwendungen vor Schadcode zu schützen. In einem Cloud-Umfeld gibt es diese Möglichkeiten aber entweder gar nicht oder sie werden mit dem Anbieter geteilt. Es ist auch möglich, dass sie über andere Abläufe überwacht werden, auf die das betroffene Unternehmen keinen direkten Zugriff erhält. Das Problem wird noch durch den Trend zu so genannter Fileless Malware verschärft. Dabei handelt es sich um spezielle Malware, die nur in den Arbeitsspeicher geladen wird. Dadurch werden die Verbindungen zum zugrunde liegenden Dateisystem reduziert, das in der Regel durch klassische Dateiscanner überwacht wird.
Zweitens können Cloud Backdoors andere Sicherheitsmechanismen umgehen, die ein Unternehmen nutzt. So ist es möglich, dass das Ausschleusen von Daten direkt aus der Firmen-IT einen Alarm auslöst, während derselbe Vorgang in einer IaaS-Umgebung jedoch unbemerkt bleibt.
Schadensbegrenzung bei Cloud-Hintertüren
Die Frage ist nun, wie ein Unternehmen eine Cloud Backdoor erkennen und Schaden durch sie verhindern kann? Die Antwort lautet, dass die dazu nötigen Maßnahmen von der genutzten Cloud-Umgebung abhängen.
In einem IaaS-Umfeld sehen die Schritte ähnlich wie bei einer internen On-Premises-Nutzung von Diensten aus. Dazu gehören die üblichen Schutz-Tools wie Lösungen zur Endpoint Security, aber auch SIEM-Werkzeuge (Security Information and Event Management), Intrusion Detection und so weiter. Die Maßnahmen, um sie zu implementieren, variieren aber eventuell leicht. Genauso wie der Grad der Kontrolle variiert, den die Kunden über die angebotenen Anwendungen haben. Technisch gesehen arbeiten diese Lösungen aber sehr ähnlich wie andere Software zum Schutz vor Bedrohungen aus dem Internet.
Nichtsdestotrotz ist es sinnvoll, die in der Cloud zu treffenden Maßnahmen separat von den internen Schritten zu planen. Häufig sind nämlich andere Teams dafür zuständig. Diese nutzen zum Beispiel möglicherweise komplett andere Werkzeuge zum Schutz der jeweiligen Umgebung.
SaaS ist der Bereich, in dem es dann wirklich kompliziert wird. Auch hier gibt es aber mittlerweile bereits ausgereifte Tools, die sich einsetzen lassen. Besonders interessant sind die so genannten Cloud Access Security Broker (CASB), die auch vor bestimmten Gefahren durch Cloud Backdoors schützen. Netskope ist ein Hersteller in diesem Bereich. Andere sind Skyhigh Networks (McAfee), CipherCloud und Symantec. Ihre Werkzeuge dienen dazu, nicht nur klassische Malware aufzuspüren und zu blockieren, sondern auch Backdoors. Außerdem schützen sie indirekt, weil sich mit ihnen die Zugriffe auf die Cloud überwachen und von einem Unternehmen getroffene Sicherheitsrichtlinien durchsetzen lassen.
Für Firmen, die kein CASB nutzen, gibt es andere Möglichkeiten. Um sie einzusetzen, sollte man sich zunächst aber darüber klar werden, dass eine Backdoor für einen Angreifer nur dann einen Sinn ergibt, wenn er darüber sein Ziel zumindest teilweise kontrollieren und steuern kann. Dazu sucht er nach verwundbaren Systemen im Netzwerk. Werkzeuge zur Kontrolle des Ausschleusens von Daten, zur Überwachung des Verhaltens und andere bereits aktive Verteidigungsstrategien können dabei helfen, heimliche Eindringlinge und ihre Tools aufzuspüren und so weiteren Schaden zu verhindern.
Von größerer Sorge sollten jedoch auch vor allem die Geräte sein, die nicht direkt unter der Kontrolle eines Unternehmens stehen. Dazu gehören vor allem die privaten und persönlichen Geräte der Mitarbeiter. Das Stichwort lautet hier BYOD, also Bring Your Own Device. Viele dieser Endgeräte haben Zugriff auf Ressourcen des Unternehmens. Hier sollten auf jeden Fall Maßnahmen ergriffen werden, um die Zugriffe zu kontrollieren oder notfalls auch zu beenden.
Unternehmen sollten alle nötigen Maßnahmen ergreifen, um sich vor Backdoors auch in der Cloud genauso wie vor internen Bedrohungen zu schützen. Die dazu nötigen Schritte hängen jedoch von den zur Verfügung stehenden Tools und der spezifischen Cloud-Umgebung ab, die genutzt werden soll. Die dafür bereits im Vorfeld aufgewendete Zeit ist aber, gerade in Anbetracht der Ergebnisse der Studie von Netskope, ausgesprochen gut investiert.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!