thodonal - stock.adobe.com
Tipps zum richtigen Schutz sensibler Cloud-Konten
Gelingt es Angreifern, ein wesentliches Cloud-Konto zu kapern, kann das für Unternehmen verheerende Folgen haben. Es empfiehlt sich, grundlegende Schutzmaßnahmen einzurichten.
Sicherheitsexperten sind sich der Gefahren bewusst, die entstehen, wenn ein Angreifer sich Zugang zu privilegierten Konten verschaffen kann. Ein Angreifer, der sich Zugang zu den Anmeldeinformationen eines Domänenadministrators oder Root-Zugriff auf einen wichtigen Server verschafft, kann für ein Unternehmen katastrophale Folgen haben. Die Störung und Unterbrechung des gesamten Geschäftsbetriebs, die Verschlüsselung und der Diebstahl von Daten gepaart mit Lösegeldforderungen oder die Ausnutzung des kompromittierten Systems für noch weitreichendere Angriffe sind mögliche Folgen.
Und Security-Experten wissen, wie schwierig es für Unternehmen ist, sich von solchen Kontenübernahmen oder Account-Hijacking-Angriffen zu erholen. Ein böswilliger Akteur, der sich hohe Zugriffsrechte verschafft hat, kann unter Umständen sehr subtile Änderungen vornehmen. Dies kann es den Security-Teams erschweren, mit Sicherheit festzustellen, dass die Umgebung vollständig wiederhergestellt wurde.
Das gilt natürlich gleichermaßen für die Cloud-Nutzung. Die Situation ist hier nicht anders, in mancher Hinsicht eher noch beunruhigender. Es existieren nicht nur Benutzerkonten und Passwörter für VM-Images, die beispielsweise in IaaS-Umgebungen (Infrastructure as a Service) laufen.
Es bestehen viele andere Konten, einschließlich Anwendungskonten und Konten für verbundene Dienste von Drittanbietern, die möglicherweise ihre eigenen zugehörigen API-Schlüssel haben. Darüber hinaus existieren Benutzerkonten mit administrativem Zugriff auf die Konsole des Cloud-Anbieters. Beispielsweise ist dies der Fall bei Abonnementkonten für Public-Cloud-Dienste oder den administrativen Konten, die für den Zugriff auf die Konsole des Cloud-Providers verwendet werden.
Der Zugriff auf derlei Konten kann es, je nach Konfiguration, Angreifern ermöglichen, Abrechnungsänderungen vorzunehmen, Dienste zu aktivieren oder deaktivieren, Konfigurationen zu ändern, neue VM-Instanzen zu starten, Speicherplatz zu löschen und vieles mehr, was wichtige zentrale Funktionen beeinträchtigen kann.
Wie die Übernahme von Cloud-Konten funktioniert
Wenn ein Konto, wie beispielsweise ein Abonnementkonto für die Cloud, kompromittiert wird, stellt dies einen ernsthaften Sicherheitsvorfall dar. Und genau darum geht es beim Cloud-Account-Hijacking. Damit wird die Offenlegung, das versehentliche Durchsickern oder andere Kompromittierung eines Cloud-Kontos, das für den Betrieb, die Verwaltung oder die Wartung einer Cloud-Umgebung entscheidend ist, bezeichnet. Wie eingangs angeführt, handelt es sich dabei häufig um das Konto, über das das Abonnement läuft. Es können aber je nach Zugang auch Nicht-Administratorkonten oder andere Konten betroffen sein, die missbraucht werden können, um unerwünschte Störungen zu verursachen.
Angreifer können Cloud-Konten auf verschiedene Weise übernehmen. Die klassische Kombination aus Nutzername und Passwort ist dabei ein typischer Angriffspunkt. Passwörter können gestohlen werden oder verloren gehen. Unter Umständen schützen die Anwender ihre Passwörter nicht ausreichend oder verwenden diese mehrfach für verschiedene Dienste. Wenn diese Kennwörter dann für die Cloud-Konsole verwendet werden, ist dies ein Risiko. So könnte das Passwort für die Cloud-Konsole durch eine Sicherheitslücke in einer anderen Anwendung oder einen anderen Dienst kompromittiert werden.
Darüber hinaus werden Anmeldedaten auch immer wieder in unangemessener Weise verwendet. So werden sie beispielsweise in Skripte oder Quellcode aufgenommen. Und schließlich versuchen Angreifer auf die bekannten Methoden per Phishing, Schadsoftware, Credential Stuffing oder Brute-Force-Verfahren an die Zugangsdaten zu gelangen.
Der Zugriff auf ein Konto der beschriebenen Art ist aus Sicht eines Angreifers ein äußert hochwertiges Ziel. Wenn Angreifer nicht mit den oben beschriebenen Methoden an die Zugangsdaten gelangen, setzen sie auch auf Methoden wie Clickjacking, um das Authentifizierungsmodell des Cloud-Anbieters zu unterwandern. Dabei löst der Anwender durch Klicks, beispielsweise auf einer Website, andere Aktionen aus, als er es beabsichtigt. Die großen Provider setzen auf Sicherheitsverfahren, um derlei Angriffe zu unterbinden, aber das ist möglicherweise nicht überall der Fall.
Das Risiko der Cloud-Konten-Übernahme reduzieren
Die Gefahren, die für den Geschäftsbetrieb entstehen können, wenn Cloud-Konten übernommen werden, sind vielschichtig und vielerorts erkannt worden. Security-Teams müssen für ihre Umgebungen bestimmen, wie sich diese Art der Kompromittierung am besten verhindern lässt. Das Thema IAM (Identity and Access Management) hat in den letzten Jahren erheblich an Bedeutung gewonnen. Damit härten Security-Experten Anmeldedaten, die für geschäftliche Anwendungen verwendet werden. Es sollten ganz ähnliche Methoden Anwendung finden, um die Anmeldedaten von Cloud-Daten zu schützen.
Multifaktor-Authentifizierung verwenden. Die meisten Cloud-Provider unterstützen Multifaktor-Authentifizierung (MFA) für den Konsolenzugriff. Und die Aktivierung der Funktion sollte ein absolutes Muss in produktiven Umgebungen sein. Zudem müssen Unternehmen auch die verschiedenen Methoden des Zugriffs auf Cloud-Tools berücksichtigen. Dazu gehören Zertifikate für die gegenseitige TLS-Authentifizierung (Transport Layer Security), die für Web-APIs verwendet werden, sowie Authentifizierungs-Tokens und API-Schlüssel. Es ist von entscheidender Bedeutung, zu verstehen, wie sich jemand anmelden könnte – sowohl über die Konsole als auch via Software. Nur so kann man entsprechende Schutzmaßnahmen für jede Zugriffsmethoden ergreifen.
Aufgaben sauber trennen. Üblicherweise benötigen Mitarbeiter aus der Buchhaltung Zugriff auf die Zahlungs- und Abrechnungsbereiche der Konsole des Cloud-Anbieters. Aber sie sollten nicht die Berechtigungen haben, neue virtuelle Instanzen zu starten oder Änderungen an Funktionen vornehmen, die in einer serverlosen PaaS-Umgebung laufen oder auch nur Storage Buckets anzulegen. Hingegen benötigen IT-Mitarbeiter, die sich um die Überwachung von Objekten in einer IaaS-Umgebung kümmern, wahrscheinlich keinen Zugriff auf detaillierte Abrechnungsdaten. Schränken Sie die jeweiligen Zugriffe so granular ein, wie es die Funktionen des Cloud-Providers erlauben.
Berechtigungen regelmäßig überprüfen. Ähnlich wie bei internen Konten, zum Beispiel einer Windows-Domäne, sollte regelmäßig auch bei Cloud-Konten überprüft werden, ob die vergebenen Zugriffsrechte noch angemessen sind. Führen Sie auch hier Verfahren ein, die eine Beendigung des Arbeitsverhältnisses und den Wechsel einer Position berücksichtigen, ganz so, wie dies bei internen Konten üblich ist.
Es muss sichergestellt sein, dass der Zugriff entsprechend angepasst wird, wenn Personen ausscheiden oder ihre Rolle wechseln. Überprüfen Sie, ob vorhandene Tools – etwas aus dem Segment PIM (Privileged Identity Management) – bei dieser Strategie eingesetzt werden können. PIM-Tolls können Aufzeichnungen über die Verwendung von Zugangsdaten führen. CASB-Tools (Cloud Access Security Broker) können bei der Protokollierung des Konsolenzugriffs gute Dienste leisten.