Cloud-Umgebungen verändern den Ansatz, wie Bedrohungserkennung und Response funktionieren muss, nach Meinung von Vectra AI fundamental. Da Cloud-Workloads äußerst dynamisch sind und innerhalb von Sekunden aktiviert und deaktiviert werden können, sind sie grundsätzlich unsicher.
Wenn es während der Aufbauphase zu Systemkonfigurationsfehlern kommt, können sich diese Fehler verschärfen, sobald sie per Automatisierung für viele Workloads repliziert werden. Die mit dem Cloud Service Provider (CSP) geteilte Verantwortung für die Sicherheit führt zu potenziellen Lücken in der Bedrohungserkennung innerhalb des Angriffsablaufs. Der Trend in der Cloud geht in Richtung Datenzugriff per API, sodass herkömmliche Ansätze zur Überwachung von Traffic nicht mehr wirksam sind.
Zu den Herausforderungen bei der Bedrohungserkennung und Response kommt erschwerend hinzu, dass Unternehmen mit dem Innovationstempo in der Cloud nicht Schritt halten können. Gleichzeitig konzentrieren sich Unternehmen durch den wachsenden Wettbewerbsdruck stärker auf die Bereitstellung von Funktionen und lagern alle nicht grundlegenden Funktionen des Geschäftsmodells aus – häufig auf Kosten der IT-Sicherheit. Aufgrund der rasanten Zunahme von Cloud-Services laufen gleichzeitig Kontrollen am Netzwerkperimeter ins Leere, während neue Angriffsflächen hinzukommen. Vectra AI, Anbieter von Cybersicherheit auf Basis künstlicher Intelligenz, erläutert die grundsätzlichen Aspekte von Bedrohungserkennung und Response in Cloud‑Umgebungen.
Sicherheitsrisiken durch Fehlkonfigurationen von Cloud-Tools
Die von CSPs angebotenen Tools sind komplex und für einige Unternehmenskunden immer noch neu, was zu versehentlichen Fehlkonfigurationen führen kann. Durch die vielen neuen Funktionen und Services wird der bestehende Fachkräftemangel in der IT-Sicherheit weiter verschärft. Am schwerwiegendsten ist dabei die Einführung zahlreicher neuer Zugriffs- und Verwaltungsfunktionen, die die Variabilität deutlich erhöhen und erhebliche Risiken für Cloud-Bereitstellungen mit sich bringen. Es ist schwierig, Administratoraktionen zu verwalten, zu überwachen und zu überprüfen, wenn diese Anwender von innerhalb oder außerhalb der Unternehmensumgebung auf Cloud-Ressourcen zugreifen können. Ohne eine durchdachte Strategie zur Rechteverwaltung, die strikt getrennte Rollen für den Administratorzugriff ausschließlich von zulässigen Stellen erlaubt, können die entsprechenden Anmeldedaten und Berechtigungen in Unternehmen missbraucht werden.
„Bislang erforderte der Zugriff auf einen Server die Authentifizierung am Perimeter, und die Überwachung des Administratorzugriffs konnte im privaten Netzwerk implementiert werden. Der Zugriff auf die Cloud-Management-Systeme erfolgt jedoch per Weboberfläche oder API über das öffentliche Internet. Ohne angemessenen Schutz könnten Unternehmen damit ihre wertvollen Daten angreifbar machen“, erklärt Andreas Müller, Director DACH bei Vectra AI.
Angriffsablauf in der Cloud: Beispiel „Operation Cloud Hopper“
Für die Kompromittierung von Cloud-Ressourcen stehen Angreifern zwei wichtige Einfallstore zur Verfügung. Bei der ersten Variante nutzen sie herkömmliche Methoden, wozu auch der Zugriff auf Systeme innerhalb des Netzwerkperimeters des Unternehmens gehört. Anschließend folgen Auskundschaftung (Reconnaissance) und Rechteerweiterung für ein Administratorkonto, das Zugriff auf Cloud-Ressourcen hat. Die zweite Variante verkürzt den Prozess und kompromittiert direkt die Anmeldedaten eines Administratorkontos, das Verwaltungsberechtigungen oder CSP-Administratorzugriff besitzt.
Der APT10-Gruppe wurde die taktische Kampagne mit der Bezeichnung „Operation Cloud Hopper“ zugeschrieben, bei der weltweit eine Reihe dauerhafter Angriffe auf Managed CSPs und ihre Kunden durchgeführt wurden. Ziel dieser Angriffe war der Zugriff auf geistiges Eigentum und Kundendaten. Das US-CERT wies darauf hin, dass die Operation Cloud Hopper sich vor allem dadurch auszeichnete, dass die Angreifer nach dem Erlangen des Zugriffs auf einen Managed CSP dessen Cloud-Infrastruktur nutzten, um über das Netzwerk von einem Cloud-Mandanten zum nächsten zu springen (engl. „to hop“). Dabei gelangten die Angreifer an vertrauliche Daten verschiedenster Behörden und Unternehmen in Gesundheitswesen, Fertigung, Finanzsektor und Biotechnologie in mindestens einem Dutzend Ländern.
Bei der APT10-Kampagne „Operation Cloud Hopper“ waren das initiale Eindringen und die Angriffsaktivitäten innerhalb der Cloud-Umgebungen die gleichen Verhaltensweisen, die für Private Clouds und physische Rechenzentren typisch sind. Der Grund dafür ist, dass alle Angriffe, die auf Datenexfiltration abzielen, einem bestimmten Ablauf folgen müssen. Auch wenn es immer schwieriger wird, Kompromittierungen zu verhindern, lassen sich die hierfür genutzten Methoden – von Command-and-Control-
Unternehmen müssen Modell der gemeinsamen Verantwortung verstehen
Ein zentraler Punkt des Modells der gemeinsamen Verantwortung für die Sicherheit ist, dass unabhängig vom genutzten Rechenzentrumsmodell (IaaS, PaaS oder SaaS) das Mandantenunternehmen stets für Daten, Endgeräte, Konten und die Zugriffsverwaltung verantwortlich ist. CSPs hingegen sind dafür verantwortlich, dass ihre eigenen Maßnahmen zur Zugriffsverwaltung und -kontrolle den Zugang zur Cloud-Mandantenumgebungen einschränken. Die Mandanten selbst müssen jedoch davon ausgehen, dass diese Maßnahmen kompromittiert werden können, und sich deshalb auf das Wer, Was, Wann und Wo der Zugriffsverwaltung konzentrieren.
Durch eine ordnungsgemäße Zuweisung von Anwenderzugriffsrechten und Verwaltung der API-Token-Nutzung kann die mehrfache Verwendung derselben Anmeldedaten weitgehend vermieden werden. Cloud-Mandanten können sich also auf die Frage konzentrieren, wie diese Anmeldedaten verwendet werden. Um die seitliche Bewegung (Lateral Movement) zwischen der CSP-Infrastruktur und Cloud-Mandanten zu verhindern, können außerdem Richtlinien für den Ressourcenzugriff implementiert werden.
Erkennung und Response in Abstimmung zwischen CSP und Cloud-Mandant
Die Überwachung von lokalen Umgebungen und der Cloud muss gleichberechtigt erfolgen. Gleichzeitig ist zu klären, wie Daten und Kontext aus beiden Umgebungen korreliert werden, um verwertbare Informationen für Security-Analysten zu gewinnen. Die Überwachung von Cloud-Ressourcen durch die Cloud-Mandanten ist unverzichtbar, weil auf diese Weise eine seitliche Bewegung der Angreifer von der CSP-Infrastruktur zu Mandantenumgebungen und umgekehrt entdeckt werden kann. Durch die Koordination mit dem CSP – sowie die Koordination des CSP mit Cloud-Mandanten – wird eine umfangreiche Zusammenführung von Informationen ermöglicht, was die Chance einer Entdeckung von Post-
Normalzustand muss bekannt sein, um Angreiferverhalten zuverlässig aufzudecken
Die Kenntnis und Verwaltung der Infrastruktur im Rahmen der Sorgfaltspflicht sollte die Identifizierung von Systemen und Prozessen ermöglichen, die mit Malware-Implantaten wie bei der Operation Cloud Hopper kompromittiert wurden. Häufig ist es schwierig, Änderungen an Produktionssystemen zu entdecken.
„Wenn der Überblick über die Cloud-Infrastruktur vorhanden ist, lässt sich Angreiferverhalten in kompromittierten Systemen und Services, die klar außerhalb erwarteter Spezifikationen agieren, deutlich leichter aufdecken“, erklärt Andreas Müller von Vectra AI. „Im Idealfall verfügen die Security-Operations-Teams über handfeste Informationen über zulässige Abläufe in der jeweiligen Infrastruktur, sodass sich bei Abweichungen vom Normalzustand Malware und ihre Aktivitäten zuverlässiger erkennen lassen.“
www.vectra.ai