Leitfaden von Orca Security und AWS

Ransomware-Prophylaxe in der Cloud

Ransomware-Prophylaxe
Quelle: Tada Images / Shutterstock.com

Ransomware-Angriffe betreffen mittlerweile auch Cloud-Ressourcen. Die daher unverzichtbare Ransomware-Prophylaxe in der Cloud besteht jedoch nicht nur darin, Malware zu erkennen, sondern die Cloud-Umgebung auch kontinuierlich zu sichern und zu härten. Ziel ist es, zu verhindern, dass Angreifer ihr Ziel erreichen können.

Unternehmen müssen zudem sicherstellen, dass sie AWS Backup verwenden, um unveränderliche Sicherungen ihrer wichtigsten Cloud-Ressourcen anlegen sowie regelmäßige Tests durchführen.

Anzeige

In ihrem neuem Whitepaper, das sich an CISOs, Cloud-Sicherheitsexperten, Risikomanagement-Experten und DevOps-Teamleiter richtet, zeigen Orca Security und Amazon Web Services (AWS) fünf wichtige Maßnahmen zur Ransomware-Prophylaxe in Cloud-Umgebungen auf. Der Leitfaden zeigt insbesondere auf, wie die Orca Security-Plattform eine verbesserte und kontinuierliche Sichtbarkeit von AWS-Ressourcen und -Services ermöglicht. Dies bezieht sich auf Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), Amazon Simple Storage Service (Amazon S3) Buckets, AWS Fargate und AWS Lambda.

1. Die wichtigsten Cloud-Ressourcen kennen

Ransomware-Angreifer führen sowohl vor als auch während ihrer Angriffe eine Erkundung durch und suchen nach den sensibelsten Dateien. Daher ist es wichtig zu wissen, welche Assets für das Unternehmen am kritischsten sind, um die Härtung dieser Bereiche und die Behebung von Risiken zu priorisieren. Orca erstellt eine vollständige Bestandsaufnahme der Cloud-Assets in AWS Cloud-Umgebungen, einschließlich der Assets, wenn sie hinzugefügt, gelöscht, angehalten oder geändert werden. Dazu gehören EC2-Instanzen, Container und Lambda-Ressourcen sowie Cloud-Infrastrukturressourcen wie S3-Buckets, VPCs, KMS-Schlüssel und vieles mehr.

Um festzustellen, welche Assets geschäftskritisch sind, erkennt Orca automatisch sensible Daten. Darüber hinaus können Kunden kritische Assets selbst kennzeichnen und klassifizieren. Zu den „Kronjuwelen“-Kategorien gehören personenbezogene Informationen, Geheimnisse, geistiges Eigentum, Finanzinformationen und andere sensible Daten.

Anzeige

2. Malware in den Cloud-Workloads erkennen

Malware-Scans sind die erste Verteidigungslinie zur Erkennung von Ransomware. Während das signaturbasierte Scannen nach Datei-Hashes (Signaturen) dazu dient, bekannte Malware zu finden, ist es wichtig, auch heuristische Erkennung einzusetzen. Diese ermöglicht die Erkennung von polymorpher Malware und Zero-Day-Bedrohungen. Damit die Malware-Erkennung effektiv und brauchbar ist, müssen Cloud-Ressourcen vollständig und regelmäßig gescannt werden, ohne die Performance zu beeinträchtigen. Agentenbasierte Lösungen sind jedoch ressourcenintensiv und werden in der Regel nicht auf allen Assets eingesetzt, so dass manche Malware unentdeckt bleibt.

Die agentenlose SideScanning-Technologie von Orca untersucht Cloud-Workloads out-of-band auf Malware und eliminiert so die Leistungsbeeinträchtigung und den operativen Overhead von Agenten. Orca verwendet eine Vielzahl von Malware-Erkennungstechniken, um bekannten und unbekannten bösartigen Code in Cloud-Workloads und -Ressourcen wie S3-Buckets und Container-Image-Repositories zu finden. Beim erstmaligen Einsatz entdeckt Orca oft Malware, die möglicherweise schon seit Monaten oder Jahren ohne das Wissen des Kunden vorhanden war. Die Plattform erkennt auch bösartige Dateien auf gestoppten Rechnern und ermöglicht die Beseitigung, bevor diese wieder in den Betriebszustand versetzt werden. Orca bietet den Kontext und die Priorisierung, um Entscheidungen darüber zu erleichtern, welche Schritte unternommen werden müssen, wenn Malware entdeckt wird.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Schwachstellen in der Cloud-Umgebung erkennen und patchen

Um sich vor potenziellen Angriffen zu schützen, müssen Sicherheitsteams ihre Cloud-Umgebungen regelmäßig auf Schwachstellen überprüfen, einschließlich Betriebssystemen, Workloads und Anwendungen. Orca nutzt mehr als 20 Datenquellen, um Schwachstellen in der gesamten Cloud-Umgebung zu entdecken und zu priorisieren. Bei der Suche nach Schwachstellen extrahiert Orca alle Betriebssystempakete, Bibliotheken und Programmiersprachenbibliotheken wie Java-Archive, Python-Pakete, Go-Module, Ruby-Gems, PHP-Pakete und Node.js-Module. Die Plattform sammelt dann Bibliotheksversionen und andere identifizierende Merkmale, um alle ungepatchten Schwachstellen zu erkennen. Orca bietet auch eine CI/CD-Integration, die Schwachstellen-Scans zu einem frühen Zeitpunkt im Entwicklungslebenszyklus ermöglicht, einschließlich Infrastructure as Code (IaC)- und Container-Image-Scans.

Berücksichtigt werden die folgenden Faktoren, um zu bestimmen, welche Schwachstellen vorrangig behandelt werden sollten:

  • Schweregrad: Wie schwerwiegend ist das zugrundeliegende Sicherheitsproblem? Um welche Art von Bedrohung handelt es sich zum Beispiel, wie wahrscheinlich ist es, dass sie ausgenutzt wird, und wie hoch ist der CVSS-Score?
  • Zugänglichkeit: Wie einfach ist es für einen Angreifer, auf das Asset zuzugreifen, das diese Schwachstelle enthält? Ist das Asset beispielsweise öffentlich zugänglich, oder besteht das Risiko einer seitlichen Bewegung?
  • Auswirkung auf das Unternehmen: Welche Auswirkungen hätte es, wenn die Schwachstelle ausgenutzt würde? Ist dieses Asset beispielsweise für das Unternehmen von entscheidender Bedeutung, enthält es vertrauliche personenbezogene Daten?

4. Ausnutzbare IAM-Fehlkonfigurationen identifizieren

Fehlkonfigurationen im Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM), wie z. B. zu freizügige Identitäten, schlechte Passwort- und Anmeldungspraktiken und versehentliche öffentliche Exposition sind allesamt kritisch. Ransomware-Angreifer können diese Fehler ausnutzen, um entweder in Cloud-Ressourcen einzudringen oder auf sich auf andere Assets zu verlagern.

Daher sollte die IAM-Sicherheit als Teil jedes guten Cybersicherheitsprogramms diese Best Practices befolgen:

  • Durchsetzung des Prinzips der geringsten Privilegien durch Autorisierungsrichtlinien, einschließlich der Privilegien, die Personen sowie Dienstkonten und Rollen zugewiesen werden.
  • Nutzung der Multi-Faktor-Authentifizierung als allgemeine Richtlinie.
  • Durchsetzung starker und häufig aktualisierter Passwörter.
  • Regelmäßig Audits, um Fehlkonfigurationen, eine nicht aktualisierte Rollenverwaltung oder den Missbrauch von Berechtigungen festzustellen.

Orca erkennt und priorisiert automatisch häufige und verdächtige IAM-Fehlkonfigurationen in den Ressourcen innerhalb von AWS, um die strengen IAM-Compliance-Vorgaben zu erfüllen und die Cloud-Sicherheitslage zu verbessern. Die Plattform kann Kunden vor schwachen Passwörtern warnen, Cloud-Konten mit übermäßigen Berechtigungen identifizieren und feststellen, ob MFA auf Cloud-Konten aktiviert ist. Ebenso kann sie gültige Zugriffsschlüssel identifizieren sowie Rollen oder Benutzer identifizieren, die nicht verwendet werden. All dies trägt dazu bei, Angreifer daran zu hindern, IAM-Fehlkonfigurationen zu missbrauchen.

5. Potenzielle Seitwärtsbewegungen und Angriffspfade erkennen

Immer raffiniertere Ransomware-Angreifer bewegen sich innerhalb eines Netzwerks in Richtung hochwertiger Assets und nutzen Schwachstellen und Fehlkonfigurationen, um ihr Ziel zu erreichen. Durch die Kombination der Intelligenz aus dem Workload (Datenebene) mit AWS-Metadaten (Steuerebene) erhält Orca einen vollständigen Einblick in das gesamte AWS-Cloud-System eines Kunden, um die Verbindung zwischen verschiedenen Assets zu verstehen. Die Plattform erkennt Risiken und Schwachstellen, die laterale Bewegungen in der Cloud-Umgebung ermöglichen könnten, und bietet Abhilfemaßnahmen zur Stärkung der Sicherheitslage.

Darüber hinaus stellt Orca potenzielle Angriffspfade in einem visuellen Diagramm dar, das als eine Abfolge von Ereignissen beschrieben werden kann, wie ein Angreifer eine Schwachstelle ausnutzen könnte, von Anfang bis Ende. Jeder Angriffsvektor in diesem Pfad enthält Tags zur einfachen Identifizierung und Filterung, einschließlich der anwendbaren MITRE ATT&CK-Kategorien. Die Darstellung des Angriffspfads auf diese Weise macht ihn für Sicherheitsexperten verständlich und ermöglicht es ihnen zu verstehen, welche Schwachstellen behoben werden müssen, um den Angriffspfad zu deaktivieren.

Fazit zur Ransomware-Prophylaxe

Um Cloud-Ressourcen vor Ransomware zu schützen, gilt es die wichtigsten Daten zu kennen, Schwachstellen aufzudecken, IAM-Fehlkonfigurationen zu identifizieren und das Risiko von Seitwärtsbewegungen zu minimieren. All dies trägt dazu bei, Cloud-Ressourcen effektiv abzusichern und das Ransomware-Risiko erheblich zu verringern.

Weitere Informationen:

Das Whitepaper zum Thema Ransomware-Prophylaxe in Cloud-Umgebungen steht hier zum Download bereit.

orca.security

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.