Erkennung von Cyber-Bedrohungen in der Cloud

Cloud-Umgebungen verändern grundlegende Annahmen über die Erkennung und Reaktion auf Cyberbedrohungen. Lesen Sie hier, was das für Unternehmen bedeutet. [...]

Eine wichtige Weiterentwicklung des Modells der gemeinsamen Verantwortung von Cloud-Provider und Cloud-Kunde ist, dass unabhängig vom eingesetzten Rechenzentrumsmodell der Kunde immer für Daten, Endpunkte, Konten und Zugriffsmanagement verantwortlich ist. (c) KanawatVector - adobe.stock.com

Der hochdynamische Bestand an Cloud-Workloads hat dazu geführt, dass Systeme heute in Sekundenschnelle „kommen und gehen“. Ein starker Fokus auf die Automatisierung verstärkt das Potenzial für menschliche Fehler in Systemkonfigurationen. Die gemeinsame Verantwortung zusammen mit dem Cloud Service Provider (CSP) schafft potenzielle Lücken bei der Erkennung von Bedrohungen im Angriffslebenszyklus. Alles in der Cloud verlagert sich auf eine API-Datenzugriffsmethode, während traditionelle Ansätze zur Überwachung des Verkehrsflusses nicht mehr vorhanden sind.

Neben der Erkennung und Reaktion auf Bedrohungen ist das Innovationstempo in der Cloud nach Meinung von Vectra eine Herausforderung für Unternehmen. Die explosive Zunahme von Cloud-Diensten bedeutet, dass das Modell der äußeren Netzwerkgrenze, des Perimeters, und dessen Absicherung obsolet geworden ist. Das Wachstum neuer Infrastruktur- und Bereitstellungswerkzeuge führt zu neuartigen Umgebungen mit ebenso neuen Sicherheitsmodellen und Angriffsflächen. Schließlich wird der bestehende Mangel an Sicherheitskompetenz mit allen neu veröffentlichten Funktionen und Services nochmals verstärkt.

Am kritischsten ist, so Vectra, dass die Einführung von Mehrfachzugriffs- und Managementfunktionen eine Variabilität schafft, die ein erhebliches Risiko für Cloud-Bereitstellungen darstellt. Es ist schwierig, administrative Aktionen zu verwalten, zu verfolgen und zu auditieren, wenn die Benutzer von innerhalb oder außerhalb der Unternehmensumgebung auf Cloud-Ressourcen zugreifen können. Der Zugriff auf einen Server erforderte bislang die Authentifizierung am Unternehmensperimeter. Die Überwachung konnte innerhalb des privaten Netzwerks implementiert werden, um den administrativen Zugriff zu verfolgen und zu überwachen.

Angriff auf den Lebenszyklus in der Cloud

Angreifer haben nun zwei Angriffsmöglichkeiten, um Cloud-Ressourcen zu kompromittieren. Die erste Strategie setzt auf herkömmliche Mittel, also den Zugriff auf Systeme innerhalb der Unternehmensnetzwerkgrenze, gefolgt von Aufklärung und Privilegien-Eskalation auf ein Administratorkonto, das Zugriff auf Cloud-Ressourcen hat. Die zweite Möglichkeit besteht darin, alle oben genannten Punkte zu umgehen, indem man einfach die Zugangsdaten eines Administratorkontos kompromittiert, das über Remote-Administrationsfunktionen oder CSP-Administrationszugriff verfügt.

Diese Variabilität in den administrativen Zugriffsmodellen bedeutet, dass sich die Angriffsfläche mit neuen Sicherheitsbedrohungen verändert. Das Risiko geht nun von einem ungeregelten Zugriff auf Endpunkte zur Verwaltung von Cloud-Services aus. Nicht verwaltete Geräte, die für die Entwicklung und Verwaltung von Infrastrukturen verwendet werden, setzen Unternehmen Bedrohungsvektoren wie Web-Browsing und E-Mail aus. Wenn der zentrale Administrations-Account kompromittiert wurde, muss der Angreifer sich keine Berechtigungen verschaffen (Privilegien-Eskalation) oder den Zugriff auf das Unternehmensnetzwerk aufrechterhalten, da er über das Admin-Konto all das und noch mehr tun kann.

Wie stellen Unternehmen nun eine angemessene Überwachung des Missbrauchs von CSP-Administrationsrechten sicher? Sie müssen laut Vectra überprüfen, wie mit der Systemadministration und dem Besitz des Cloud-Kontos umgegangen wird. Dies bedeutet:

  • Wie viele Personen verwalten das Hauptkonto?
  • Wie werden Passwörter und Authentifizierung durchgeführt?
  • Wer überprüft die Sicherheit dieses wichtigen Kontos?

Wer ist schuld, wenn es ein Sicherheitsproblem gibt? Der CSP oder das Unternehmen als Cloud-Mieter? Zunächst scheint es vom Problem abhängig zu sein, aber einige CSPs wollen diese Verantwortung auf die Kunden übertragen.

Am wichtigsten ist nach Meinung von Vectra: Wie überwacht ein Unternehmen das Vorhandensein und den Missbrauch von administrativen Zugangsdaten? Fehlende Transparenz der Backend-CSP-Management-Infrastruktur bedeutet, dass Cloud-Kunden den Missbrauch des CSP-Zugriffs in ihren eigenen Umgebungen erkennen müssen, wenn dieser als Mittel eingesetzt wird, um in die Unternehmensumgebung einzudringen.

Die wichtigsten Cloud-Sicherheitsbedrohungen

Im Jahr 2017 führte die Cloud Security Alliance (CSA) eine Umfrage durch, um professionelle Meinungen darüber sammeln, was die dringlichsten Sicherheitsprobleme im Cloud-Computing sind. Von den zwölf identifizierten Bedenken betrafen fünf die Verwaltung von Zugangsdaten und Methoden zur Gefährdung dieser Zugangsdaten, um Zugang zu Cloud-Umgebungen für böswillige Zwecke zu erhalten. Diese fünf Umfrageergebnisse sind:

  • Unzureichende Identitäts-, Anmelde- und Zugriffsverwaltung – Fehlende skalierbare Systeme für das Identitätszugriffsmanagement, fehlende Multifaktor-Authentifizierung, schwache Passwörter und fehlende automatische Rotation von kryptografischen Schlüsseln, Passwörtern und Zertifikaten.
  • Unsichere Schnittstellen und APIs – Von der Authentifizierung und Zugriffskontrolle bis hin zur Verschlüsselung und Aktivitätsüberwachung müssen diese Schnittstellen so konzipiert sein, dass sie sowohl vor versehentlichen als auch vor bösartigen Versuchen zur Umgehung von Richtlinien schützen.
  • Account-Hijacking – Angreifer können Benutzeraktivitäten und -transaktionen abhören, Daten manipulieren, gefälschte Informationen zurückgeben und Clients auf illegale Websites umleiten.
  • Böswillige Insider – Ein aktueller oder ehemaliger Mitarbeiter, Auftragnehmer oder anderer Geschäftspartner, der Zugang zu den Netzwerken, Systemen oder Daten eines Unternehmens hat oder hatte und diesen Zugang absichtlich überwunden oder missbraucht hat, in einer Weise, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen oder Informationssysteme des Unternehmens negativ beeinflusst.
  • Unzureichende Sorgfaltspflicht – Die Nichterfüllung der Sorgfaltspflicht setzt ein Unternehmen einer Vielzahl von wirtschaftlichen, finanziellen, technischen, rechtlichen und Compliance-Risiken aus, die den Geschäftserfolg gefährden.

Analyse eines realen Cloud-Angriffs

Der APT10-Gruppe wird eine taktische Kampagne mit dem Namen „Operation Cloud Hopper“ zugerechnet, eine globale Serie von nachhaltigen Angriffen auf CSPs und deren Kunden. Diese Angriffe zielten darauf ab, Zugang zu sensiblen intellektuellen und Kundendaten zu erhalten. US-CERT stellte fest, dass ein entscheidendes Merkmal der Operation Cloud Hopper darin bestand, dass die Angreifer beim Zugang zu einem CSP die Cloud-Infrastruktur nutzten, um von einem Cloud-Mieter zum anderen zu gelangen. Damit gelang es ihnen, sich Zugang zu sensiblen Daten in einer Vielzahl von Regierungs- und Industrieeinheiten in den Bereichen Gesundheitswesen, Fertigung, Finanzen und Biotechnologie in mindestens einem Dutzend Ländern zu verschaffen.

Der Angriffslebenszyklus von Cloud Hopper

Bei der Operation Cloud Hopper nutzten die Angreifer zunächst Phishing-E-Mails, um Konten mit Zugriff auf CSP-Administrationsdaten zu kompromittieren. Dies ist die häufigste Infektionsmethode für jeden Angriff und immer noch der einfachste Weg, um den erstmaligen Zugriff auf ein Netzwerk zu erhalten. Der Angreifer setzt Malware ein, die die notwendigen Zugangsdaten sammelt, um direkt in die CSP- und Client-verwaltete Infrastruktur einzudringen.

Sobald der Zugriff auf die Managementinfrastruktur erreicht ist, kann PowerShell für Befehlszeilen-Skripte verwendet werden, um die Umgebung auszukundschaften und Informationen zu sammeln. Diese werden dann für die seitliche Bewegung verwendet, um Zugriff auf zusätzliche Systeme zu erhalten.

Die Angreifer setzten ebenso kompromittierte Zugangsdaten ein, um Sicherheitsgrenzen zu überschreiten, und nutzen Cloud Service Provider effektiv als Schritt, um Zugang zu Geschäftsdaten mehrerer Unternehmen zu erhalten. Um eine dauerhafte Konnektivität zur Cloud-Infrastruktur zu gewährleisten, falls ein Administratorkonto nicht mehr funktionierte, installierten die Angreifer Fernzugriffstrojaner für Command-and-Control zum Spoofing legitimer Domains.

Zum Einsatz kam Open-Source-Malware „von der Stange“, die zuvor bereits bei vielen Angriffen wie Poison Ivy und PlugX eingesetzt wurde. Viele der Systeme, die mit Fernzugriff kompromittiert wurden, waren nicht geschäftskritisch, so dass sie verwendet werden konnten, um die seitliche Bewegung fortzusetzen und die Erkennung durch Systemadministratoren zu vermeiden.

Die letzte Phase der Operation Cloud Hopper war die Datenexfiltration von geistigem Eigentum. Die Daten wurden gesammelt, komprimiert und aus der CSP-Infrastruktur in die von den Angreifern kontrollierte Infrastruktur exfiltriert.

Da CSPs die Verantwortung in den verwalteten Infrastrukturen übernehmen, nimmt das Maß an Kontrolle und Transparenz, das die Cloud-Mieter beibehalten, ab. APT10 nutzte diese verringerte Transparenz und die Vorteile von Zugangsdaten und Systemen, über die ein Zugriff sowohl auf CSP- als auch auf Unternehmens-Infrastrukturen möglich war.

Cloud-Mieter haben keine Transparenz oder Kontrolle in der CSP-Infrastruktur selbst. Daher ist es eine große Herausforderung, Angreifer zu überwachen und zu erkennen, die auf ein System zugreifen und sich dann schnell innerhalb der CSP-Infrastruktur bewegen, um auf ein anderes System zuzugreifen. Es ist wichtig zu beachten, dass die Komplexität hybrider Umgebungen, in denen CSPs und lokale Systeme involviert sind, es schwierig macht, Probleme wie gestohlene Zugangsdaten oder Seitwärtsbewegungen von Angreifern von einem Cloud-Mieter zu einem CSP und dann zu einem zweiten Cloud-Mieter adäquat anzugehen. Ein sorgloser und unaufmerksamer Cloud-Mieter kann das Risiko für andere Cloud-Mieter erhöhen, die eine größere Sorgfalt walten lassen.

Shared Responsibility: Modell der gemeinsamen Verantwortung

Die Sicherstellung von Fähigkeiten zur Erkennung und Reaktion auf Bedrohungen in Cloud-Umgebungen beginnt mit einem grundlegenden Verständnis des Modells der gemeinsamen Verantwortung und der Auswirkungen, die das Modell auf das Sicherheitsmanagement und die Überwachungsfunktionen hat. Die Sicherheit von Cloud-Services basiert auf einer Partnerschaft und gemeinsamen Verantwortung zwischen Cloud-Mietern und dem CSP. Der CSP ist für die Cloud-Plattform und die physische Sicherheit seiner Rechenzentren verantwortlich. Die Mieter besitzen ihre Cloud-Daten und Identitäten, die Verantwortung für ihren Schutz, die Sicherheit der lokalen Ressourcen und die Sicherheit der Cloud-Komponenten, über die sie die Kontrolle haben. CSPs bieten Sicherheitskontrollen und -funktionen zum Schutz von Daten und Anwendungen, und der Grad der Verantwortung des Mieters für die Sicherheit richtet sich nach der Art der Cloud-Services.

Die Höhe und Ausgewogenheit der Kontrolle durch CSPs und Cloud-Mieter hängt vom verwendeten Computing-Modell ab. Das folgende Modell, das von Microsoft für Azure bereitgestellt wird, veranschaulicht den Grad der gemeinsamen Verantwortung auf der Grundlage einer Cloud-Plattform.

Bei On-Premises-Bereitstellungen handelt es sich um Rechenzentren, die eine virtualisierte Infrastruktur nutzen, die sich im Besitz des Unternehmens befindet. In diesem Modell ist ein Unternehmen für den gesamten Security Stack verantwortlich, von physischen Geräten bis hin zu Daten.

Ein virtuelles Infrastruktur-as-a-Service (IaaS)-Modell für virtuelle Rechenzentren repliziert bestehende interne Rechenzentren. In diesem Fall ist eine physische Trennung der Hardware nicht möglich und erfordert Fähigkeiten auf Hypervisor-Ebene zum Erstellen von Sicherheitszonen und für den Fernzugriff.

Bei der Wahl zwischen der Verwaltung der Infrastruktur in einer privaten oder öffentlichen Cloud entscheiden sich die meisten Unternehmen für eine hybride Cloud, eine Kombination aus privater und öffentlicher Cloud mit gemeinsamen Ressourcen und Verteilungskomponenten. Normalerweise ist die kritische Backend-Infrastruktur privat und der Zugriff und die Verteilung öffentlich. Sicherheits- und Compliance-Bedenken haben bei virtualisierten Rechenzentrums- und Cloud-Bereitstellungen oberste Priorität. Zu den Sicherheitsanforderungen für virtualisierte Rechenzentren und Clouds gehört die Möglichkeit, virtualisierte Umgebungen zu überwachen und gleichzeitig die höchste Kapazität und Leistung der VM-Hosts aufrechtzuerhalten. Zu den Techniken gehören Hypervisor-basierte zustandsorientierte Firewalls, Netzwerkerkennung und virtualisierungsspezifischer Endpunktschutz.

In einem Plattform-as-a-Service (PaaS)-Modell werden Anwendungen auf bestehenden ausgelagerten Plattformen installiert und verwaltet. Ein Server kann für den exklusiven Zugriff bereitgestellt werden oder ein Server wird von mehreren Anwendungen gemeinsam genutzt.

Vertrauliche Informationen können anderen Benutzern oder dem Dienstanbieter zugänglich gemacht werden, da keine Kontrolle über die vorhandene Hardware besteht. Die Kontrollen müssen auf die Daten innerhalb der Anwendungen und Datenbanken unter Verwendung von Verschlüsselung und externer Schlüsselverwaltung für virtuelle Umgebungen angewendet werden.

Mit Software-as-a-Service (SaaS) werden Drittanbieteranwendungen wie Salesforce genutzt, um einen bestimmten Service bereitzustellen. Die Daten werden auf dem Backend der Anwendungsanbieter mit Hilfe von Zugriffskontrollen gespeichert.

Unternehmensanwendungen unterstützen nun die Integration mit Active Directory über ADFS (Active Directory Federation Services) und SAML (Security Assertion Markup Language) zur Kommunikation. Es müssen Kontrollen für die Authentifizierung und das Zugriffsmanagement sowie die Überwachung vorgesehen werden, um sicherzustellen, dass das Unternehmen die Kontrolle über die Nutzung dieser Anwendungen behält.

Wichtige Schlussfolgerungen

Bei der Operation Cloud Hopper, dem Angriff der APT10-Gruppe, war die Methode des anfänglichen Eindringens Cloud-spezifisch, aber das Angriffsverhalten innerhalb dieser Cloud-Umgebungen war das gleiche wie in privaten Clouds und physischen Rechenzentren. Alle Angriffe müssen nämlich einem bestimmten Angriffslebenszyklus folgen, um erfolgreich zu sein, insbesondere, wenn das Ziel die Datenexfiltration ist. Die Verhinderung einer Kompromittierung wird immer schwieriger, aber das Erkennen des auftretenden Verhaltens – von Command-and-Control bis zur Datenexfiltration – ist es nicht. Hinzukommt, dass, wenn ein Angriff in Stunden statt in Tagen durchgeführt wird, die erforderliche Zeit zur Erkennung immer wichtiger wird.

Eine wichtige Weiterentwicklung des Modells der gemeinsamen Verantwortung ist, dass unabhängig vom eingesetzten Rechenzentrumsmodell, also Infrastructure-, Platform- oder Software-as-a-Service, das Unternehmen immer für Daten, Endpunkte, Konten und Zugriffsmanagement verantwortlich ist.

Zugriffsverwaltung

CSPs müssen ihr eigenes Zugriffsmanagement und ihre Kontrollen sicherstellen, die den Zugriff auf Cloud-Mieterumgebungen einschränken. Die Cloud-Mieter selbst müssen jedoch davon ausgehen, dass eine Kompromittierung möglich ist, und über das „Wer“, „Was“, „Wann“ und „Wo“ des Zugriffsmanagements Bescheid wissen. Die korrekte Zuweisung von Benutzerzugriffsrechten hilft, indem sie Instanzen von gemeinsamen Zugangsdaten reduziert, so dass sich Cloud-Mieter darauf konzentrieren können, wie diese Zugangsdaten verwendet werden. Richtlinien für den Ressourcenzugriff können auch die Bewegungsmöglichkeiten zwischen der CSP-Infrastruktur und Cloud-Mietern reduzieren.

Erkennung und Reaktion

Wenn es um Cloud- und On-Premises-Monitoring geht, ist es notwendig, sowohl das Geschehen zu überwachen als auch festzustellen, wie Daten und Kontext von beiden Umgebungen zu verwertbaren Informationen für Sicherheitsanalysten korreliert werden können. Die Überwachung von Cloud-Ressourcen durch Cloud-Mieter ist unerlässlich, um die Fähigkeit zu erhöhen, Querbewegungen von der CSP-Infrastruktur zu den Mieterumgebungen zu erkennen und umgekehrt. Die Koordination mit dem CSP – sowie die CSP-Koordination mit Cloud-Mietern – kann eine leistungsfähige Kombination von Informationen liefern, um die Wahrscheinlichkeit zu erhöhen, die Aktivitäten nach der Kompromittierung zu erkennen. Noch wichtiger ist, dass die Transparenz des Angriffsverhaltens von Angreifern von der Implementierung geeigneter Tools abhängt, die Cloud-spezifische Daten nutzen können.

Sicherheitsmaßnahmen

Die Kenntnis und Verwaltung der Infrastruktur im Rahmen der Due Diligence sollte dazu beitragen, Systeme und Abläufe zu identifizieren, die durch Malware-Implantate wie die in der Operation Cloud Hopper verwendeten gefährdet sind. Änderungen an Produktionssystemen sind oft schwer zu erkennen. Wenn jedoch in der Cloud-Infrastruktur Transparenz vorhanden ist, ist es viel einfacher, das Verhalten von Angreifern in kompromittierten Systemen und Diensten zu erkennen, die eindeutig außerhalb der erwarteten Spezifikationen arbeiten. Im Idealfall verfügen die Sicherheitsteams über solide Informationen zu den Erwartungen an diese Infrastruktur, so dass Abweichungen von der normalen Aktivität eher dazu führen, dass Malware und ihre Aktivitäten identifiziert werden.


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*