Blog

Die 11 grössten Cloud-Sicherheitsbedrohungen der Cloud Security Alliance

/ Kategorie: Cloud Security

Über 700 Branchenexperten hat die Cloud Security Alliance (CSA) vor Kurzem zu den grössten Sicherheitsproblemen in der Cloud befragt. Den wichtigsten 11 Bedrohungen „Pandemic Eleven“ sollten Security-Verantwortliche mehr Aufmerksamkeit schenken, um die Sicherheit ihrer Daten und Netze zuverlässig zu gewährleisten. Denn Unternehmen, die die Cloud nicht richtig sichern, setzen sich einem hohen Risiko aus.

ISPIN Blog - Cloud Threats

In den letzten Jahren ist Cloud Computing immer populärer geworden. Viele Unternehmen setzen auf die Technologie, um ihre Daten zu speichern und zu verarbeiten. Auch wenn die Sicherheit im Cloud Computing in den letzten Jahren deutlich verbessert wurde, gibt es immer noch Bedrohungen, Risiken und Schwachstellen. Die wichtigsten 11 – von CSA die „Pandemic Eleven“ genannt - sind diese:

Unzureichende ID, Zugangsberechtigung, Zugang und Schlüsselverwaltung, privilegierte Konten

Die Sicherheit der Daten in der Cloud ist essenziell und beginnt bereits beim Identitätsmanagement. Immer mehr Angriffe richten sich gegen die Endpunkt-Benutzeridentität. Durch das zunehmende Arbeiten von unterschiedlichen Standorten aus wird die Verantwortung des IT-Teams immer grösser, die berechtigten Personen zu identifizieren. Allerdings erfordert eine effektive Zero-Trust-Schicht mehr als nur die einfache Authentifizierung für einzelne Benutzer und eine anwendungsbasierte Isolierung. Auch die Schlüsselverwaltung ist ein grosses Problem, da stetig mehr Schlüssel generiert werden müssen, um die Daten optimal zu sichern. Nach dem Shared Responsibility Modell liegt das Identitätsmanagement in der Verantwortung des Benutzers und ist folglich ein entscheidender Faktor in der Risikobewertung. Dabei sind betriebliche Richtlinien und strukturierte Risikomodelle auch für fortschrittliche Tools wie Cloud Infrastructure Entitlement Management (CIEM) unverzichtbar. Und schliesslich müssen auch Benutzerobjekte mit Risikobewertungen versehen werden, die sich dynamisch an die Anforderungen des Unternehmens anpassen. Nutzer sollten sich das nötige Vertrauen verdienen müssen, statt nur Schlüssel und Codes bereitzustellen.

Unsichere Schnittstellen und APIs

Obwohl APIs eine starke Verbesserung der Flexibilität und Konnektivität in Unternehmen darstellen, gibt es auch ein erhöhtes Sicherheitsrisiko. Die Absicherung dieser Schnittstellen ist daher wichtiger denn je. APIs können Schwachstellen aufweisen, die durch Fehlkonfigurationen, unzureichenden Code oder mangelnde Autorisierung entstehen. Schwache Authentifizierung, übermässige Berechtigungen, nicht authentifizierte Endpunkte, deaktivierte Standardsicherheitskontrollen, Designprobleme und die Deaktivierung von Protokollierung und Überwachung sind gängige Beispiele. Das Risiko einer unsicheren Schnittstelle oder API hängt jedoch davon ab, wie sie verwendet wird und welche Daten sie enthält. Ausserdem spielt es eine Rolle, wie schnell die Schwachstelle erkannt und behoben wird.

Fehlkonfiguration und unzureichende Änderungskontrolle

Es gibt viele Faktoren, die zu Fehlkonfigurationen führen können. Dazu gehören sowohl mangelnde Systemkenntnisse als auch böswillige Absichten. Aber was genau ist eine Fehlkonfiguration? Es handelt sich dabei um die falsche oder unzureichende Konfiguration von Datenverarbeitungsanlagen. Einige Beispiele für Fehlkonfigurationen sind:

  • Ungesicherte Datenspeicherelemente oder Container
  • Übermässige Berechtigungen
  • Unveränderte Standard-Anmeldedaten und Konfigurationseinstellungen
  • Deaktivierung von Standard-Sicherheitskontrollen
  • Nicht gepatchte Systeme
  • Deaktivierte Protokollierung oder Überwachung
  • Uneingeschränkter Zugang zu Ports und Diensten
  • Ungesichertes Secrets Management
  • Schlecht konfigurierte oder fehlende Konfigurationsvalidierung.

Die Fehlkonfiguration von Cloud-Ressourcen kann zu Datenverletzungen führen und es Eindringlingen ermöglichen, die Ressourcen zu löschen, zu ändern oder die Cloud-Dienste zu unterbrechen. Daher sollte die Angriffsfläche, die APIs bieten, nachverfolgt, konfiguriert und gesichert werden. Dazu müssen herkömmliche Kontroll- und Änderungsmanagement-Richtlinien und -Ansätze aktualisiert werden, um mit dem Wachstum und den Veränderungen von Cloud-basierten APIs Schritt zu halten. Unternehmen sollten die Möglichkeiten der Automatisierung nutzen und Technologien einsetzen, die den API-Verkehr kontinuierlich auf Anomalien überwachen und Probleme nahezu in Echtzeit beheben.

Fehlende Cloud-Sicherheitsarchitektur und -strategie

Ohne eine Sicherheitsarchitektur für die Cloud ist es schwer, eine effektive Sicherheitsplanung für Unternehmen und Infrastrukturen zu erstellen. Durch das Fehlen einer Strategie können Datenschutzverletzungen und andere Bedrohungen auftreten. Beim Wechsel zur Cloud-Technologie müssen Unternehmen verschiedene Faktoren berücksichtigen, um sicherzustellen, dass sie die beste Lösung für ihr Unternehmen finden. Dies beinhaltet die Auswahl der passenden Cloud-Komponenten sowie des Bereitstellungs- und Servicemodells der Cloud. Ausserdem sollten Ziele, Risiken, Bedrohungen und rechtliche Anforderungen berücksichtigt werden.

Unsichere Softwareentwicklung

Cloud-Entwickler müssen sicherstellen, dass ihre Codierung sicher ist. Andernfalls können Hintertüren geöffnet und Exploits genutzt werden. Obwohl die Cloud eine effektive Entwicklungsumgebung sein kann, müssen Unternehmen sicherstellen, dass die Entwickler verstehen, wie sich das Modell der geteilten Verantwortung auf die Softwaresicherheit auswirkt. So kann beispielsweise der Cloud-Service-Provider (CSP) für die Schwachstelle in der Plattform verantwortlich sein, für die Behebung des Fehlers in der Anwendung ist jedoch in erster Linie der Entwickler zuständig.

Ungesicherte Ressourcen von Drittanbietern

Laut Untersuchungen der Colorado State University sind zwei Drittel aller Sicherheitsverletzungen darauf zurückzuführen, dass Lieferanten oder Dritte Schwachstellen in ihren Produkten haben. Das Patchen und Beheben der Probleme ist abhängig von den Drittanbietern und davon, wie lange sie brauchen, um das Problem zu beheben.

Unternehmen sollten daher nach offiziell unterstützten Produkten suchen und auf Compliance-Zertifizierungen, die Auskunft über die Sicherheitsbemühungen des jeweiligen Anbieters geben, achten. Ein Bug Bounty-Programm ist ebenfalls ein wichtiges Kriterium. Überprüfen Sie zudem regelmässig, ob die Ressourcen Ihrer Drittanbieter noch up-to-date sind. Denn Sie wollen nicht erst dann herausfinden, dass Sie ein anfälliges Produkt verwenden, wenn die Liste der Opfer bereits veröffentlicht wurde. Dazu gehören Open Source-, SaaS-Produkte, Cloud-Dienste und andere Integrationen, die Sie Ihrer Anwendung hinzugefügt haben. Entfernen Sie Produkte, die sie nicht mehr benötigen, führen Sie Penetrationstests durch und schulen Sie Ihre Entwickler in sicherem Coding.

Schwachstellen im System

Es ist möglich, dass eine Reihe von Diensten Schwachstellen aufweisen und für Angriffe offen sind. Einige der häufigsten Schwachstellen sind Zero-Day-Schwachstellen, fehlende Sicherheits-Patches, konfigurationsbasierte Schwachstellen und schwache oder voreingestellte Anmeldedaten.

Schwächen in den Systemkomponenten erleichtern Hackern, die Cloud-Dienste eines Unternehmens anzugreifen. Durch die routinemässige Erkennung von Schwachstellen und die Bereitstellung von Patches in Kombination mit strengen IAM-Praktiken (IAM = Identity and Access Management) können Sicherheitsrisiken, die durch Systemschwachstellen entstehen, erheblich minimiert werden.

Unbeabsichtigte Offenlegung von Cloud-Daten

Die Weiterentwicklung von Produkten und Dienstleistungen geht heutzutage schneller und weiter als je zuvor - und das vor allem dank der Cloud. Doch dies bringt auch einige Sicherheitsrisiken mit sich. So ist die Gefahr, dass Daten gestohlen oder manipuliert werden, sehr hoch. Immer noch haben viele Unternehmen Datenbanken, die öffentlich im Internet zugänglich sind. Viele dieser Datenbanken verwenden schwache Passwörter oder erfordern keine Authentifizierung, was sie zu einem leichten Ziel für Angreifer macht. Daher ist es wichtig, regelmässig die PaaS-Datenbanken zu überprüfen und zu scannen. Nur so können Sie sicherstellen, dass alle Routing- oder Netzwerkdienste ordnungsgemäss funktionieren und kein Datenverkehr nach aussen gelangt. Wählen Sie für eine gründliche Überprüfung von Cloud-Umgebungen Exposure-Engines, die einen vollständigen Einblick in Ihre Infrastruktur bieten. So können Sie alle potenziellen Zugriffswege identifizieren und sicherstellen, dass Datenbanken die IAM-Richtlinie mit den geringsten Rechten umsetzen.

Fehlkonfiguration und Ausnutzung von Serverless- und Container-Workloads

Die Migration in die Cloud und die Einführung moderner Softwareentwicklungsverfahren wie DevOps ermöglichen eine schnellere Bereitstellung als je zuvor. Die Verwaltung der Skalierung der Infrastruktur und der Sicherheitskontrolle für die Anwendungsausführung aber ist immer noch eine Belastung für die Entwickler. Serverlose und Cloud-native Container-Workloads scheinen die Lösung zu sein, indem sie die Verantwortung an den Cloud-Service-Provider (CSP) übertragen. Dies erfordert jedoch ein höheres Mass an Cloud- und Anwendungssicherheitsreife als die einfache Migration virtueller Maschinen in die Cloud. In einem serverlosen Modell übernimmt der CSP die Verantwortung für die Sicherheit und Verwaltung der zugrunde liegenden Infrastruktur. Zusätzlich zu den Vorteilen bei der Entwicklung und im Betrieb reduziert dies die Angriffsfläche, da CSPs Funktionscode standardmässig in kurzlebigen Containern ausführen. Serverlose und containerisierte Workloads können also nicht nur die Agilität erhöhen, sondern auch Kosten signifikant senken.

Organisierte Kriminalität, Hacker und fortgeschrittene anhaltende Bedrohung (APT)

Ein sogenannter Advanced Persistent Threat (APT) Angriff ist eine illegal hergestellte Verbindung zu einem Zielsystem mit dem Ziel, sensible Daten über einen längeren Zeitraum zu stehlen. Die Durchführung von APT erfolgt durch organisierte Banden, die stark entwickelte Tools, Techniken und Protokolle verwenden. Um sich vor dieser Bedrohung besser zu schützen, können Organisationen durch Red-Teaming-Übungen das Verhalten der in Berichten beschriebenen APT-Gruppen simulieren.

Exfiltration von Cloud-Speicherdaten

Datenexfiltration bezeichnet das unerlaubte Freigeben, Entwenden oder Einsehen von vertraulichen und geschützten Daten ausserhalb eines Unternehmens. Dies kann aufgrund gezielter Angriffe, Fehlkonfigurationen von Ressourcen, Schwachstellen in Anwendungen oder mangelnder Sicherheitsvorkehrungen geschehen. In den meisten Fällen sind sich die Opfer einer Datenexfiltration nicht bewusst. Oft wird die Tatsache der Exfiltration erst nach langer Zeit entdeckt und Abhilfemassnahmen sind dann unwirksam.

Cloud-Speicher erfordern eine gut konfigurierte Umgebung (SaaS/Cloud Security Posture Management SSPM/CSPM). Um Angriffe und Datenexfiltration zu erkennen und zu verhindern, sollten Sie die CSP-Leitfäden für bewährte Verfahren, Überwachungs- und Erkennungsfunktionen anwenden. Die Mitarbeitenden müssen für die Nutzung von Cloud-Speichern sensibilisiert werden, da die Daten an verschiedenen Orten verstreut sind und von verschiedenen Personen kontrolliert werden. Implementieren Sie gegebenenfalls eine client-seitige Verschlüsselung. Die Klassifizierung von Daten kann dabei helfen, verschiedene Kontrollen festzulegen und die Auswirkungen für Vorfälle in einem Reaktionsplan zu dokumentieren.

Zusammen. Sicher.

Betrachten Sie all diese Bedrohungen als Warnschilder und als Aufruf zum Handeln. Schützen Sie Ihr Unternehmen, Ihre Daten und halten Sie sich über die neuesten Entwicklungen auf dem Laufenden. Wenn Sie Unterstützung bei der Planung und Implementierung Ihrer Cloud Security Massnahmen benötigen, stehen Ihnen unsere Cybersecurity Experten gerne zur Verfügung. Kontaktieren Sie uns.

Link zum Report der Cloud Security Alliance

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.