Die Nutzung der Cloud ist zu einem unverzichtbaren Aspekt der digitalen Transformation geworden und bietet Unternehmen die nötige Agilität und Skalierbarkeit, um Kunden besser zu unterstützen. Allerdings hat sich durch die Einführung der Cloud auch die Angriffsfläche vergrößert, die überwacht und geschützt werden muss.
Unzureichende Transparenz, fragmentierte Ansätze beim Sicherheitsmanagement und bei der Bedrohungserkennung sowie eine Angriffsfläche, die mit jedem in der Cloud bereitgestellten Workload größer wird, stellen Sicherheitsteams vor Herausforderungen. Der Schutz der Cloud erfordert ein anderes Sicherheitsmodell als das, was Sie für Ihre lokale Umgebung einsetzen.
Typische Cloud-Schwachstellen
Um Cloud-Umgebungen zu schützen, müssen Sicherheitsteams typische Cloud-Schwachstellen beseitigen. Beispiele:
Konfigurationsfehler
Konfigurationsfehler, darunter unnötiger Zugriff auf Ressourcen oder Container, die ungeschützt der Öffentlichkeit ausgesetzt werden. Sie entstehen oft durch mangelnde Kenntnis oder unzureichende Überprüfung.
Unsichere APIs
APIs gewinnen in der modernen Software-Entwicklung zunehmend an Beliebtheit und werden in Mikroservices, Anwendungen und Website-Backends eingesetzt. Sie müssen eine Vielzahl verschiedener Anfragen bewältigen, wobei einige dieser Anfragen leider von Bedrohungsakteuren ausgehen und speziell auf Schwachstellen und Konfigurationsfehler ausgerichtet sind.
Fehlende Multifaktor-Authentifizierung (MFA)
Bei der Multifaktor-Authentifizierung (MFA) muss sich ein Benutzer mit mindestens zwei Formen der Identifizierung verifizieren, um Zugriff auf ein Konto oder Daten zu erhalten. Benutzerkennwörter sind anfällig für Diebstahl, sodass das Fehlen von MFA eine potenziell kritische Schwachstelle darstellt.
Mangelnde Kontrolle über die Aktionen von Endbenutzern
Die Kontrolle des Zugriffs auf die Cloud-Ressourcen und die Überwachung der Benutzeraktivitäten spielen beim Schutz der Cloud eine entscheidende Rolle. Ohne diese Maßnahmen besteht die Gefahr, dass böswillige Aktivitäten unentdeckt bleiben.
Schwachstellen in der Lieferkettensicherheit
Cloudnative Anwendungen basieren oft auf Open-Source-Software. Da Bedrohungsakteure gezielt diese Art von Software anvisieren, müssen Unternehmen Maßnahmen ergreifen, um das Risiko von Schwachstellen und Konfigurationsfehlern zu verringern.
So funktioniert die Ausnutzung von Cloud-Schwachstellen
Die Forscher von CrowdStrike haben die sich ständig weiterentwickelnde Bedrohungslandschaft, mit der Unternehmen heute konfrontiert sind, stets im Auge. In ihrem Bestreben nach mehr Skalierbarkeit, Effizienz und Sicherheit setzen immer mehr Unternehmen auf neue Cloud-Architekturen. Bedrohungsakteure wissen dies und nehmen deshalb Cloud-Infrastrukturen ins Visier.
Böswillige Akteure nutzen gern bekannte RCE-Schwachstellen (Remote-Codeausführung) in Serversoftware opportunistisch aus und führen dazu Scans anfälliger Server durch, ohne sich auf konkrete Branchen oder geografische Regionen zu konzentrieren. Nachdem sie sich Erstzugang verschafft haben, setzen sie unterschiedlichste Tools ein. Die kriminelle Ausschöpfung von Cloud-Services zum Erlangen des Erstzugangs umfasst unter anderem die Ausnutzung von Schwachstellen in Dateiübertragungsanwendungen.
Seit Januar 2021 haben mehrere Unternehmen Kompromittierungen gemeldet, die auf diese Art der Ausnutzung zurückgehen. Auch VMware wurde von Bedrohungsakteuren angegriffen, beispielsweise über CVE-2021-21972. Diese kritische Schwachstelle in den Produkten VMware ESXi, vCenter Server und Cloud Foundation lässt sich einfach und zuverlässig für verschiedene Host-Betriebssysteme, Angriffsvektoren und Eindringungsstufen ausschöpfen. Entsprechend wurde diese Schwachstelle sehr wahrscheinlich von mehreren Angreifern – insbesondere von BGH-Akteuren (Big Game Hunting) – ausgenutzt.
Wie können Sie Ihre Cloud-Umgebung schützen?
Laufzeitschutz und Echtzeitüberblick
Sie können nur das schützen, was Sie auch sehen – dies gilt auch für Infrastruktur, die Sie stilllegen möchten. Laufzeitschutz und kontinuierliche Transparenz sind entscheidend für den Schutz Ihrer Cloud-Infrastruktur vor Kompromittierungen. Es ist wichtig, dass Sie Ihre Container, Server und Workloads mit Endgeräteschutz der nächsten Generation absichern, der Server, Workstations und mobile Geräte umfasst – unabhängig davon, ob sich diese in einem lokalen Rechenzentrum oder virtuellen Cluster befinden oder in der Cloud gehostet werden.
Beseitigung von Konfigurationsfehlern
Die häufigste Ursache für Cloud-Angriffe sind nach wie vor menschliche Fehler und Versäumnisse bei der täglichen Administration. Es ist unerlässlich, eine neue Infrastruktur mit Standardvorlagen einzurichten, die die Umsetzung von sicheren Abläufen erleichtern. Dies lässt sich beispielsweise mithilfe einer Cloud Account Factory umsetzen, in der neue Unterkonten und Abonnements mühelos erstellt werden können. Mit dieser Strategie wird sichergestellt, dass neue Konten auf berechenbare Weise eingerichtet und häufige menschliche Fehlerquellen beseitigt werden. Achten Sie auch darauf, sie in Ihr CSPM einzubinden und vollständig verwalten zu lassen. Überwachen Sie anschließend mit Ihrem CSPM die gesamte Infrastruktur bis zur Stilllegung des Kontos oder Abonnements, damit das Sicherheitsteam von kontinuierlicher Transparenz profitiert.
Mehr Kontrolle über die Aktionen von Endbenutzern
Unternehmen müssen Zugriffskontrollen einsetzen, wie sie in den Cloud Infrastructure Entitlement Management-Lösungen (CIEM) von CrowdStrike zu finden sind, um Cloud-Ressourcen zu verwalten und zu sichern. Ergänzend zu diesen Kontrollen wird Einblick in die Cloud-Workloads und die Cloud-Infrastruktur benötigt. Zum Schutz der Cloud-Umgebungen sollten Rollen und Netzwerksicherheitsgruppen erstellt werden, damit Entwickler- und Sicherheitsteams keine eigenen Sicherheitsprofile anlegen müssen und dabei versehentlich etwas falsch machen.
Proaktiver Ansatz zum Schutz von APIs
Die zunehmende Zahl von APIs stellt Entwickler und Sicherheitsteams vor Herausforderungen. Mit einem „Shift-Left-Ansatz“ und der Integration von Sicherheit in den CI/CD-Prozess können Unternehmen das Risiko jedoch mindern. Darüber hinaus können Sie Code-Injektionsangriffe auf gefährdete APIs mit einer Web-Anwendungsfirewall verhindern, die so konfiguriert ist, dass Anfragen nach Quell-IP-Adresse und/oder HTTP-Headern gefiltert werden.
Sicherheitsverwaltung für Cloud-Umgebungen
Ihre Cloud Account Factory sollte über eine detaillierte Protokollierung und ein CSPM-System wie CrowdStrike Falcon Cloud Security™ verfügen, sodass Verantwortliche wie der Cloud-Betreiber und das Sicherheitskontrollzentrum (SOC) gewarnt werden. Suchen Sie aktiv nach nicht verwalteten Cloud-Abonnements und gehen Sie nicht davon aus, dass diese von jemand anderem verwaltet werden. Stellen Sie stattdessen sicher, dass die Verantwortlichen identifiziert und dazu gebracht werden, entweder jegliche Cloud-Schatten-IT außer Betrieb zu nehmen oder dafür zu sorgen, dass Sicherheitsrichtlinien konsequent auf mehrere Cloud-Plattformen angewendet werden.
Sichere Multi-Cloud-Ressourcen dank Einrichtung von Least-Privilege-Zugriff
Übermäßige Berechtigungen erhöhen das Risiko eines Angriffs. Benutzer sollten nur über die Zugriffsrechte verfügen, die sie zur erfolgreichen Erledigung ihrer Aufgaben benötigen. Wenn Unternehmen die Berechtigungen gemäß dem Least-Privilege-Zugriff festlegen, können sie den potenziellen Schaden reduzieren, der mit der Kompromittierung eines Kontos verbunden ist.
Cloud Risk Report 2023
Erfahren Sie, auf welche Cloud-Sicherheitsbedrohungen Sie im Jahr 2023 achten sollten und wie Sie diese am besten angehen, um auch 2024 geschützt zu bleiben.
Jetzt herunterladen