Die rasche Innovation treibt Unternehmen dazu, Cloud-Dienste als kritische Infrastruktur einzusetzen. Die beschleunigte Cloud-Adaption ist zu einem Thema in der Vorstandsetage geworden, wobei vor allem eher wenig technisch versierte Führungskräfte oft lautstarke Cloud-Befürworter sind. Allerdings kann der Weg in die Cloud Sicherheitsrisiken in sich bergen, wenn er überstürzt beschritten wird.
Die Anbieter von Cloud-Sicherheitsdiensten verbessern ständig ihre Sicherheitsangebote und -funktionen. Daher könnten Unternehmen versucht sein, sich auf diese Cloud-nativen Sicherheitsdienste zu verlassen. Die effektivsten Ansätze beruhen jedoch darauf, dass die IT-Sicherheitsteams des Unternehmens intern Fachwissen und Fähigkeiten aufbauen, um selbst ein proaktives Cloud Sicherheitsprogramm zu entwickeln.
IT-Sicherheitsexperten brauchen Zeit und Ressourcen, um einen angemessenen Schutz für das Unternehmen zu gewährleisten. Im Folgenden werden einige Punkte aufgeführt die als eine Art Blueprint für Cloud Security-Strategien genutzt werden können.
Erste Schritte bei der Modellierung von Bedrohungen in der Cloud
Unternehmen verlagern wichtige Assets, Daten und Prozesse in die Cloud, was sie zu einem offensichtlichen Ziel für Angreifer macht. Cyberkriminelle wissen immer besser, wie sie sich Zugang verschaffen, Konten kompromittieren, Berechtigungen ausweiten, Fehlkonfigurationen ausnutzen und vieles mehr.
IT-Sicherheitsteams müssen sich an Modelle für Bedrohungen halten, um Cloud-Angriffe und deren Auswirkungen zu skizzieren. Wenn man die Taktiken und Techniken der Angreifer in Cloud-Angriffsszenarien versteht, kann man Sicherheitsverletzungen erkennen, bevor Daten oder Vermögenswerte gefährdet sind und so dauerhafte Schäden verhindern.
Die Modellierung von Cloud-Bedrohungen, wie sie beispielsweise im Whitepaper „Cloud Security: Making Cloud Environments a Safer Place“ beschrieben wird, erfordert die Berücksichtigung einer Reihe von Faktoren: Angreifer, Angriffstechniken, Ergebnisse und Risiken sowie Gegenmaßnahmen. Zunächst muss festgelegt werden, wofür die Bedrohungen modelliert werden sollen, z. B. für ein ganzes System oder eine Komponente. Zweitens: Die Bedrohungen müssen betrachtet werden – was kann schief gehen? Account-Hijacking? Ein verwundbares Datenpaket, das in einem Container-Image ausgenutzt wird? Drittens: Nach Abhilfemaßnahmen und Kontrollen suchen, die das Risiko verringern oder beseitigen können. Abschließend ist zu überprüfen, ob die durchgeführte Analyse gründlich und angemessen war.
Entmystifizierung der Strategien von Angreifern
Viele Unternehmen nutzen heute das MITRE ATT&CK™-Rahmenwerk, um Bedrohungen zu erkennen. Das Verständnis der typischen Angriffsphasen kann in den Aufbau eines proaktiven Cloud-Bedrohungsmodells einfließen. Der erste Zugriff erfolgt beispielsweise durch die Ausnutzung öffentlich zugänglicher Anwendungen, die Ausnutzung vertrauenswürdiger Beziehungen oder die Entdeckung gültiger Konten in Cloud-Umgebungen.
Bei der Persistenz ergreift ein Angreifer Maßnahmen, um sicherzustellen, dass er nach Belieben zurückkehren kann. Gleichzeitig ist die Ausweitung von Berechtigungen ein häufiges Ziel, um auf gültige Konten zuzugreifen oder Rollenzuweisungen zu manipulieren. Daneben nutzen Angreifer den Zugang oft, um andere Ressourcen ausfindig zu machen, die möglicherweise anfällig sind. Bei der anschließenden Erfassung und Exfiltration werden die Daten an einen Ort unter der Kontrolle des Angreifers verschoben.
Die Modellierung von Cloud-Bedrohungen über den gesamten Lebenszyklus des Angreifers hinweg wird potenzielle Schwachstellen aufdecken und proaktive Sicherheitsvorkehrungen schaffen. Die drei folgenden Säulen sollten als IT-Sicherheitsmaßnahmen für die Cloud-Absicherung eingeführt werden.
Security Säule #1 – Identity & Access Management
Das Identity & Access Management (IAM) legt fest, wer Zugriff auf was benötigt und steuert den gesamten Lebenszyklus der Benutzer- und Zugriffsverwaltung über alle Ressourcen hinweg. Ausgereifte Unternehmen zentralisieren Identität und Zugang, wo immer dies möglich ist. Ein weiterer Vorteil eines zentralisierten Identitätsansatzes ist der geringere betriebliche Aufwand.
Ein bedeutender Cloud-bedingter Wandel im Identitätsmanagement ist das Aufkommen von Maschinenidentitäten im Gegensatz zu herkömmlichen menschlichen Identitäten. Maschinenidentitäten umfassen Servicekonten für Systeme wie Cloud-VMs, Cloud-Funktionen und Container und tragen dazu bei, das Risiko anderer technischer Konten zu mindern, die für programmatische Aktionen und Bereitstellungen verwendet werden.
Security Säule #2 Datensicherheit
Eine solide Strategie für die Datensicherheit in der Cloud ist eine weitere grundlegende Voraussetzung. Eine der wichtigsten Sicherheitskontrollen für den Datenschutz in der Cloud ist die Verschlüsselung. Cloud-Anbieter sind in der Lage, Verschlüsselung in großem Umfang relativ einfach zu implementieren. Für einige Unternehmen wird diese automatische Verschlüsselung ausreichen. In vielen anderen Fällen wird die Datensicherheit jedoch spezifischer sein müssen.
Ein weiterer Schlüsselfaktor ist die Verwaltung von Geheimnissen. Die Verwaltung sensibler Geheimnisse (einschließlich Verschlüsselungsschlüsseln, API-Schlüsseln, Kennwörtern und anderen Berechtigungsnachweisen) hat sich für die meisten Unternehmen als große Herausforderung erwiesen. Auch die Verhinderung von Datenverlusten (Data Loss Prevention, DLP) ist von entscheidender Bedeutung, wobei viele Unternehmen auf DLP-Tools und -Dienste zurückgreifen, die bekanntermaßen schwierig zu implementieren und zu warten sein können.
Es gibt Möglichkeiten, all diese schwierigen Faktoren innerhalb der Cloud zu verwalten, aber idealerweise dort, wo die Bedrohungsmodellierung ergeben hat, dass das Risiko am besten gemindert werden kann.
Security Säule #3 Transparenz
Die dritte wichtige Säule der Cloud-Sicherheit ist die Transparenz, wobei der Schwerpunkt auf Protokollierung, Ereignisverwaltung und Automatisierung durch Leitplanken liegt. Die Sichtbarkeit geht über die traditionelle System- und Netzwerksichtbarkeit hinaus und muss Anwendungen, Systeme, Netzwerke und deren Konfigurationen in der Cloud abdecken. Dieses Konzept gilt auch für die Sichtbarkeit der Steuerungsebene und die Sichtbarkeit der Cloud-Umgebung selbst. Neben einer umfassenden Protokollierung aller Aktivitäten innerhalb der Cloud stehen mehrere neue Dienste zur Verfügung, mit denen Cloud-Konten und -Infrastrukturen kontinuierlich auf Best-Practice-Konfiguration und den Status der Sicherheitskontrollen überwacht werden können.
Zur Erzielung von Netzwerktransparenz können Tools wie Netzwerk-Firewalls und Intrusion Detection & Prevention neben der Erfassung von Netzwerkdaten eingesetzt werden. Cloud-native Zugangskontrollen und Überwachungsfunktionen können auch Ereignisse und abweichendes Verhalten überwachen und verfolgen.
Fazit
Cloud Security wird stetig verbessert. Der Hauptvorteil der Public Cloud besteht darin, dass sich die Cloud-Anbieter in einem positiven Kreislauf der Verbesserungen der IT-Sicherheit befinden. Dies bietet eine solide Grundlage für IT-Sicherheitsexperten, um ihre Cloud-Sicherheitsprogramme aufzubauen.
Mit dem Wachstum der Cloud-Dienste müssen die IT-Sicherheitsteams jedoch fortschrittlichere Kontrollen einsetzen und dynamischere Prozesse zur Bewertung der Sicherheit in der Cloud entwickeln, um den Erfolg zu gewährleisten. Dies bedeutet, dass regelmäßige Übungen zur Bedrohungsmodellierung durchgeführt werden müssen und dass man sich auf drei Säulen zur Risikominderung konzentrieren muss – Identity & Access Management, Datensicherheit und Transparenz – um eine dynamische Grundlage für die Cloud-Sicherheit zu schaffen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…