Cloud-Umgebungen: Einblicke in das Verhalten von Cyber-Angreifern

Vectra benennt Sicherheitsherausforderungen in virtualisierten Clouds

[datensicherheit.de, 14.07.2019] Virtualisierte, von Cloud-Service-Providern (CSPs) unterstützte Cloud-Umgebungen stellen laut Vectra „Herausforderungen an die Erkennung des Verhaltens von Cyber-Angreifern dar“. In der Cloud würden bei einem starken Anstieg oder Rückgang der Nachfrage virtuelle Maschinen kurzerhand hinzugefügt oder entfernt. „Herkömmliche Erkennungsmethoden in physischen Umgebungen, die Protokolle, Netzwerk- und Endpunktdaten beinhalten, lassen sich nicht an diese dynamischen Umgebungen anpassen.“

Bild: Vectra

Gérard Bauer: Wichtigste Sicherheitsbedrohungen der Cloud kennen und Lebenszyklus von Angriffen in der Cloud verstehen!

Schutz der Daten: Konsequente Zugangsrestriktionen empfohlen

Unternehmen haben demnach keinen Zugriff auf jede Schicht im Cloud-Computing-Stack. Damit stehe auch keine zuverlässige Sichtbarkeit bei der Überwachung der Umgebung auf Angreiferverhalten zur Verfügung. Eine weitere Herausforderung in der Cloud sei, dass „Assets“ und Anwendungen zwischen Systemen mit unterschiedlichem Sicherheitsüberwachungsgrad wechselten.
„Das größte Problem bei der Cloud-Nutzung ist es jedoch, sicherzustellen, dass nur die richtigen Personen Zugriff auf die in Cloud-Workloads gespeicherten Daten haben. Innerhalb der Grenzen des lokalen Unternehmensnetzwerks sind fehlerhaft konfigurierte Systeme und Anwendungen nicht so anfällig für Kompromittierungen“, erläutert Gérard Bauer, „VP EMEA“ bei Vectra. Es gebe interne Kontrollen, welche den externen Zugriff einschränkten.
In der Cloud hingegen bedeute eine einfache Fehlkonfiguration oder Offenlegung des Systemzugriffs, „dass es keine Abwehrmaßnahmen gibt, die jemanden daran hindern, auf alles, was offenliegt, zuzugreifen“. Das Potenzial für eine Fehlkonfiguration des Zugriffs auf Cloud-Workloads sei überaus real, wie unter anderem die Datenschutzverletzung bei Uber zuletzt gezeigt habe.

Überaus reale Bedrohungsszenarien..

„Eine noch interessantere Analyse, wie Angriffe die Dynamik der Bedrohungserkennung verändern, liefern die laufenden Angriffe der ,APT10-Gruppe‘ auf Cloud-Infrastrukturen. Hierbei war bereits eine Reihe von Sicherheitsverletzungen zu verzeichnen, die als Operation ,Cloud Hopper‘ bezeichnet werden.“
Beim „Cloud-Hopper“-Angriff sei die Methode des anfänglichen Eindringens Cloud-spezifisch gewesen, aber innerhalb dieser Cloud-Umgebungen hätten die Angreifer das gleiche Verhalten wie in der privaten Cloud und in physischen Rechenzentren gezeigt.
Alle Angriffe hätten einen Lebenszyklus – von der Erstinfektion bis zur Datenexfiltration. Die Verhinderung einer Kompromittierung werde immer schwieriger, aber das Erkennen des auftretenden Verhaltens – von Command-and-Control-Aktivitäten über Auskundschaftung bis hin zur Datenexfiltration – sei es nicht. Bauer: „Gerade, wenn ein Angriff in Stunden statt in Tagen durchgeführt wird, ist die zum Erkennen erforderliche Zeit von entscheidender Bedeutung.“

Angreiferverhalten: Einblick gewinnen

„Wie aber können Unternehmen Einblick in das Verhalten von Angreifern in Cloud-Umgebungen gewinnen? Und wo beginnt und endet das Modell der gemeinsamen Verantwortung zwischen CSPs und Cloud-Nutzern?“
Führende CSPs entwickelten ihre Funktionen für Authentifizierung, Kontrolle und Transparenz weiter. Sie hätten auch damit begonnen, eine bessere Integration für Drittanbieter von Sicherheitslösungen zu implementieren, um die Cloud-Sicherheitsfunktionen zu verbessern.
So habe Microsoft beispielsweise den „Virtual Network Tap“ in „Azure“ eingeführt, um die Überwachung des gesamten Netzwerkverkehrs zwischen Cloud-Workloads zu ermöglichen. Vectra nutzt nach eigenen Angaben den „Azure Virtual Network Tap“, um Modelle des Maschinellen Lernens auf den Cloud-Verkehr anzuwenden und unerwünschte Änderungen im Systemverkehr zu identifizieren, die auf einen laufenden Angriff hinweisen würden.
„Lösungen wie diese helfen Unternehmen, durch sicherheitstechnisch unbekanntes Terrain zu navigieren. Entscheidend ist es hierbei, die wichtigsten Sicherheitsbedrohungen der Cloud zu kennen und den Lebenszyklus von Angriffen in der Cloud zu verstehen“, fasst Bauer zusammen. Zudem müssten effiziente und effektive Maßnahmen für die Erkennung und Reaktion auf Sicherheitsvorfälle in Cloud-Umgebungen vorhanden sein.

Weitere Informationen zum Thema:

datensicherheit.de, 11.07.2019
McAfee-Report zeigt Schwachstellen in Cloud-Infrastrukturen auf

datensicherheit.de, 28.06.2019
Trotz hoher Risiken: Unternehmen vertrauen auf die Sicherheit der Cloud-Provider

datensicherheit.de, 23.06.2019
Google Cloud-Ausfälle zeigen Schwachstellen bei wichtigen Anbietern auf

datensicherheit.de, 20.02.2019
Check Point Security Report 2019: Cloud und Mobile Deployments schwächste Verbindungen in Unternehmensnetzwerken