Ein Beitrag von unserem Gastautor Deepen Desai, CISO & Vice President Security Research bei Zscaler

[datensicherheit.de, 03.02.2021] Das Zscaler ThreatLabZ-Team stellt in seinem State of Cloud Security Report 2020 die Ergebnisse seiner Analyse zur Cloud-Sicherheit vor. Während die Public Cloud nie dagewesene Vorteile hinsichtlich Skalierbarkeit, Leistung und Agilität für Unternehmen jeglicher Größenordnung mit sich bringt und stetig neue Anwendungen auf den Markt drängen, geht die digitale Transformation auch mit Tücken hinsichtlich der Sicherheit einher. Laut der Analyse sind die häufigsten Sicherheitsvorfälle auf Versäumnisse der Unternehmen bei der Implementierung und Nutzung von Cloud-Diensten zurückzuführen.

Deepen Desai, CISO und VP Security Research bei Zscaler, Bild: Zscaler

Analyse zur Cloud-Sicherheit aus anonymen Unternehmensstatistiken

Die Sicherheitsforscher haben für ihren Report anonyme Statistiken von Unternehmen analysiert, die Hunderttausende von Workloads in AWS, Azure und Google Cloud Plattform (GCP) ausführen. Außerdem wurden Einstellungen von Microsoft 365-Kunden ausgewertet. Bei dieser Analyse wurden die folgenden Sicherheitsrisiken durch Fehlkonfigurationen oder Versäumnisse aufgedeckt:

• 63 % der untersuchten Unternehmen verwenden keine Multifaktor-Authentifizierung für den Cloud-Zugang
• 50 % rotieren die Zugangsschlüssel nicht regelmäßig
• 92 % protokollieren den Zugriff auf Cloud-Speicher nicht, wodurch die Möglichkeit zur forensischen Analyse eines Vorfalls entfällt
• 26 % der Workloads exponieren ihre SSH-Ports im Internet und 20 % RDP-Ports

Die Auswertung zeigte ebenfalls, dass ein breites Spektrum an häufig gemeldeten Sicherheitsproblemen in den meisten Umgebungen noch immer nicht ausreichend Beachtung findet.

Protokollierung und Monitoring fehlen

Wenn es zu einer Kompromittierung oder einem Sicherheitsvorfall kommt, werden zuerst die Log-Daten analysiert. Auch ohne einen Sicherheitsvorfall kann eine robuste Protokollierung beim Verständnis helfen, was in der Cloud-Umgebung vor sich geht. CSP-Tools wie AWS CloudTrail und Azure Monitor können dazu beitragen, dass die Verantwortlichen bei Bedarf über relevante Informationen verfügen. Diese Tools funktionieren nur, wenn sie auch aktiviert sind. Die Analyse ergab, dass fast 20 Prozent der Unternehmen CloudTrail nicht aktiviert und mehr als die Hälfte keine Schritte unternommen haben, um ihre Protokollierung über die standardmäßigen 90 Tage hinaus aufrechtzuerhalten.

Exzessive Berechtigungen

Kompromittierte Zugangsdaten sind für die überwiegende Mehrheit von Sicherheitsverletzungen verantwortlich. Es ist also keine Überraschung, dass Cloud-Zugangsschlüssel und -Zugangsdaten ein Hauptziel für Angreifer sind. Unabhängig von der Stärke der Sicherheitsvorkehrungen kann ein Angreifer mit den richtigen Anmeldeinformationen direkt durch die Eingangstür spazieren. Bekanntes Beispiel für ein solches Vorgehen ist Uber, wo die persönlichen Daten von 57 Millionen Nutzern entwendet wurden, als Angreifer hartkodierte AWS-Anmeldeinformationen aus einem GitHub-Repository erbeuteten. Ein hoher Prozentsatz der Unternehmen vernachlässigt die Multifaktor-Authentifizierung und verwendet hartcodierte Zugangsschlüssel, die viel zu lange bestehen, bevor sie rotiert werden.

Storage und Verschlüsselung

Öffentlich zugängliche Cloud-Speicherbereiche waren in den letzten Jahren die Ursache für eine Reihe von öffentlichkeitswirksamen Datendiebstählen. Die L.A. Times, Tesla, die Republikanische Partei und Dow Jones sind nur einige der bekannten Organisationen, die diesen Fehler gemacht haben. Trotz der Berichterstattung über die oben aufgezählten Leidtragenden bleibt Cloud-Storage der häufigste Bereich von Cloud-Fehlkonfigurationen. Zu lockere Zugriffsrichtlinien, fehlende Verschlüsselung, nicht einheitlich angewandte Richtlinien und der Zugriff über unverschlüsselte Protokolle sind nur einige der häufigsten Probleme.

Netzwerksicherheitsgruppen

Netzwerksicherheitsgruppen kontrollieren die Netzwerkkonnektivität jedes Dienstes in einer Cloud-Umgebung und agieren wie eine Netzwerk-Firewall. Leider stellt diese Gruppe nach Cloud-Storage den am zweithäufigsten beobachteten Bereich für Fehlkonfigurationen dar. In einigen Fällen sind diese auf menschliches Versagen zurückzuführen. In anderen Fällen werden Sicherheitsgruppen absichtlich offengelassen, um die Konnektivität zu erleichtern oder um Komplexität zu vermeiden. Extern exponierte Protokolle wie Secure Shell (SSH) und Remote Desktop Protocol (RDP) sind viel zu häufig anzutreffen und geben Angreifern die Möglichkeit, infizierte Systeme zu übernehmen und sich lateral innerhalb einer Cloud-Umgebung von Unternehmen zu bewegen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2020
„State of Encryption 2020“-Report: Verschlüsselte Bedrohungen wachsen um 260 Prozent

Zscaler
The 2020 State of Cloud (In)Security

[datensicherheit.de, 29.08.2018] DDoS-Angreifer setzen immer häufiger auf die Vorteile der Cloud. Jede zweite Attacke im Juni 2018 wurde unter Einsatz von Cloud-Servern ausgeführt. Die „Server-based Botnetze“ ließen sich in 52 % aller Angriffe nachweisen, die das Link11 Security Operation Center (LSOC) in Mitteleuropa abgewehrt hat. Bei den ersten Analysen des LSOC zum Einsatz von Cloud-Servern bei DDoS-Attacken im Januar 2016 lag der Anteil noch bei 2,1 %. In der Langzeitbetrachtung ist der Anteil, den missbrauchte Cloud-Server an DDoS-Traffic haben, kontinuierlich angestiegen. Der durchschnittliche Anteil lag in den vergangenen 24 Monaten bei 20 %. Dabei ist er immer wieder Schwankungen unterworfen und reichte von 3,2 % im Februar 2017 bis zu sehr hohen Werten wie 41 % im Dezember 2017 und im Juni 2018 mit 52 %.

AWS, Google und Alibaba dominieren bei den server-based Bots

Für ihre Angriffe nutzen die Täter unterschiedlichste Anbieter von Public-Cloud-Services, auch wenn deren AGBs explizit den missbräuchlichen Service untersagen. Am häufigsten sind missbrauchte Server bei den drei internationalen Großanbietern Amazon Web Services (AWS), Microsoft Azure und Alibaba registriert. Die Server von Google werden deutlich seltener missbraucht. In den vergangenen Monaten nutzten DDoS-Angreifer besonders häufig Cloud-Server, auf denen Memcached- oder SSDP-Dienste liefen, als Amplification-Quellen.

In Zeiten, in denen sich immer mehr Lebens-und Wirtschaftsbereiche in die Cloud verlagern, ist es ein Leichtes, entsprechende Services anzumieten. Das nutzen Kriminelle aus. Dabei setzen sie häufig auf gestohlene Kreditkarten oder falsche Identitäten, um sich Zugang zu verschaffen. Die Verwendung von Servern für kriminelle Aktivitäten ist bei allen großen Anbietern von Cloud-Services verboten. Die Praxis zeigt jedoch, dass sich DDoS-Angreifer durch entsprechende AGBs nicht davon abhalten lassen, Cloud-Server zur Ausführung von Attacken anzumieten. Da sie sich unter falschem Namen anmelden, lässt sich ihre Spur kaum zurückverfolgen. Cloud-Anbieter wie Amazon haben dem Missbrauch dennoch den Kampf angesagt und fordern ihre Nutzer auf, bei Verdacht auf Missbrauch Meldung zu erstatten.

Bild: Link11

Anteil von DDoS-Attacken unter Einsatz von Cloud-Servern (über einen Zeitraum von 24 Monaten)

1.000-fach höheres Bandbreitenpotenzial als bei IoT-Attacken

Angriffe über server-based Botnetze haben ein hohes Angriffspotenzial. In Bezug auf Anbindung, Cores und Attacken-Vektoren sind sie anderen Bots wie IoT-Geräten weit überlegen. Während Home Router oder Überwachungskameras meist mit nur wenigen Mbps angebunden sind, bieten Cloud-Instanzen standardmäßige Bandbreiten zwischen 1 und 10 Gbps. Ihr Angriffsvolumen kann daher bis zu 1.000 Mal höher sein als bei einzelnen IoT-Geräten. Die Peaks in den Angriffsvolumen der Cloud-Attacken lagen im Mai bei über 150 Gbps.

Schutz der Unternehmens-IT vor Angriffen aus der Cloud

Um sich vor DDoS-Angriffen über Amazon und Azure zu schützen, scheint das Blockieren von Cloud-Services naheliegend. Da viele Unternehmen selbst Public- oder Hybrid-Cloud-Lösungen bei großen Anbietern nutzen, würde die Sperrung der Pakete von diesen Absendern die eigenen Geschäftsprozesse behindern. Die Lösung liegt daher darin, Cloud-Traffic zuzulassen, die Kommunikation zwischen den Public-Cloud-Diensten und dem eigenen Netzwerk jedoch detailliert zu analysieren. DDoS-Schutz ist dann sichergestellt, wenn die Lösung zwischen gutartigem und bösartigem Verkehr unterscheiden kann. Eine AI (künstliche Intelligenz) ist hier der beste Ansatz: Die dauerhafte Analyse des Datenverkehrs erlaubt den Aufbau eines Kommunikationsprofils des legitimen Verkehrs, Abweichungen vom normalen Traffic werden dann sicher erkannt. Der identifizierte Angriffsverkehr kann dann granular aus dem Gesamtverkehr gefiltert werden, sodass es keine Beeinflussung des legitimen Verkehrs gibt.

Weitere Informationen zum Thema:

datensicherheit.de, 06.08.2018
Link11 DDoS-Report: Gefahr durch Hochvolumen-Angriffe bleibt

datensicherheit.de, 02.05.2018
Bedrohung bleibt: Details von DDoS-Angriffen im Jahr 2017

datensicherheit.de, 27.03.2018
Link11 DDoS-Report für das vierte Quatal 2017 veröffentlicht

datensicherheit.de, 02.03.2018
Akamai: Größte DDoS-Attacke bisher abgewehrt

datensicherheit.de, 24.02.2017
DDoS-Gefahrenlage: Link11-Report meldet Attacken-Wachstum um 117 Prozent