[datensicherheit.de, 13.01.2022] Die Netskope Threat Labs kommen in ihrem aktuellen Bericht „Cloud and Threat Spotlight January 2022“ nach eigenen Angaben zu folgenden Ergebnissen: „Mehr als zwei Drittel der Malware-Downloads im Jahr 2021 stammen von ,Cloud‘-Apps. ,Google Drive‘ wurde dabei als die App mit den meisten Malware-Downloads identifiziert und löst damit ,Microsoft OneDrive‘ ab.“ Zudem habe sich bei den Malware-Downloads 2021 der Anteil der bösartigen „Office“-Dokumente von 19 auf 37 Prozent knapp verdoppelt. Der vorliegende Bericht zeigt demnach „die wichtigsten Trends bei den Aktivitäten von ,Cloud‘-Angreifern und den Risiken für ,Cloud‘-Daten im Jahr 2021 im Vergleich zu 2020“ auf – die Zahlen deuteten auf einen Anstieg der Sicherheitsrisiken bei „Cloud“-Anwendungen hin, zumal auch mehr als die Hälfte aller verwalteten „Cloud“-Anwendungsinstanzen Ziel von „Credential“-Angriffen seien.

Abbildung: Netskope Threat Labs

netskope-Vergleich: Apps mit den meisten Malware-Downloads 2020 (unten) und 2021 (oben)

Aktuelle kritische Trends bei der Nutzung von Cloud-Diensten…

„Netskope Cloud and Threat Spotlight“ sei der neueste Report in einer Reihe regelmäßiger, von den Netskope Threat Labs veröffentlichten Forschungsberichte, um kritische Trends bei der Nutzung von „Cloud“-Diensten und -Apps in Unternehmen, Bedrohungen aus dem Internet und der „Cloud“ sowie Datenmigrationen und -übertragungen aus der „Cloud“ zu analysieren.

Da Mitarbeiter immer häufiger „remote“ arbeiteten und so die Grenzen der Netzwerk- und Datensicherheit zunehmend ausdehnten, müssten Unternehmen moderne Sicherheitskontrollen wie „Security Service Edge“ (SSE)-basierte Architekturen nutzen, „durch die sich ihre Mitarbeiter sicher in der ,Cloud# bewegen können“.

Netskope Cloud and Threat Spotlight – die wichtigsten Ergebnisse:

Malware wesentlich häufiger über Cloud als über Internet verbreitet
„Im Jahr 2021 stieg der Anteil von Malware, die von ,Cloud‘-Apps heruntergeladen wurde, auf 66 Prozent aller Malware-Downloads im Vergleich zu herkömmlichen Websites.“ Anfang 2020 habe der Anteil noch 46 Prozent betragen.

Google Drive mit den meisten Malware-Downloads 2021
Die App und übernehme damit den Spitzenplatz von „Microsoft OneDrive“.

Mittels Microsoft Office über Cloud verbreitete Malware von 2020 bis 2021 fast verdoppelt
Der Anteil bösartiger „Microsoft Office“-Dokumente an allen Malware-Downloads sei von 19 Prozent Anfang 2020 auf 37 Prozent Ende 2021 angestiegen. „Dabei war die ,Emotet‘-Malspam-Kampagne im zweiten Quartal 2020 der Auftakt zu einem kontinuierlichen Anstieg bösartiger ,Microsoft Office‘-Dokumente durch Nachahmungstäter während der letzten eineinhalb Jahre – ohne Anzeichen einer Abschwächung.“

Mehr als Hälfte der verwalteten Cloud-App-Instanzen Ziel von Credential-Angriffen
Angreifer versuchten fortwährend, gängige Passwörter und entwendete Anmeldedaten von anderen Diensten zu nutzen, um Zugang zu sensiblen, in „Cloud“-Anwendungen gespeicherten Informationen zu erhalten. Während das Gesamtniveau der Angriffe konstant geblieben sei, hätten sich die Quellen der Angriffe erheblich verändert: „98 Prozent der Angriffe kamen von neuen IP-Adressen.“

Wachsende Beliebtheit der Cloud-Apps führt zu drei Arten von Missbrauch

„Die zunehmende Beliebtheit von ,Cloud‘-Apps hat zu drei Arten von Missbrauch geführt, die in diesem Bericht aufgezeigt werden: Angreifer, die versuchen, sich Zugang zu ,Cloud‘-Apps von Opfern zu verschaffen, Angreifer, die ,Cloud‘-Apps zur Verbreitung von Malware missbrauchen, und Insider, die ,Cloud‘-Apps zur Daten-Exfiltration nutzen“, erläutert Ray Canzanese, „Threat Research Director“ der Netskope Threat Labs.
Der nun vorliegende Bericht erinnere daran, „dass die Apps, die wir für legitime Zwecke nutzen, angegriffen und missbraucht werden können“. Das Sperren von „Cloud“-Apps könne Angreifer daran hindern, sie zu infiltrieren, während das Scannen auf eingehende Bedrohungen und ausgehende Daten dazu beitragen könne, Malware-Downloads und Daten-Exfiltration zu verhindern.

Weitere Informationen zum Thema:

netskope, Netskope Threat Labs
Threat research for the cloud

[datensicherheit.de, 05.08.2021] Zwei Drittel der Malware (68%) werde mittlerweile über die „Cloud“ verbreitet, 97 Prozent der „Google Workspace“-Nutzer hätten den Zugriff von Drittanbieter-Apps auf ihr Google-Unternehmenskonto genehmigt und ein gutes Drittel (35%) aller „Workloads“ innerhalb von „AWS“, „Azure“ und „Google Cloud Platform“ (GCP) seien über das Internet offen zugänglich. Dies seien drei wesentliche Ergebnisse des neuen „Netskope Cloud and Threat Report“ (Juli 2021) der Netskope Threat Labs, welche kritische Trends bei der Nutzung von „Cloud“-Diensten und -Apps in Unternehmen, Bedrohungen aus dem Internet und der „Cloud“ sowie Datenmigrationen und -übertragungen aus der „Cloud“ analysiert hätten.

In den ersten sechs Monaten 2021 hat Nutzung von Cloud-Anwendungen um 22% zugenommen

Dieser neue Report zeige, dass Malware, welche über „Cloud“-Anwendungen verbreitet wird, deutlich und kontinuierlich zunehme und mittlerweile mehr als zwei Drittel der Gesamtmenge der Schadsoftware ausmache. Hintergrund dieser Steigerung sei die anhaltende Verbreitung von „Cloud“-Apps in Unternehmen. In den ersten sechs Monaten des Jahres 2021 habe die Nutzung um 22 Prozent zugenommen. „Im Durchschnitt verwendet ein Unternehmen mit 500 bis 2.000 Mitarbeitern inzwischen 805 verschiedene Apps und ,Cloud‘-Dienste. Dabei fallen 97 Prozent der Anwendungen in die Kategorie ,Schatten-IT‘, d.h. ihr Einsatz ist von der IT-Abteilung weder genehmigt noch unterstützt und wird entsprechend auch nicht geschützt.“
Die unkontrollierte Nutzung von „Cloud“-Apps sei nicht die einzige potenzielle Bedrohung, welche der Bericht aufzeige. So unterstreiche er auch die Notwendigkeit eines verstärkten Managements von unkontrollierten „Cloud“-Anwendungen und sogenannter Infrastructure-as-a-Service (IaaS). Derzeit seien mehr als ein Drittel (35%) aller „Workloads“ innerhalb von „AWS“, „Azure“ und „Google Cloud Platform“ sozusagen „uneingeschränkt“, d.h. für jeden im Internet einsehbar.

Unternehmen sollten Sicherheit angesichts tatsächlicher Nutzung von Cloud-Anwendungen überdenken

Dieser Bericht weise auch auf eine neue Angriffsmöglichkeit in der weit verbreiteten Verwendung (97%) von Anmeldungen über Unternehmens-Google-Konten hin. Diese würden häufig zum bequemen und einfachen Einloggen bei Drittanbieter-Apps genutzt. Dabei forderten diese häufig unterschiedliche Berechtigungen an – von der Anzeige von Kontoinformationen bis hin zur Verwaltung der Dateien in „Google Drive“. Drittanbieter-Apps, welche das Anzeigen und Verwalten von „Google Drive“-Dateien verlangten, stellten hierbei eine erhebliche Gefahr für die Offenlegung von Unternehmensdaten dar.
„Angreifer versuchen immer einen Schritt voraus zu sein. Deshalb arbeiten wir hart daran, potenzielle Eintrittspunkte und Angriffsflächen zu identifizieren, bevor sie allgemein genutzt werden. Auf diese Weise sorgen wir dafür, dass Unternehmen zuverlässig geschützt sind, bevor es zu einem Datenverlust kommt“, erläutert Ray Canzanese, „Threat Research Director“ bei Netskope, und führt weiter aus: „Die in der Studie aufgedeckten Trends zeigen, dass Unternehmen die Sicherheit angesichts der tatsächlichen Nutzung von Cloud-Anwendungen überdenken müssen. Sie sollten auf eine Sicherheitsarchitektur setzen, die Kontext für Apps, Cloud-Dienste sowie Web-Benutzeraktivitäten bietet, und die Zero-Trust-Kontrollen anwendet, um Daten zu schützen, wo und wie auch immer auf sie zugegriffen wird.“

Die wichtigsten Erkenntisse aus dem Netskope Cloud and Threat Report

Für den Report seien anonymisierte Daten von Millionen Nutzern der „Netskope Security Cloud“-Plattform im Zeitraum vom 1. Januar bis zum 30. Juni 2021 analysiert worden:

• 97 Prozent der im Unternehmen genutzten „Cloud“-Apps sind Schatten-IT, d.h. nicht verwaltet und von Mitarbeitern eigenständig eingesetzt.
• App-Plugins von Drittanbietern stellen ein ernsthaftes Datenrisiko dar. 97 Prozent der Nutzer von „Google Workspace“ haben mindestens einer App eines Drittanbieters den Zugriff auf ihr Google-Unternehmenskonto gestattet und damit potenziell Daten an Dritte weitergegeben, etwa durch die Erlaubnis zum „Anzeigen und Verwalten der Dateien in Ihrem Google Drive“.
• Der Anstieg von öffentlich zugänglichen „Cloud“-Umgebungen eröffnet Angreifern zahlreiche Möglichkeiten. Mehr als 35 Prozent aller „Workloads“ sind innerhalb von „AWS“, „Azure“ und „GCP“ über das öffentliche Internet zugänglich. Dabei sind RDP-Server (Remote Desktop Protoco), die einen beliebten Angriffsvektor darstellen, bei 8,3 Prozent der „Workloads“ exponiert.
• Der Anteil der über die Cloud verbreiteten Malware nimmt weiter zu und hat mit 68 Prozent ein Allzeithoch erreicht. Dabei machen „Cloud“-Speicher-Apps fast 67 Prozent der über die „Cloud“ verbreiteten Malware aus. 43 Prozent aller Malware-Downloads erfolgen über bösartige „Office“-Dokumente.
• Mitarbeiter versuchen, erhebliche Mengen an Unternehmensdaten zu exfiltrieren, bevor sie das Unternehmen verlassen. Ausscheidende Mitarbeiter laden in den letzten 30 Tagen ihres Arbeitsverhältnisses dreimal so viele Daten als üblich auf persönliche Apps hoch. 15 Prozent dieser Daten stammen entweder vom Unternehmenskonto oder verstoßen direkt gegen eine Datenrichtlinie des Arbeitgebers. Die beliebtesten Ziele der kopierten Daten sind dabei persönliche Instanzen von „Google Drive“ und „Microsoft OneDrive“.

Weitere Informationen zum Thema:

netskope
Cloud and Threat Report: July 2021 Edition / Hey, You, Get Out of my Cloud