Cloud Threat Report von Palo Alto Networks Unternehmen vernachlässigen die Cloud-Sicherheit

Autor / Redakteur: Sergej Epp* / Peter Schmitz

Vor dem Siegeszug der Cloud erfolgte die Umsetzung der IT-Sicherheit durch Kontrollen auf Netzwerkebene. Die Netzwerksicherheit bleibt ein wichtiger Bestandteil der Cloud-Sicherheit, reicht aber nicht aus.

Firmen zum Thema

Immer mehr Workloads werden in der Cloud ausgeführt. Was bedeutet das für die Sicherheit? Der Unit 42 Cloud Threat Report 2H 2020 von Palo Alto Networks zeigt, wo es Probleme gibt.
Immer mehr Workloads werden in der Cloud ausgeführt. Was bedeutet das für die Sicherheit? Der Unit 42 Cloud Threat Report 2H 2020 von Palo Alto Networks zeigt, wo es Probleme gibt.
(Bild: gemeinfrei / Pixabay )

Da Unternehmensumgebungen in Richtung Cloud erweitert werden, gilt es die Sicherheit zu überdenken. Die Cloud erfordert eine zusätzliche Ebene der Identitäts- und Zugriffsverwaltung. Unit 42, das Bedrohungsforschungsteam von Palo Alto Networks, hat kürzlich den Unit 42 Cloud Threat Report 2H 2020 veröffentlicht. Dieser zeigt die Risiken für Unternehmen weltweit auf, die zunehmend Cloud-Workloads ausführen.

Hierzu erfassten die Forscher zwischen Mai und August 2020 Terabyte an Daten aus Tausenden von Cloud-Accounts und mehr als 100.000 GitHub-Code-Repositorys weltweit. Die Forscher fanden heraus, dass Identitätsfehlkonfigurationen in Cloud-Accounts keinesfalls selten sind und die Datensicherheit hochgradig gefährden. Neben Fehlkonfigurationen ist eine generell schlechte „Sicherheitshygiene“ bei der Cloud-Nutzung ein Problem, ebenso wie die Anfälligkeit der Cloud-Ressourcen für Cryptojacking.

Identitätsfehlkonfigurationen sind riskant, aber schwer zu erkennen

Die Studie von Palo Alto Networks zeigt, wie gravierend dieses Problem ist. Die Forscher wollten herauszufinden, wie häufig IAM-Fehlkonfigurationen in Cloud-Umgebungen vorkommen. Sie fanden mehrere gängige derartiger Schwachstellen in Tausenden von Cloud-Konten. Während einer Red-Team-Übung mit einem Kunden entdeckte Unit 42 in weniger als einer Woche zwei kritische AWS-Fehlkonfigurationen, die zu einem erheblichen Datensicherheitsvorfall hätten führen können. Eine einfache IAM-Fehlkonfiguration hätte es den Forschern, aber eben auch Angreifern ermöglicht, eine große Cloud-Umgebung zu kompromittieren und so gut wie jede Sicherheitskontrolle zu umgehen.

Über eine weitere falsch konfigurierte IAM-Vertrauensrichtlinie hätten bösartige Akteure Angriffsaktivitäten mittels Denial-of-Service (DoS) oder Ransomware gegen ein Unternehmen ausführen können. Die Schwachstelle wäre sogar ein möglicher Einstiegspunkt für APTs (Advanced Persistent Threats), also hartnäckige Bedrohungen, die sich im fremden System einnisten und lange unbemerkt bleiben und großen Schaden anrichten können. Die Forscher identifizierten auch eine kompromittierbare IAM-Rolle, auf die Hunderte von Benutzern zurückgreifen. Damit war es möglich, ein legitimes Administratorkonto zu kapern und die volle administrative Kontrolle über die gesamte Cloud-Umgebung zu übernehmen. Cyberangreifer wären in so einem als realistisch nachgewiesenem Szenario in der Lage gewesen, sensible Daten zu stehlen oder die Infrastruktur zu sabotieren.

Mangelnde Cloud-Identitätshygiene bei drei Viertel der Unternehmen

74 Prozent der Unternehmen in der EMEA-Region weisen eine schlechtere Cloud-Identitätshygiene auf, indem sie Google Cloud zum Ausführen von Workloads mit Admin-Privilegien verwenden. 47 Prozent der Unternehmen weltweit, die AWS-Workloads ausführen, haben eine Multi-Faktor-Authentifizierung für Benutzer nicht aktiviert. Beide Nachlässigkeiten dieser Art schaffen Möglichkeiten für Angreifer, ein Unternehmen zu infiltrieren und Schaden anzurichten.

Anfälligkeit für Cryptojacking wächst

Nach dem Prinzip der geringsten Privilegien sind die Nutzeroptionen auf ein Minimum eingeschränkt. Angreifern, denen es gelingt, Workloads mit Admin-Privilegien zu kompromittieren, würden auch Zugriffsrechte auf Admin-Ebene erlangen. Damit wäre der Weg frei, um an sensible Daten zu gelangen oder um Cloud-Ressourcen für finanziellen Ertrag durch Cryptojacking zu missbrauchen.

So sind laut der Studie von Palo Alto Networks 23 Prozent der Unternehmen weltweit, die eine Cloud-Infrastruktur nutzen, von Cryptojacking betroffen, gegenüber 8 Prozent noch vor zwei Jahren. Schlecht konfigurierte Umgebungen sind am stärksten gefährdet. Die Niederlande und Deutschland stehen weltweit an zweiter und dritter Stelle nach den USA in Bezug auf die Auflösung von Public-Mining-Traffic, analog zu den bekannten Monero-Nodes.

Cloud-Sicherheit ist ohne Automatisierung nicht zu bewältigen

Die Bedrohungslandschaft wird immer anspruchsvoller und das Schadenpotenzial ist gewaltig. Es gibt viele potenzielle Sicherheitslücken, die es schnellstmöglich zu schließen gilt. Unklar ist vielerorts auf Nutzerseite die gemeinsame, geteilte Verantwortung von Cloud-Nutzern und -Betreibern für die Sicherheit. Seit Beginn der Corona-Krise setzen die Cyberbösewichte zudem auf die allgemeine Verunsicherung in den Unternehmen und nutzen das Thema gezielt für Phishing-Angriffe.

Das Thema Cloud-Sicherheit ist besonders anspruchsvoll. Die Verwaltung von Zugriffsberechtigungen sowie die Identifizierung riskanter Richtlinien über Hunderte von Rollen und verschiedenen Cloud-Dienstanbietern hinweg ist manuell kaum zu stemmen, weder für große Unternehmen noch für KMU. Cloud-Sicherheit ist eine Aufgabe, die nur mit ausgeklügelten Algorithmen und weitreichender Automatisierung zu bewältigen ist.

* Der Autor Sergej Epp ist CISO für Zentraleuropa bei Palo Alto Networks.

(ID:47288358)