Häufige Cloud und Sicherheitsrisiken erklärt

Schwachstellen Cloud sind blinde Sicherheitslücken oder Einstiegspunkte, die von böswilligen Akteuren ausgenutzt werden können.

Im Gegensatz zu herkömmlichen Umgebungen, in denen Schwachstellen meist auf der Perimeterebene (z. B. Firewalls) zu finden sind, können Schwachstellen in der Cloud aus verschiedenen Bereichen stammen, z. B. Fehlkonfigurationen, Zugangskontrolle, ein undefiniertes Modell der gemeinsamen Verantwortung, Schatten-IT usw.

Eine Cloud-Umgebung ist von Natur aus mit mehreren Benutzern, Partnern, Anwendungen und Anbietern vernetzt.

Diese breite Angriffsfläche bedeutet, dass Cloud-Ressourcen Bedrohungen durch Account-Hijacks, böswillige Insider, Account-Hijacks, mangelhaftes Identitäts- und Berechtigungsmanagement und unsichere APIs ausgesetzt sind.

Ein offensichtlicher Unterschied zwischen Bedrohungen und Schwachstellen liegt in ihrer Dringlichkeit.

Wenn eine Schwachstelle eine in der Schwebe befindliche Schwäche darstellt, die darauf wartet, ausgenutzt zu werden, dann ist die Bedrohung ein bösartiges oder negatives Ereignis, das in der Regel in der Gegenwart stattfindet und ein dringendes Eingreifen erfordert.

Die Schwachstelle ist das erste, was das Unternehmen den Sicherheitsbedrohungen der Cloud aussetzt.

So stellen beispielsweise Fehlkonfigurationen in der Cloud eine Schwachstelle dar, die zu unzureichenden Zugangskontrollen und schließlich zur Gefahr eines Cyberangriffs führen kann.

Kurz gesagt: Eine Schwachstelle ist eine Schwäche, und eine Bedrohung ist eine potenzielle Aktion oder ein Ereignis, das diese Schwäche ausnutzen könnte. Wäre die Cloud eine verschlossene Tür, wäre die Schwachstelle ein Schloss mit einer Schwachstelle, und die Bedrohung wäre jemand, der die Tür aufbricht.

Im Kern bestehen Cloud-Infrastrukturen aus verschiedenen Schichten und Komponenten; Schwachstellen können auf jeder Schicht vorhanden sein.

Fehlkonfigurationen sind eine direkte Folge falscher oder zu freizügiger Einstellungen und machen ein System unsicherer als es sein sollte. Sie können in Cloud-basierten Containern (z. B. falsch konfigurierte S3-Buckets), Firewalls oder ungepatchten virtuellen Maschinen auftreten.

Beispiele für Fehlkonfigurationen sind öffentlicher Lese- und Schreibzugriff, obwohl er privat sein sollte, veraltete oder nicht gepatchte Berechtigungen oder sogar fehlende Verschlüsselungseinstellungen.

Fehlkonfigurationen können durch menschliches Versagen, mangelndes Wissen oder schlecht geschriebene Automatisierungsskripte entstehen und zu Datenverlusten oder -lecks, Reputationsschäden im Falle eines Angriffs und der Nichteinhaltung gesetzlicher Vorschriften führen.

Dies war 2019 bei CapitalOne der Fall, als eine falsch konfigurierte Web Application Firewall den unbefugten Zugriff auf einen S3-Bucket mit sensiblen Daten (einschließlich Sozialversicherungsnummern) von über 100 Millionen Kunden ermöglichte. CapitalOne musste wegen des Verstoßes eine Strafe in Höhe von 80 Millionen Dollar zahlen.

Cloud-Umgebungen sind per Definition schnelllebig, dezentralisiert und werden oft nicht vollständig von Sicherheitsteams kontrolliert, so dass ein gewisser Mangel an Transparenz besteht.

Dies kann entweder daran liegen, dass die Anbieter nur grundlegende Tools für die Transparenz anbieten, während eine tiefergehende Überwachung mit zusätzlichen Kosten verbunden ist, oder daran, dass die Teams innerhalb eines Unternehmens überfordert sind und nicht über die erforderlichen Cloud-spezifischen Fähigkeiten verfügen, um die Infrastruktur wirklich zu überwachen.

Die Tendenz der Unternehmen, Geschwindigkeit über Sicherheit zu stellen, trägt ebenfalls dazu bei.

Wenn jedoch Sichtbarkeit als Kostenfaktor und nicht als Werttreiber empfunden wird, können Angreifer in eine Cloud-Infrastruktur eindringen und über einen längeren Zeitraum unbemerkt bleiben.

Bei so vielen Tools, Dashboards und Protokollen innerhalb eines Cloud-Netzwerks ist es schwierig, Zusammenhänge herzustellen und verwertbare Erkenntnisse über die Vorgänge zu gewinnen.

Die Zugriffsverwaltung legt fest, welcher Benutzer oder welche Anwendung auf ein Cloud-Asset zugreifen kann.

Sie umfasst die Verwaltung digitaler Identitäten und die Kontrolle des Zugangs zu Cloud-Diensten, Anwendungen und Daten.

Um sicherzustellen, dass sensible Informationen nicht in die Hände von Unbefugten gelangen, müssen bestimmte Grenzen und Einschränkungen gelten. In einer Welt, in der allein in den USA mehr als 77 Millionen Menschen von Kontoübernahmen betroffen sind, sind einige Praktiken von größter Bedeutung:

• Implementierung von MFA (Multi-Faktor-Authentifizierung)
• Durchsetzung des Prinzips der geringsten Berechtigung (Zugriff nur dann gewähren, wenn er für die Aufgabe erforderlich ist)
• Verwendung der rollenbasierten Zugriffskontrolle zur Verwaltung des Zugriffs auf der Grundlage von Arbeitsfunktionen

Andernfalls riskieren Unternehmen Datenschutzverletzungen, die Nichteinhaltung von Vorschriften und Betriebsunterbrechungen.

Angreifer können über ein gekapertes Konto in ein System eindringen und unzureichende Zugriffsrichtlinien ausnutzen, sie können auf Ressourcen oder Systeme auf höherer Ebene zugreifen; das Ziel ist es, mehr Kontrolle über das System zu erlangen und möglicherweise erheblichen Schaden anzurichten.

Innerhalb einer Cloud-Infrastruktur kann die API es verschiedenen Systemen, Diensten oder Anwendungen ermöglichen, mit der Cloud-Umgebung zu interagieren.

Das bedeutet, dass APIs den Zugriff auf Daten, Infrastruktur und Funktionen kontrollieren können.

Eine unsichere API kann bedeuten, dass für den Zugriff kein gültiger Benutzer oder Token erforderlich ist, dass sie mehr Zugriff als nötig gewährt oder dass sie sensible Daten protokolliert.

Wenn APIs falsch konfiguriert oder ungeschützt sind, können Angreifer auf Daten (Benutzerdaten, Finanzdaten, Gesundheitsdaten) zugreifen, auch ohne vollständige Anmeldedaten.

Dies war im Jahr 2021 der Fall, als eine Schwachstelle in der API von Pelotones jedem ermöglichte, auf die Daten von Benutzerkonten zuzugreifen, selbst bei privaten Profilen. Die von Pen Test Partners entdeckte Schwachstelle ließ unauthentifizierte Anfragen durch, die Details wie Alter, Geschlecht, Standort, Gewicht, Trainingsstatistiken und Geburtstage enthüllten.

Der Zugriff auf eine derart komplexe Datenbank hätte zu Doxxing, Identitätsdiebstahl oder Social-Engineering-Angriffen eskalieren können.

Schatten-IT bezieht sich auf die Verwendung von Software, Hardware oder anderen IT-Systemen innerhalb einer Organisation ohne das Wissen, die Genehmigung oder die Kontrolle der IT- oder Sicherheitsabteilung.

Entweder aus Bequemlichkeit oder aus Böswilligkeit können Mitarbeiter nach anderen Tools als den offiziell bereitgestellten suchen und so erhebliche Risiken für die Cybersicherheit im Unternehmen schaffen.

Schatten-IT kann in der Praxis wie folgt aussehen:

• Ein Mitarbeiter, der sensible technische Dokumente auf seinen persönlichen Cloud-Speicher hochlädt.
• Jemand, der nicht autorisierte Fernzugriffstools (wie AnyDesk) verwendet, um Fehler in Industriesystemen zu beheben oder auf SCADA-Umgebungen in kritischen Infrastrukturen zuzugreifen.
• Durchführung von Videoanrufen über ungeprüfte Plattformen (wie WhatsApp) anstelle des Unternehmensstandards.

In kritischen Infrastrukturen oder Hochsicherheitsumgebungen kann Schatten-IT gefährliche blinde Flecken schaffen und Wege für Datenlecks, die Einschleusung von Malware oder die Nichteinhaltung von Vorschriften eröffnen.

Böswillige, fahrlässige oder kompromittierte Insider können aufgrund der Vertrauenswürdigkeit des betreffenden Benutzers oder Systems schwieriger zu erkennen sein.

Der potenzielle Schaden, der von diesen Personen ausgeht, kann zu Datenschutzverletzungen, Serviceunterbrechungen, Verstößen gegen Vorschriften und finanziellen Verlusten führen.

Eine Zero-Day-Schwachstelle ist eine bisher unbekannte Sicherheitslücke, die zum Zeitpunkt ihrer Entdeckung noch nicht behoben ist und ausgenutzt werden kann, bevor der Hersteller davon erfährt.

In Cloud-Umgebungen umfasst dies Schwachstellen in APIs von Cloud-Plattformen, Container-Orchestrierungssystemen, SaaS-Anwendungen oder in Cloud-gehosteten Arbeitslasten.

Die dynamische, vernetzte und mandantenfähige Natur der Cloud ermöglicht es, dass sich Schwachstellen schnell verbreiten und viele Ressourcen betreffen, während den Benutzern die für eine schnelle Erkennung notwendige Transparenz der Infrastruktur fehlt.

Außerdem kann das Patchen von Cloud-Systemen einige Zeit in Anspruch nehmen, wodurch sich das Zeitfenster für Zero-Days vergrößert.

Ab 2023 ist die Vermeidung von Cloud-Fehlkonfigurationen für mehr als die Hälfte der Unternehmen ein Hauptanliegen, wie dieser Bericht zeigt, der die Schwere der möglichen Folgen verdeutlicht.

Eine der schädlichsten Folgen von Cloud-Schwachstellen ist die Preisgabe oder der Verlust sensibler Daten.

Unternehmen verlassen sich oft auf Cloud-Speicherlösungen, um ihre Kundendaten, geschützten Informationen oder Betriebsdaten zu speichern.

So kann eine Sicherheitsverletzung den Diebstahl von persönlichen Identitäten, Finanzinformationen, geistigem Eigentum oder sogar Geschäftsgeheimnissen bedeuten.

Abgesehen von den unmittelbaren Auswirkungen können solche Vorfälle auch zu einer langfristigen Schädigung des Rufs und zu einem Vertrauensverlust bei den Kunden führen.

Betroffene Personen könnten ihre Dienste einstellen, und Partner könnten ihre Geschäftsbeziehungen überdenken.

Selbst wenn die Sicherheitsverletzung schnell eingedämmt wird, können sich die Kosten für die Untersuchung, die Behebung, die Benachrichtigung der Kunden und mögliche Klagen auf Millionen von Dollar belaufen, ganz zu schweigen von den Opportunitätskosten, die durch Produktivitätsverluste und Markenerosion entstehen.

Die meisten Branchen unterliegen strengen Compliance-Richtlinien, wie GDPR, HIPAA, PCI DSS oder CCPA, die festlegen, wie Daten gespeichert, abgerufen und geschützt werden müssen.

Wenn Schwachstellen zu unbefugtem Zugriff oder unzureichender Kontrolle über sensible Daten führen, laufen Unternehmen Gefahr, gegen diese Gesetze zu verstoßen. Die Regulierungsbehörden können erhebliche Geldstrafen verhängen, Gerichtsverfahren einleiten oder Betriebsbeschränkungen durchsetzen.

In Ländern wie der Europäischen Union können die Strafen im Rahmen der Datenschutz-Grundverordnung bis zu 4 % des weltweiten Jahresumsatzes betragen, wodurch selbst ein einziger Vorfall zu einem Ereignis mit hohem Risiko wird.

Schwachstellen Cloud gibt es schon so lange, dass Unternehmen ganze Methoden entwickeln konnten, um Schwachstellenrisiken zu minimieren.

Cloud sind sehr dynamisch, da regelmäßig neue Dienste bereitgestellt und Integrationen hinzugefügt werden.

Jede dieser Änderungen birgt das Potenzial für Fehlkonfigurationen oder Gefährdungen, so dass die Bewertung der Schwachstellen eine ständige Aufgabe ist.

Selbst wenn Unternehmen Schwachstellen erkennen und mit dem Patchen beginnen, kann es sein, dass einige Systeme mit den aktualisierten Versionen nicht richtig funktionieren.

In solchen Fällen müssen bestimmte Schwachstellen für die betriebliche Kontinuität bestehen bleiben, so dass ein Management unerlässlich ist.

Sicherheitsteams benötigen einen strukturierten Ansatz, um diese Ausnahmen zu dokumentieren, die damit verbundenen Risiken zu bewerten und geeignete Kontrollstrategien anzuwenden, wie etwa die Isolierung der Schwachstelle vom Netzwerk.

CSPM umfasst das Scannen der Infrastruktur auf Fehlkonfigurationen, Richtlinienverstöße und übermäßig freizügige Zugriffskontrollen.

Anstatt sich auf Softwarefehler zu konzentrieren, befasst sich CSPM mit architektonischen und Konfigurationsrisiken (falsch konfigurierte S3-Buckets, unverschlüsselter Speicher oder IAM-Übertragungen), die zu einer Offenlegung von Daten oder zu Compliance-Problemen führen können.

CSPM bietet Echtzeit-Transparenz in Cloud-Umgebungen, automatisierte Prüfungen gegen Compliance-Frameworks (wie CIS, PCI oder GDPR) und Warnmeldungen bei Fehlkonfigurationen.

CNAPP-Plattformen verbessern die Cloud-Sicherheit und vereinen mehrere Schutzschichten, indem sie Cloud Security Posture Management Cloud Workload Protection Platforms (CWPP) und Schwachstellenmanagement in einem einzigen Framework vereinen.

Sie bieten tiefere Einblicke in den gesamten Lebenszyklus von Anwendungen, von der Infrastrukturkonfiguration bis hin zum Verhalten von Workloads und Bedrohungen während der Laufzeit.

CNAPPs können mit anderen Sicherheitstools integriert werden, indem hostbasierte Erkennung, Verhaltensüberwachung und Schwachstellen-Scans direkt in virtuelle Maschinen, Container und serverlose Umgebungen eingebettet werden.

In On-Premise-Umgebungen treten Schwachstellen am ehesten auf der Perimeterebene auf, d. h. an der Grenze zwischen dem internen, sicheren Netzwerk des Unternehmens und dem externen, oft nicht vertrauenswürdigen Netzwerk.

Sicherheitslücken vor Ort können veraltete Software, falsch konfigurierte Server, Hardwareausfälle und sogar physische Sicherheitsverletzungen bedeuten.

In Cloud-Umgebungen bilden Firewalls und Netzwerke jedoch keine stabile Grenze mehr, da die Identität die erste und wichtigste Sicherheitsgrenze darstellt.

Auch wenn die grundlegenden Sicherheitsprinzipien nach wie vor relevant sind, bringt die Cloud eine neue Dynamik mit sich, insbesondere in Bezug auf Verantwortung, Transparenz und die Volatilität von Assets.

Cloud sind meist dynamischen, API Bedrohungen ausgesetzt, im Gegensatz zu On-Premise-Umgebungen, bei denen die Gefahr in wohlbekannten Risiken wie unbefugtem physischen Zugriff, Insider-Angriffen oder Verletzungen des Perimeters liegt.

Zu den wichtigsten Unterschieden gehören die Prävalenz von Fehlkonfigurationen als Hauptursache für Sicherheitsverletzungen, das Vorhandensein kurzlebiger Ressourcen (Container, serverlose Funktionen), die sich häufig herkömmlichen Scanning-Tools entziehen, sowie identitätsbasierte Angriffe, die immer häufiger auftreten und von Angreifern bevorzugt werden.

Darüber hinaus verlagern sich die Sicherheitsverantwortlichkeiten auch in der Cloud, vor allem aufgrund des bereits erwähnten Modells der geteilten Verantwortung.

In diesem Rahmen sind Unternehmen für die Sicherung von Daten, Anwendungen, Konfigurationen und Identitäten verantwortlich, einschließlich der gesamten Logik der Dateiverarbeitung:

• Validierung und Bereinigung von hochgeladenen Dateien.
• Konfigurieren von Zugriffsberechtigungen auf Objekt- oder Bucket-Ebene.
• Verschlüsselung von Daten bei der Übertragung und im Ruhezustand.
• Implementierung von Überwachung und Erkennung von Bedrohungen bei Cloud-Speicherinteraktionen.

Um mit der Geschwindigkeit und Komplexität der Cloud Schritt halten zu können, müssen Sicherheitsverantwortliche sowohl die Sprache als auch die sich entwickelnde Art der Bedrohungen verstehen.

Ein gemeinsames Vokabular von DevOps-, Sicherheits- und Führungsteams ist die Grundlage für eine koordinierte Verteidigung, und alle Teammitglieder sollten sich auf die wichtigsten Branchenbegriffe wie z. B: