21.04.2022
Cloud Threat Report
1. Teil: „Nach wie vor große Defizite bei der Cloud-Sicherheit“
Nach wie vor große Defizite bei der Cloud-Sicherheit
Autor: Jens Stark
Archiv CW
Palo Alto Networks hat eine aktualisierte Version des «Cloud Threat Report» veröffentlicht. Dieser stellt nach wie vor grosse Defizite bei der Absicherung der Cloud fest. Besonders Fehlkonfigurationen wie übermässige Berechtigungen führen zu unsicheren Installationen.
Fehlkonfigurationen stehen weiterhin im Mittelpunkt der meisten bekannten Cloud-Sicherheitsvorfälle. Zu diesem Fazit gelangt die Forschungsabteilung Unit 42 von Palo Alto Networks in ihrer jüngsten Ausgabe des «Cloud Threat Report». In der Studie wurden mehr als 680'000 Identitäten in 18'000 Cloud-Konten und über 200 verschiedenen Unternehmen analysiert.
Dabei kristallisierten sich Konfigurationen und Nutzungsmuster heraus, die Angreifer regelrecht einladen, Cloud-Ressourcen für ihr kriminelles Tun zu missbrauchen. So zeigt die Untersuchung, dass fast alle Cloud-Identitäten zu freizügig sind und viele Berechtigungen gewähren, die nie genutzt werden. Unit 42 betrachtet eine Cloud-Identität als zu freizügig, wenn ihr Berechtigungen gewährt werden, die in den letzten 60 Tagen nicht genutzt wurden. Eine Identität kann ein menschlicher Benutzer oder ein nicht-menschlicher Benutzer sein, wie z. B. ein Dienstkonto.
Zu viele Privilegien
Obwohl Cloud-Security-Spezialisten schon seit Jahren predigen, nur die allernotwendigsten Privilegien für Cloud-Instanzen zu gewähren, weist die Situation vor Ort ein diametral entgegengesetztes Bild auf. So waren erstaunliche 99 Prozent der Cloud-Benutzer, -Rollen, -Services und -Ressourcen mit übermäßigen Berechtigungen ausgestattet, die nicht genutzt wurden. Wenn sie kompromittiert werden, können Angreifer diese ungenutzten Berechtigungen nutzen, um sich seitlich oder vertikal zu bewegen und den Angriffsradius zu erweitern. Das Entfernen dieser Berechtigungen kann das Risiko, dem jede einzelne Cloud-Ressource ausgesetzt ist, erheblich reduzieren und die Angriffsfläche der gesamten Cloud-Umgebung minimieren. Das Beste daran ist, dass eine Anpassung der Berechtigungsrichtlinien ohne Kosten und Leistungseinbußen möglich ist.
Darüber hinaus erlauben 53 Prozent der Cloud-Konten die Verwendung schwacher Passwörter und 44 Prozent erlauben die Wiederverwendung von Passwörtern. Leider scheinen Angreifer dies ebenfalls zu wissen.
2. Teil: „Knackpunkt IAM-Konfigurationen“
Knackpunkt IAM-Konfigurationen
Die zu großzügig gewährten Privilegien sind oft das Ergebnis einiger schlecht geschriebener Identitäts- und Zugriffsmanagement-Richtlinien. Im Zentrum steht dabei das Identity & Access Management (IAM). Es ist die wichtigste und komplexeste Komponente, die die Authentifizierung und Autorisierung jeder Ressource in einer Cloud-Umgebung regelt. Einfach ausgedrückt: IAM ist die erste Verteidigungslinie in den meisten Cloud-Umgebungen.
Und die wird teilweise auch von Cloud-Service-Provider (CSP) nicht mit der gebotenen Sorgfalt aufrecht erhalten. Sie bieten nämlich in der Regel einen Satz integrierter Berechtigungsrichtlinien, die schnell auf eine Identität angewendet werden können, die Zugriff auf bestimmte Cloud-Ressourcen benötigt. Diese Einheitslösungen der Provider seien jedoch oft zu allgemein gehalten und gewähren zu viele unnötige Berechtigungen, schreibt Palo Alto.
Dies zeigt auch die Studie: In den integrierten CSP-Richtlinien waren nämlich doppelt so viele ungenutzte oder übermäßige Berechtigungen enthalten wie in den vom Kunden erstellten Richtlinien. So wird zu oft Administratorenzugriff gewährt, eine Praxis, von denen die Experten abraten. Trotzdem gehören Administratorrichtlinien laut Studie zu den drei am häufigsten gewährten verwalteten Richtlinien.
Falsch konfiguriertes IAM öffnet Tür und Tor für Cloud-Angreifer
Das hat Konsequenzen. Denn laut Studie beginnen die meisten bekannten Sicherheitsvorfälle in der Cloud mit einem falsch konfigurierten IAM oder durchgesickerten Zugangsdaten (z. B. öffentlich zugängliche Storage-Buckets und fest codierte Zugangsdaten). Die Studie zeigt, dass 65 Prozent der bekannten Cloud-Sicherheitsvorfälle auf Fehlkonfigurationen zurückzuführen sind. Dies sind auch die Angriffsvektoren, die Angreifer ständig auszunutzen versuchen.
Denn alle identifizierten Cloud-Angreifer versuchten den Experten zufolge, die Cloud-Zugangsdaten abzugreifen, wenn sie einen Server, Container oder Laptop kompromittierten. Durchgesickerte Zugangsdaten mit übermäßigen Berechtigungen könnten Hackern dann den «Schlüssel zum Königreich» in die Hände spielen.
Die Forscher haben darüber hinaus in der Vergangenheit bereits einen Cloud-Angreifer identifiziert, der CSP-Anmeldedaten verwendet hat, was zeigt, dass er es nicht nur auf kompromittierte Instanzen abgesehen hat, sondern auch auf Cloud-Workloads.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Cloud Infrastructure
Oracle mit neuen KI-Funktionen für Sales, Marketing und Kundenservice
Neue KI-Funktionen in Oracle Cloud CX sollen Marketingspezialisten, Verkäufern und Servicemitarbeitern helfen, die Kundenzufriedenheit zu verbessern, die Produktivität zu steigern und die Geschäftszyklen zu beschleunigen.
>>
Nach der Unify-Übernahme
Mitels kombinierte Portfoliostrategie
Der UCC-Spezialist Mitel bereinigt nach der Unify-Übernahme sein Portfolio – und möchte sich auf die Bereiche Hybrid Cloud-Anwendungen, Integrationsmöglichkeiten in vertikalen Branchen sowie auf den DECT-Bereich konzentrieren.
>>