APT und gezielte Angriffe
Widerstandsfähigkeit gegen Cloud-Bedrohungen, Teil 2
Dank des maschinellen Lernens und künstlicher Intelligenz sind neue Bedrohungen für die Cloud entstanden. Dieser zweite Teil zeigt die Gefahren durch Fehlkonfigurationen von Cloud Services, Identitätsangriffe sowie Bedrohungen der Supply Chain.
Dieses Jahr wird noch mehr von den neuen als bahnbrechend geltenden Technologien wie maschinelles Lernen und künstliche Intelligenz geprägt – im positiven wie im negativen Sinn. Wir stellten bereits die Gefahren der Datenverfälschung in Modellen für maschinelles Lernen bis hin zur API-Sicherheit und Side Channel-Angriffen vor.
Doch gibt es weitere Bedrohungsquellen wie die Tatsache, dass viele Cloud Services mit Fehlkonfigurationen behaftet sind, die es Angreifern erleichtern in die Systeme einzudringen. Auch die so genannten Tokens, eigentlich für sichere digitale Interaktionen zuständig, können kompromittiert werden und damit zum Angriffsvektor mutieren. Schließlich geht es noch um die Software Supply Chain, die zum begehrten Ziel von Kriminellen geworden ist, da sie über diesen Weg breiter angelegte Angriffe starten können.
Fehlkonfigurationen von Cloud Services öffnen unbemerkt Hintertüren in ansonsten sicheren digitalen Umgebungen.
Eine kritische, oft unterschätzte Bedrohung für das Cloud Computing ist die Fehlkonfiguration von Cloud Services. Diese Probleme werden häufig von offenkundigeren Bedrohungen wie Schwachstellen überschattet, können aber genauso schädlich sein, wenn nicht sogar noch mehr, wenn sie zu erheblichen Sicherheitsverstößen führen.
- Fehlkonfigurationen beinhalten im Wesentlichen falsche oder unsichere Einstellungen und Parameter. Diese können von ungesicherten Datenspeicher-Containern bis zu unzureichenden Netzwerk-Firewall-Regeln reichen - einfache Fehler, die komplexe Folgen haben können. Szenarien wie offene, für unbefugte Benutzer zugängliche Storage-Buckets oder ein allzu freizügiger Netzwerkzugriff, ungeschützte private Container-Registries und ungeschützte Kubernetes-Cluster - das sind nicht nur kleine Pannen, sondern große Sicherheitsrisiken. Dazu gehören Datenlecks, unbefugter Datenzugriff und Service-Unterbrechungen. Sie können Angreifern einen Ansatzpunkt bieten, um Cloud-Umgebungen weiter auszunutzen. Mit steigender Komplexität der Cloud-Architekturen dank einer Vielzahl von Services und Konfigurationen wächst natürlich auch das Risiko von Fehlkonfigurationen. Tools wie Infrastructure-as-Code (IaC) und Kubernetes rationalisieren zwar Cloud-Dienste, erhöhen aber auch die Komplexität, was zu Fehlkonfigurationen führen kann.
- Gegenmaßnahmen und Best Practices. Regelmäßige Audits stellen sicher, dass die Konfigurationen den Sicherheitsstandards entsprechen. Regelmäßige Schulungen und Awareness-Programme für Cloud-Experten sind von entscheidender Bedeutung. Sie stehen an vorderster Front, um Fehlkonfigurationen zu erkennen und zu verhindern. Die Zusammenarbeit mit Cloud Providern, um Einsichten in optimale Konfigurationen zu erhalten, kann die Sicherheitslage erheblich verbessern. Ebenso helfen der Einsatz von spezialisierten Tools und die Expertise von Cloud Providern bei der Erkennung und Berichtigung der Fehler.
Identitätsangriffe auf Cloud Services lassen digitale Schlüssel zu Schwachstellen werden und bedrohen die Integrität von Identitätsprüfungssystemen.
Ein neues Problem für Cloud Services stellt die Zunahme von Token-basierten Angriffen dar. Diese zielen auf das Herzstück der digitalen Identitätsüberprüfung ab und missbrauchen Token - digitale Schlüssel, die Zugang und Privilegien in der digitalen Welt freischalten.
- Token-Schwachstellen: Token, die eigentlich für sichere digitale Interaktionen sorgen sollen, können kompromittiert werden, so dass sich ein Unbefugter Zugang zu sensiblen Daten verschaffen kann.
- Arten der Token-basierten Angriffe:
- Token Swapping: Dabei werden Systeme manipuliert, um einen Token mit niedrigeren Rechten gegen einen mit höheren Rechten auszutauschen.
- Token Replay: Bedeutet die Verwendung eines gekaperten Tokens innerhalb seiner Gültigkeitsdauer, um sich als Benutzer auszugeben.
- Token-Imitation: Die Erstellung von gefälschten Tokens, ähnlich wie das Fälschen einer Unterschrift, um sich als jemand anderes auszugeben.
- Cross-Cloud Provider Token Angriffe: Missbrauch eines Cloud Services, um Token in einem anderen zu kompromittieren.
- Hardcoded Token Leak: Bei der gemeinsamen Nutzung von Code, Containern oder Binärdateien mit fest kodierten Tokens, die den Zugriff garantieren, können diese falschen Personen zugänglich gemacht werden.
- Die komplexe IAM-Landschaft: Werden mehr Rollen als nötig zugelassen aufgrund der Komplexität des Identitäts- und Zugriffsmanagements (IAM) kann sich die Angriffsfläche und damit das Angriffsrisiko vergrößern. Mit dem Wechsel von der Nutzer- zur Maschinenidentität ändern Angreifern ebenfalls ihren Fokus und können die Reichweite ihrer Attacken erweitern. In der komplizierten Welt des IAM bergen inaktive oder ruhende Identitäten ein erhebliches Sicherheitsrisiko. Dies sind Konten, die eventuell seit Monaten nicht mehr genutzt wurden, weil Mitarbeiter den Zugang nicht mehr benötigen, oder Konten ehemaliger Mitarbeiter, die nie deaktiviert wurden. Diese ungenutzten Identitäten bieten Angreifern die Möglichkeit, sie auszunutzen, da sie oft nicht regelmäßig überwacht werden und ihre Zugriffsrechte behalten können.
- Strategien für bessere Sicherheit: Die Sicherheitsebenen für die Erzeugung und Verwendung von Token müssen unbedingt gestärkt werden. Zusätzliche Ebenen für den Schutz dieser digitalen Schlüssel sind erforderlich. Zudem stellen regelmäßige Audits sicher, dass die IAM-Rollen korrekt konfiguriert sind. Schließlich ist es in einer Multi-Cloud-Umgebung entscheidend, dass die Sicherheitsmaßnahmen über die verschiedenen Services hinweg koordiniert werden.
Software Supply Chain und CI/CD-Systeme werden zu Hauptzielen, die Angreifern viele Türen öffnen können.
Mittlerweile stellen Software Supply Chain und die CI/CD-Systeme (Continuous Integration/Continuous Deployment) ein begehrtes Ziel für Angreifer dar. Diese Systeme sind nicht nur betriebliches Rückgrat, sondern vor allem auch potenzielle Einfallstore für raffinierte Cyberangriffe.
- Die Risiken und Angriffsvektoren: Die Supply Chain von Software ist anfällig für verschiedene Angriffsmethoden, einschließlich der Ausnutzung von digitalen Authentifizierungs-Token. Die Abhängigkeit von Bibliotheken, Pipelines und Containern von Drittanbietern führt zu zusätzlichen Schwachstellen. Plattformen wie DockerHub und GitHub Marketplace müssen deshalb ihre Wachsamkeit stärken. Build-Systeme und Artefaktsicherheit, die Code zu anwendbarer Software kompilieren und assemblieren, können Ziele für das Einfügen von bösartigem Code oder Kompromittierung der Softwareintegrität sein.
- Schutz der CI/CD Pipelines: Die Schulung von Entwicklern in Best Practices für die Sicherheit ist für die Sicherung von CI/CD-Pipelines unerlässlich. Von essenzieller Bedeutung ist auch der sichere Umgang der DevOps Teams mit Geheimnissen. Des Weiteren ist das Schwachstellenmanagement in externen Abhängigkeiten sowie das Schließen von Lücken in CI/CD-Tools ein wichtiger Schritt zu mehr Sicherheit.
- Auf Managed Service Provider abzielende Angriffe: Die Einführung eines „Zero Trust“-Modells bei der Nutzung von Managed Service Providern (MSPs) ist hier unabdingbar. Diese Angriffe sind häufig auf weitreichende Auswirkungen abgestellt und erfordern eine Denkweise, die von der Möglichkeit eines Einbruchs ausgeht. Das Verantwortlichkeitsmodell bei Cloud-Diensten muss sich möglicherweise weiterentwickeln, um diesen neuen Bedrohungen zu begegnen, indem die gemeinsame Verantwortung von Service-Anbietern und Nutzern in den Vordergrund gestellt wird.
- Zukunftsszenario von Angriffen auf Supplier CI/CD-Umgebungen: Die Sichtbarkeit von Angriffen auf CI/CD-Systeme ist der Schlüssel zur Prävention und Reaktion auf Bedrohungen. Das Schürfen von Kryptowährungen ist nach wie vor ein gängiges Ziel, aber auch andere Formen von Angriffen wie Informationslecks und Ransomware sind präsente Bedrohungen. Darüber hinaus stellen die Verwendung von ungeprüften Bibliotheken und Containern von Drittanbietern, die Verwendung veralteter Komponenten und Schwachstellen, die durch Updates eingeführt werden, ein erhebliches Sicherheitsproblem dar.