Cloud Security

Agentenbasierte Cloud-Sicherheitslösungen: Wächter oder Feind?

, Stuttgart, Orca Security

Agentenbasierte Cloud-Sicherheitslösungen: Wächter oder Feind?

Sicherheitsagents als Schwachstelle: Wächter oder Feind?

Setzen agentenbasierte Cloud-Sicherheitslösungen Unternehmen dem Risiko eines Supply-Chain-Angriffs aus?

Das Prinzip der geringsten Privilegien (Principle of Least Privilege, PoLP) ist ein Eckpfeiler der IT-Sicherheit. Angesichts zunehmend verteilter IT-Umgebungen sind PoLP und Zero Trust heute wichtiger denn je. Orca Security meint daher: Vor dem Hintergrund zunehmender Angriffe auf die Lieferkette gilt es sicherzustellen, dass diese Prinzipien auch für Sicherheitslösungen gelten. Agentenbasierte Sicherheitslösungen erfordern jedoch volle Berechtigungen für den Rechner, auf dem sie installiert sind. Das bedeutet, dass dieselben Cloud-Sicherheitslösungen, auf die sich Unternehmen verlassen, das Risiko für das Unternehmen erhöhen und potenziell die Hintertür für Angriffe auf die Lieferkette öffnen.

John Alexander, CISSP, Senior Director of Technical Product Marketing bei Orca Security erläutert die unterschätzten Risiken:

PoLP ist seit vielen Jahren eine der wichtigsten bewährten Sicherheitspraktiken und besagt, dass Unternehmen Identitäten nur die Berechtigungen und den Zugriff auf die Ressourcen gewähren sollten, die für die Erfüllung ihrer Aufgaben erforderlich sind, und nicht mehr. Zero Trust geht noch einen Schritt weiter und besagt, dass man niemals einem Benutzer oder einem Dienst implizit vertrauen sollte. Sobald die Identität eines Benutzers nachgewiesen ist, erhält er nur Zugriff auf die spezifischen Ressourcen, die er zu diesem Zeitpunkt benötigt.

Die Anwendung dieser Grundsätze ist im Zeitalter der verteilten IT von entscheidender Bedeutung, um sich vor den immer häufigeren Angriffen auf die Lieferkette zu schützen. An den jüngsten Beispielen wurde deutlich, wie Angriffe auf die Lieferkette verheerende Folgen haben können: SolarWinds und CodeCov haben der Welt gezeigt, wie ein einziger angegriffener Dienst Zehntausende von Unternehmen gefährden kann.

Sicherheitsagent: Wächter oder Feind?

Sicherheitsanbieter mit agentenbasierten Lösungen wählen den einfachen Weg und bauen ihre Agenten so, dass sie nur die Installation mit „administrativen Rechten“ unterstützen. Die Unternehmen als Kunden haben keine Wahl: Ohne Administratorrechte funktionieren diese Agenten nicht. Betrachtet man die Installationsanleitung für fast jeden Agenten, wird deutlich, dass er als privilegierter Dienst ausgeführt wird, der in der installierten Umgebung praktisch alles tun kann. Diese Praxis verstößt jedoch direkt gegen das Prinzip der geringsten Privilegien.

Es liegt in der Natur der Sache, dass Sicherheitstools einen breiten Zugang benötigen, aber das bedeutet nicht, dass sie unbegrenzten Zugang benötigen. Zu betrachten sind die folgenden Szenarien:

  • Ein Sicherheitstool, das einen Host auf Schwachstellen oder Malware überprüft, benötigt nicht die gleichen Berechtigungen wie der Host.
  • Ein Sicherheitstool, das einen Server mit Zugriff auf privilegierte Datenspeicher schützt, benötigt nicht auch Zugriff auf diese Datenspeicher.
  • Ein Agent, der auf einem Server läuft, der dem Internet ausgesetzt ist, muss nicht auch mit dem Internet kommunizieren.

Idealerweise sollten Sicherheitsagenten nicht die Berechtigungen des geschützten Objekts erben, sondern mit den minimalen Berechtigungen laufen, die zur Erfüllung ihrer Aufgabe erforderlich sind. Dies gilt sowohl aus Sicht der Berechtigungen als auch des Netzwerks. Selbst wenn Unternehmen dem Sicherheitsanbieter vertrauen, kann eine übermäßige Freigabe zu katastrophalen Ereignissen führen. Der Anbieter könnte von Angreifern gehackt werden, die sich Zugang zur Kundenumgebung verschaffen wollen. Ebenso, was viel wahrscheinlicher ist, könnte die Lösung des Anbieters ein Open-Source-Tool enthalten, das sich später als bösartig herausstellt und in der gesamten Umgebung ausgeführt wird.

Beispiel für einen Angriff auf die Lieferkette, der durch Agenten ermöglicht wird

Der ungehinderte Zugriff des Sicherheitsagenten kann in einer Cloud-Umgebung Schaden anrichten, indem er diese für einen Supply-Chain-Angriff öffnet. Ein Sicherheitsagent verwendet möglicherweise eine bestimmte Bibliothek zum Parsen von JSON, PDF und anderen Dateitypen. Trotz guter interner Sicherheitspraktiken enthält die Bibliothek eine Schwachstelle für die Remote-Code-Ausführung (RCE). Ein Angreifer könnte Dateien erstellen, um diese Sicherheitslücke auszunutzen. Die Dateien können Nutzdaten enthalten, die ein bösartiges Tool installieren, mit einem Command & Control (CnC)-Server kommunizieren oder die Daten auf dem Host verschlüsseln und eine Nachricht senden, um ein Lösegeld zu fordern. Dies geschieht nicht nur bei einem gezielten Angriff, sondern auch, wenn Angreifer diese infizierenden Dateien weit verbreiten.

Ein Sicherheitsagent, der die anfällige Bibliothek nutzt, ist ein bevorzugtes Ziel für Angreifer. Die Nutzlast wird mit vollen Berechtigungen ausgeführt – mit der Fähigkeit, Dateien zu verschlüsseln, mit einem CnC-Server zu kommunizieren und sich sogar seitlich durch die Cloud-Umgebung zu bewegen. Wenn Agenten Unternehmen also potenziell einem Angriff auf die Lieferkette aussetzen können, wie lässt sich dann die Cloud-Umgebung zuverlässig schützen? Die Antwort liegt im Einsatz einer agentenlosen Cloud-Sicherheitslösung.

Agentenloses SideScanning folgt dem Prinzip der geringsten Privilegien

Als agentenlose Cloud Native Application Protection Platform (CNAPP) bietet die Orca Security- Plattform zahlreiche Vorteile, darunter schnelle Bereitstellung, vollständige Sichtbarkeit, kontextbezogene Einblicke und mehr. Darüber hinaus hält sich die Plattform von Orca vollständig an das PoLP-Prinzip und beschränkt die Privilegien auf das absolute Minimum. Anstelle von Agenten verwendet Orca seine proprietäre SideScanning-Technologie, um Cloud-Workloads out-of-band zu scannen. Im Gegensatz zu Agenten erbt SideScanning zudem nicht die Berechtigungen der gescannten Workloads. SideScanning kann zum Beispiel eine Cloud-Umgebung scannen, in der ein Bankensystem ohne Zugriffsberechtigung auf die Kundendaten ausgeführt wird.

Wenn die oben erwähnte hypothetische RCE-Schwachstelle in der Orca-Plattform ausgenutzt wird, sind die Auswirkungen aus den folgenden wichtigen Gründen weitaus geringer als bei agentenbasierten Sicherheitslösungen:

  • Keine Internet-Konnektivität: Auf einem Agenten läuft kein bösartiger Code, der mit einem CnC interagieren könnte, da Orca keine Agenten verwendet. Der Orca SideScanner läuft ohne aktivierte Internetkommunikation.
  • Schreibgeschützter Zugriff: Der SideScanner von Orca hat keinen Schreibzugriff auf Daten und greift nur auf einen schreibgeschützten Snapshot zu. Jede Lösegeldaktivität hat keinerlei Auswirkungen auf die echten Daten.
  • Dedizierte, kurzlebige Instanzen: Da die SideScanning-Technologie auf dedizierten Instanzen ausgeführt wird, ist ihre Anfälligkeit deutlich geringer. Diese Instanzen sind kurzlebig und haben nur einen sehr eingeschränkten Netzwerkzugriff, so dass sie nur auf die gescannten Daten zugreifen und die Digest-Scanergebnisse an einen bestimmten und dedizierten Datenspeicher senden können. Sie werden auch nicht zwischen Scans oder Assets wiederverwendet, was die Angriffsfläche weiter reduziert.

Neben der Einhaltung von PoLP bietet SideScanning von Orca noch weitere Vorteile, darunter vollständige Sichtbarkeit und Abdeckung ohne Installation eines einzigen Agenten: Ist die Plattform einmal bereitgestellt, sind alle Cloud-Assets eines Unternehmens abgedeckt. Dies gilt auch für inaktive, angehaltene und gestoppte Workloads, verwaiste Systeme und Geräte/OS, die keine Agenten unterstützen können.

Es ist an der Zeit, die Art und Weise, wie Unternehmen Sicherheit umsetzen, zu ändern

PoLP ist nach wie vor ein bewährtes Verfahren, weil es die Angriffsfläche effektiv reduziert. Anbieter von agentenbasierten Sicherheitslösungen halten sich jedoch nicht an PoLP, da sie ihre Agenten so entwickeln, dass sie die Berechtigungen ihrer Hosts übernehmen. Das bedeutet, dass die Sicherheitskontrollen, auf die sich Unternehmen verlassen, ihr Risiko für Supply-Chain-Angriffe sogar noch erhöhen. Es ist Zeit für einen neuen Ansatz, eine Sicherheitslösung, die vollständige Sichtbarkeit bietet, ohne das Risiko zu erhöhen.