Cybersecurity

Cloud- und hybride Infrastrukturen bringen besondere Herausforderungen mit sich

, München, Thycotic | Autor: Herbert Wieler

Cloud- und hybride Infrastrukturen bringen besondere Herausforderungen mit sich

Sicherheitsrisiko Cloud-Zugriffe

Bedenkt man, dass 77 Prozent aller Cloud-Breaches mittlerweile auf kompromittierte Credentials wie Passwörter oder Einwahldaten zurückzuführen sind, wird deutlich, dass vor allem das Zugriffsmanagement in vielen Unternehmen den Anforderungen der Cloud-Umgebungen nicht gerecht wird.

Stefan Schweizer, Regional VP Sales DACH von Thycotic

Wir sprachen mit Stefan Schweizer, Regional VP Sales DACH von Thycotic , darüber, mit welchen Problemen die Verwaltung von privilegierten Zugriffen auf SaaS- und Cloud-Infrastrukturen einhergeht, wo die größten Schwachstellen und Angriffspunkte liegen und welche Maßnahmen eine effektive Absicherung von Cloud-Zugriffen versprechen.

Security-Experten predigen immer wieder: Unternehmen müssen endlich anfangen, ihre Sicherheitsstrategie dem Cloud-Zeitalter und den damit verbundenen Veränderungen anzupassen.

Was bedeutet dies für das Privileged Access Management (PAM) und worin unterscheidet sich on-prem-PAM von Cloud-PAM?

Das Hauptsicherheitsproblem bei der Cloud ist das Verschwinden des traditionellen Perimeters. Dies wirkt sich auf viele Cyber Security-Maßnahmen aus, unter anderem auch auf das Enterprise-PAM. Wurden privilegierte Zugriffe früher innerhalb eines definierten Perimeters mit Firewalls, VPNs und einer Reihe weiterer Sicherheitstools abgesichert, hat die Cloud und insbesondere der vermehrte Einsatz von Cloud-Anwendungen diesen geschützten Rahmen hinfällig gemacht.

Um die Unterschiede zwischen on-premises- und Cloud Security zu veranschaulichen, nutze ich gerne das Beispiel eines geparkten Autos. Parkt man sein Fahrzeug bei sich vor Ort in einer eigenen Garage, d.h. on-prem, und schließt das Garagentor ab, muss man sich kaum Gedanken darüber machen, ob die Autotür verriegelt oder alle Fenster geschlossen sind oder ob jemand sehen kann, welche Wertegenstände sich im Auto befinden. Personen, die Zugang zur Garage haben, können dann als autorisierte, privilegierte Benutzer gesehen werden, Schlüssel bzw. Garagenöffner sind in diesem Fall die Credentials, die ihnen den Zugriff ermöglichen.

Eine Cloud-Umgebung funktioniert hingegen nicht wie eine private Garage, sondern ist eher ein öffentlicher Parkplatz. Das Auto steht jetzt nicht mehr in einer bewachten Umgebung und benötigt daher zusätzliche bzw. andere Sicherheitskontrollen, um es vor Einbruch oder Diebstahl zu schützen. Dazu zählt unter anderem eine Zugangskontrolle zum Fahrzeug, d.h. die Verwaltung des privilegierten Zugangs und Transparenz darüber, was sich im Auto befindet (Verschlüsselung).

Die Kontrolle des Zugriffs auf die Cloud ist eine der kritischsten Sicherheitskontrollen und deshalb unerlässlich. So muss nicht nur die Authentifizierung gegenüber den Cloud-Anwendungen geschützt, sondern auch eine kontinuierliche Validierung und Verifizierung der Aktionen privilegierter Benutzer nach deren Authentifizierung sichergestellt werden.

Welches Fehlverhalten bzw. welche Nachlässigkeiten auf Seiten der IT-Teams begünstigen Cloud-bezogene Cybervorfälle?

Bereits heute spielen bei fast drei Viertel aller Cloud-Vorfälle kompromittierte Zugriffsdaten eine Rolle. Dies liegt unter anderem daran, dass viele Unternehmen nach wie vor Probleme haben, einen Least Privilege-Ansatz umzusetzen, d.h. Zugriffsrechte konsequent nach dem need-to-know-Prinzip zu verteilen. Das Ergebnis sind überprivilegierte Nutzer und viel zu weitgefasste Rechte, die die Angriffsfläche eines Unternehmens unnötig vergrößern und dafür sorgen, dass Angreifer viel weniger Schritte benötigen, um ihre Attacken erfolgreich umzusetzen. Dieselbe Nachlässigkeit legen viele IT-Teams auch beim Passwortmanagement an den Tag. Viele Cloudzugriffe sind nur durch ein einziges Passwort abgesichert, anstatt durch eine solide Multi-Faktor-Authentifizierung. Grundsätzlich kann man beobachten, dass vielen Sicherheitsverantwortlichen einfach die nötige Transparenz über alle privilegierten Cloud-Zugriffe und Sitzungen fehlt, was die vermehrte remote-Arbeit in den letzten Wochen natürlich nochmal verstärkt hat. Dies hat zur Folge, dass Kompromittierungen und Missbrauch nur schwer oder viel zu spät entdeckt werden.

Darüber hinaus sind auch fehlkonfigurierte Cloud-Speicher ein gefundenes Fressen für Hacker. Sie suchen gezielt nach nicht abgeänderten Standardeinstellungen oder falsch konfigurierten Sicherheitsrichtlinien, die ihnen uneingeschränkten Zugriff etwa auf Cloud-Datenbanken und in einem weiteren Schritt Datendiebstahl ermöglichen. Zudem haben Unternehmen unwissentlich unsichere Anwendungen oder APIs im Einsatz. Immer öfter sind Automatisierung ohne Authentifizierung, fest kodierte Passwörter und Token und Klartext-Authentifizierung Grund für Sicherheitsvorfälle in der Cloud. Begünstigt wird dies sicherlich auch durch den DevOps-Trend.

Viele Cyberangriffe können durch angemessene Sicherheitsmaßnahmen verhindert werden. Aber wo fängt man bei deren Umsetzung am besten an?

Die Absicherung privilegierter Cloud-Zugriffe beginnt zuerst einmal damit, sich bewusst zu machen, welche Risiken dem eigenen Unternehmen eigentlich drohen und welche Folgen ein potenzieller Cloud-Breach für das Unternehmen hätte. Gleichzeitig muss man verstehen, dass privilegierte Zugriffe auch nicht-menschliche Accounts betreffen, etwa Accounts die die Infrastruktur, Fernzugriffe, die Automatisierung, Service-Konten oder DevOps-Accounts verwalten. Kurz gesagt, muss man sich einen umfassenden Überblick über sämtliche privilegierte Konten und Nutzer in der gesamten Unternehmensumgebung verschaffen, denn man kann letztlich ja nur das schützen, was man auch kennt. Idealerweise nutzt man hierfür Tools, die auf Automatisierung beruhen, und den Verantwortlichen immer volle Transparenz bieten. Auf diese Weise werden auch veraltete und nicht mehr genutzte Accounts identifiziert, die als Hintertür für interne und externe Angriffe missbraucht werden könnten.

Gleichzeitig sollte jede Sicherheitsabteilung eigene Richtlinien für den Cloud-Zugriff definieren, in der die zulässige Nutzung und die Verantwortlichkeiten für privilegierte Cloud-Accounts festgelegt sind. Zu verstehen, wer über privilegierten Zugriff verfügt und wann dieser genutzt wird, ist bei dessen Absicherung von entscheidender Bedeutung. Privilegierte Konten sollten grundsätzlich separat behandelt werden, indem jedes einzelne von ihnen klar definiert und Nutzungsregeln festlegt werden.

Wenn man sich den Überblick über die eigene „Privilegien-Landschaft“ verschafft und Zugriffe definiert hat, was ist dann der nächste Schritt?

Wie bereits erwähnt, ist es von großer Wichtigkeit, eine minimale Rechtevergabe umzusetzen, d.h. jedem Mitarbeiter nur den Zugriff zu gewähren, den er zur Erledigung seiner Arbeit auch tatsächlich braucht. Zur Umsetzung empfiehlt sich der Einsatz eines fortschrittlichen PAM-Tools, das eine richtlinienbasierte Anwendungssteuerung bietet und es ermöglicht, Zugriffsrechte kontrolliert und überwacht zu erhöhen, zu sperren oder zu isolieren, so dass die Mitarbeiter ihre Tätigkeiten weiterhin sicher ausführen können, die Zahl der Helpdesk-Supporttickets jedoch deutlich sinkt.

Um Fehler bei der Nutzung sichtbar zu machen und Benutzer zum korrekten Verhalten zu motivieren, ist es zudem wichtig, privilegierte Sitzungen und Kontoaktivitäten zu überwachen und aufzuzeichnen. Dies betrifft besonders administrative Zugriffe von IT-Outsourcing-Anbietern und Managed Service Providern (MSPs) auf Cloud- und interne IT-Systeme, da viele Cybervorfälle auf kompromittierte Dritte zurückzuführen sind. Sind PAM-Tools im Einsatz, die privilegierte Sessions konsequent im Blick haben, kann abnormales Verhalten, d.h. mutmaßlicher Missbrauch oder Account-Kompromittierungen, schnell erkannt und blockiert werden. Tatsache ist, je schneller Sicherheitsvorfälle identifiziert werden, desto geringer sind die Kosten. Wenige Minuten können hier einen großen Unterschied machen.

In wenigen Worten: Was muss eine PAM-Lösung in Ihren Augen erfüllen, um Unternehmen echten Mehrwert zu bieten?

Entscheidend sind meiner Meinung nach zwei Punkte: Automation und Benutzerfreundlichkeit. Automation mindert das Risiko menschlicher Fehler, indem sie den manuellen Aufwand für langwierige und sich wiederholende Low-Level-Aufgaben reduziert. Benutzerfreundliche Lösungen, die „im Hintergrund arbeiten“ garantieren, dass die Mitarbeiter sie auch tatsächlich nutzen und sie nicht nur als ein Hindernis ihrer täglichen Arbeit sehen.