Cloud Threat Report

Palo Alto Networks präsentiert den neuen Cloud Threat Report

Palo Alto Networks präsentiert den neuen Cloud Threat Report

Identity & Access Management als erste Verteidigungslinie

Fehlkonfigurationen stehen weiterhin im Mittelpunkt der meisten bekannten Cloud-Sicherheitsvorfälle. Wenn man jedoch genau hinschaut, ist dies oft das Ergebnis einiger schlecht geschriebener Identitäts- und Zugriffsmanagement-Richtlinien. Identity & Access Management (IAM) ist die wichtigste und komplexeste Komponente, die die Authentifizierung und Autorisierung jeder Ressource in einer Cloud-Umgebung regelt. Einfach ausgedrückt: IAM ist die erste Verteidigungslinie in den meisten Cloud-Umgebungen.

In dieser Studie analysierten die Security-Forscher von Unit 42 mehr als 680.000 Identitäten in 18.000 Cloud-Konten und über 200 verschiedenen Unternehmen, um Konfigurationen und Nutzungsmuster zu verstehen. Die Untersuchung des Forschungs- und Beratungsteams von Palo Alto Networks zeigt, dass fast alle Cloud-Identitäten übermäßig freizügig sind und viele Berechtigungen gewähren, die nie genutzt werden. Darüber hinaus erlauben 53 Prozent der Cloud-Konten die Verwendung schwacher Passwörter und 44 Prozent erlauben die Wiederverwendung von Passwörtern. Leider scheinen Angreifer dies ebenfalls zu wissen.

Die Security-Forscher von Unit 42 haben nun den branchenweit ersten Cloud Threat Actor Index erstellt, der die Operationen von Angreifergruppen auflistet, die auf Cloud-Infrastrukturen abzielen. Wichtig ist, dass die Forscher auch herausgefunden haben, dass jede der Gruppen auf Cloud-IAM-Zugangsdaten abzielt. Insgesamt deuten die Ergebnisse darauf hin, dass Unternehmen bei IAM in der Cloud Schwierigkeiten haben, eine gute Governance einzurichten, was Angreifern die Tür für einen breiteren Zugang zu Cloud-Umgebungen öffnet.

Cloud-Identitäten sind zu freizügig

Die Forscher von Unit 42 beobachteten einen hohen Prozentsatz an zu freizügigen Identitäten in Umgebungen bei allen Cloud-Service-Anbietern (CSPs). Unit 42 betrachtet eine Cloud-Identität als übermäßig freizügig, wenn ihr Berechtigungen gewährt werden, die in den letzten 60 Tagen nicht genutzt wurden. Eine Identität kann ein menschlicher Benutzer oder ein nicht-menschlicher Benutzer sein, wie z. B. ein Dienstkonto.

Es besteht eine große Kluft zwischen der Realität und dem Prinzip des geringsten Privilegs. So waren erstaunliche 99 Prozent der Cloud-Benutzer, -Rollen, -Services und -Ressourcen mit übermäßigen Berechtigungen ausgestattet, die nicht genutzt wurden. Wenn sie kompromittiert werden, können Angreifer diese ungenutzten Berechtigungen nutzen, um sich seitlich oder vertikal zu bewegen und den Angriffsradius zu erweitern. Das Entfernen dieser Berechtigungen kann das Risiko, dem jede einzelne Cloud-Ressource ausgesetzt ist, erheblich reduzieren und die Angriffsfläche der gesamten Cloud-Umgebung minimieren. Das Beste daran ist, dass eine Anpassung der Berechtigungsrichtlinien ohne Kosten und Leistungseinbußen möglich ist.

Anpassen der IAM-Richtlinien von Cloud-Providern

Jeder Cloud-Service-Provider bietet einen Satz integrierter Berechtigungsrichtlinien, die schnell auf eine Identität angewendet werden können, die Zugriff auf bestimmte Cloud-Ressourcen benötigt. Diese Einheitslösungen sind jedoch oft zu allgemein gehalten und gewähren zu viele unnötige Berechtigungen. Die Studie hat gezeigt, dass in den integrierten CSP-Richtlinien doppelt so viele ungenutzte oder übermäßige Berechtigungen enthalten sind wie in den vom Kunden erstellten Richtlinien. Das Prinzip der geringsten Privilegien rät vom Administratorenzugriff ab. Administratorrichtlinien gehören laut Studie zu den drei am häufigsten gewährten verwalteten Richtlinien.

Falsch konfiguriertes IAM öffnet Tür und Tor für Cloud-Angreifer

Die meisten bekannten Sicherheitsvorfälle in der Cloud beginnen mit einem falsch konfigurierten IAM oder durchgesickerten Zugangsdaten (z. B. öffentlich zugängliche Storage-Buckets und fest codierte Zugangsdaten). Die Studie zeigt, dass 65 Prozent der bekannten Cloud-Sicherheitsvorfälle auf Fehlkonfigurationen zurückzuführen sind. Dies sind auch die Angriffsvektoren, die Angreifer ständig auszunutzen versuchen. Alle identifizierten Cloud-Angreifer versuchten, Cloud-Zugangsdaten abzugreifen, wenn sie einen Server, Container oder Laptop kompromittierten. Durchgesickerte Zugangsdaten mit übermäßigen Berechtigungen könnten Angreifern den „Schlüssel zum Königreich“ in die Hände spielen. Forscher haben in der Vergangenheit bereits einen Cloud-Angreifer identifiziert, der CSP-Anmeldedaten verwendet hat, was zeigt, dass er es nicht nur auf kompromittierte Instanzen abgesehen hat, sondern auch auf Cloud-Workloads.

Cloud-Angreifer setzen einzigartige Eskalationstechniken ein

Drei von fünf Cloud-Angreifern, die in der Liste von Unit 42 aufgeführt sind, haben Container-spezifische Operationen durchgeführt, einschließlich der Erkennung von Berechtigungen (auf Benutzer- und Gruppenebene) und der Erkennung von Container-Ressourcen. Bei zwei der Cloud-Angreifer wurde außerdem dokumentiert, dass sie Container-Escape-Operationen durchgeführt haben. Darüber hinaus haben alle fünf Angreifer im Rahmen ihrer Standardbetriebsverfahren Zugangsdaten für Cloud-Service-Plattformen oder Container-Plattformen gesammelt. Durch das Sammeln von CSP-Zugangsdaten wären die Cloud-Angreifer in der Lage, sich seitlich zur Cloud-Service-Plattform selbst zu bewegen und isolierte Sicherheitsüberwachungs-Tools für Container oder virtuelle Cloud-Ressourcen zu umgehen. Nur eine Cloud Native Application Protection Platform (CNAPP) mit geeigneten Konfigurationen wäre in der Lage, diese Operationen von Cloud-Angreifern zu überwachen und dagegen vorzugehen.

Schlussfolgerung und Empfehlungen

Wie Unit 42 in dieser Studie darlegt, regelt das Identitäts- und Zugriffsmanagement die Sicherheit der Cloud-Infrastruktur und trägt zum Schutz von Unternehmen vor Cloud-Angriffen bei. Ein richtig konfiguriertes IAM kann unbeabsichtigte Zugriffe blockieren, Einblick in Cloud-Aktivitäten geben und die Auswirkungen von Sicherheitsvorfällen verringern. Den sichersten Zustand des Identitäts- und Zugriffsmanagements aufrechtzuerhalten, ist jedoch aufgrund seiner dynamischen Natur und Komplexität eine Herausforderung. In der Vergangenheit waren IAM-Fehlkonfigurationen der Einstiegs-, Dreh- und Angelpunkt, den Cyberkriminelle am häufigsten ausnutzen.

Um die Verteidigung von Cloud-Umgebungen gegen Cloud-Bedrohungen zu unterstützen, sollten Unternehmen die folgenden Taktiken umsetzen:

1. Integration einer CNAPP-Suite

Die Überwachung und Alarmierung bei Sicherheitsereignissen mittels einer einheitlichen Plattform ist von entscheidender Bedeutung, um umfassende Sicherheit zu gewährleisten. Dies sollte sowohl die Unterstützung von Anwendungen zur Laufzeit als auch die Integration von Sicherheit in Entwicklungs-Workflows umfassen. Laut Gartner sind „Cloud-native Application Protection-Plattformen (CNAPPs) ein integrierter Satz von Sicherheits- und Compliance-Funktionen, die dazu dienen, Cloud-native Anwendungen in Entwicklung und Produktion zu sichern und zu schützen. CNAPPs konsolidieren viele zuvor isolierte Funktionen, darunter: a. Scannen von Entwicklungsartefakten, einschließlich Containern b. Verwaltung der Sicherheitslage in der Cloud c. IaC-Überprüfung d. Verwaltung von Berechtigungen für die Cloud-Infrastruktur e. Laufzeitplattform zum Schutz von Cloud-Workloads“

Angesichts des Zugangs, den Cloud-Angreifer durch die Kompromittierung einer Cloud-Workload erlangen können, könnten sie erfolgreich eine Reihe von isolierten Cloud-Sicherheitsfunktionen wie die Überwachungs- und Erkennungsmechanismen von Cloud Workload Protection (CWP) umgehen, indem sie auf die Cloud-Plattform selbst zugreifen. Ein Unternehmen, das nur CWP einsetzt, könnte keine überprüfbaren Ereignisse auf der Cloud-Plattform-Ebene erkennen, die mittels Cloud Security Posture Management (CSPM) aufgedeckt werden könnten. Ebenso kann ein Unternehmen, das nur CSPM einsetzt, keine Ereignisse erkennen, die auf einzelnen Workloads stattfinden. Nur durch die Verwendung einer Reihe von Tools innerhalb einer CNAPP würde ein Cloud-Bedrohungsakteur, der seinen Zugriff direkt von der kompromittierten Cloud-Instanz auf die CSP-Plattform selbst verlegt, erkannt werden. Die Forscher empfehlen die Verwendung einer CNAPP-Tool-Suite, die sowohl ein CSPM-Tool als auch ein CWP-Tool enthält, um sowohl Container- als auch CSP-Konsolenoperationen zu überwachen.

2. Fokus auf die Härtung von IAM-Berechtigungen

Das Zulassen von zu freizügigen IAM-Identitäten in einer Cloud-Umgebung setzt das Unternehmen unnötigerweise einem erheblichen Risiko aus. Lesen Sie die folgenden acht Best Practices zur Sicherung von IAM in Ihrer Cloud-Infrastruktur: a. Minimieren Sie die Verwendung von Admin-Zugangsdaten. Je seltener Admin-Zugangsdaten gewährt oder verwendet werden, desto geringer ist die Wahrscheinlichkeit, dass sie kompromittiert werden. b. Minimieren Sie die Verwendung von Langzeit-Zugangsdaten wie Benutzerpasswort, Zugriffsschlüssel und Service-Account-Schlüssel. c. Erzwingen Sie eine Multi-Faktor-Authentifizierung (MFA) für Berechtigungen, die geschäftskritische Ressourcen ändern, z. B. Datenbanklöschung, Snapshot-Löschung und Aktualisierung von Verschlüsselungsschlüsseln. d. Konfigurieren Sie eine Richtlinie für sichere Passwörter. Das National Institute of Standards and Technology (NIST) empfiehlt eine Mindestlänge von acht Zeichen und das Überspringen von Regeln zur Zeichenzusammensetzung, da dies für die Benutzer aufwändig ist. e. Verwenden Sie Federated Identity Management (FIM), um die Zugriffskontrolle zentral zu verwalten. f. Erteilen Sie jeder Identität nur die für ihre Aufgaben erforderlichen Berechtigungen (Prinzip der geringsten Rechte). Überprüfen Sie kontinuierlich alle Identitäten in Ihren Cloud-Umgebungen mit Tools wie AirIAM und Cloud Infrastructure Entitlement Management (CIEM). g. Überwachen Sie IAM-Aktivitäten. Alle großen CSPs haben Dienste, die die IAM-Nutzung überwachen. Diese Dienste helfen bei der Identifizierung abnormaler Aktivitäten wie Brute-Force-Angriffe und Protokollierung von nicht erkannten Abteilungen oder Standorten. h. Automatische Wiederherstellung übermäßiger Berechtigungen. Berechtigungsprüfungen sollten nicht manuell durchgeführt werden, da sich die Workloads in Cloud-Umgebungen schnell und häufig ändern.

3. Mehr Sicherheitsautomatisierung

Der State of Cloud Native Security Report 2022 von Palo Alto Networks zeigt, dass Unternehmen mit einem hohen Grad an Sicherheitsautomatisierung eine doppelt so hohe Wahrscheinlichkeit haben, eine starke Sicherheitslage zu erzielen. Da die Cloud-Nutzung weiter zunimmt, müssen Sicherheitsteams in der Lage sein, mit Cloud-Schwachstellen in großem Umfang Schritt zu halten. Durch die Integration von Automatisierung, wo immer dies möglich ist, lassen sich die manuellen Schritte, die normalerweise zur Behebung eines Sicherheitsproblems erforderlich sind, drastisch reduzieren. Außerdem können Sicherheitsteams mehr Sicherheitsrisiken schneller beheben, sowohl während der Entwicklungs- und Laufzeitphase als auch an jedem Punkt dazwischen.