Cloud Security

Palo Alto Networks veröffentlicht aktuellen Cloud Threat Risk Report

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Palo Alto Networks veröffentlicht aktuellen Cloud Threat Risk Report

Sicherheitsbedrohungen in der Public Cloud

In der ersten Jahreshälfte 2019 gab es mehr als 20 größere Security-Vorfälle mit Public-Cloud-Plattformen, über die in den Medien berichtet wurde. Der „Vorfall“ bei Capital One in der vergangenen Woche – bei dem ebenfalls die Cloud-Sicherheit im Mittelpunkt stand – hat weltweit für Aufsehen gesorgt. Palo Alto Networks hat dazu vor wenigen Tagen einige Highlights aus dem Cloud Threat Risk Report veröffentlicht. Heute stellte das Unternehmen weitere und noch tiefer gehende Details rund um die aktuelle Situation der Cloud-Sicherheit vor.

Die Cloud Service Provider konnten bisher jedoch ihren soliden Ruf bezüglich Plattformsicherheit beibehalten, da nur ein sehr kleiner Prozentsatz der Vorfälle direkt den Anbietern zugeschrieben werden konnte. Die Nutzer von Cloud-Angeboten für Infrastructure- und Platform-as-as-Service (IaaS und PaaS) haben offensichtlich jedoch weiterhin Schwierigkeiten, die Grundlagen für effektive Security umzusetzen. Wenn es eine Sache gibt, die Cloud-Anbieter sehr gut machen, dann ist es Innovation. Leider hat die Flut neuer, innovativer Funktionen – oft fast täglich veröffentlicht – zu einer exponentiell höheren Komplexität geführt. Obwohl viele IT- und Sicherheitsteams das Shared-Responsibility-Model konzeptionell zwar verstehen, zeigt der Forschungsbericht des Threat-Intelligence-Teams „Unit 42“ von Palo Alto Networks, dass es bei der Umsetzung dieses Konzepts in die Praxis hapert.

Dieser Bericht hebt die wichtigsten Erkenntnisse aus Vorfällen hervor, die sich über die erste Jahreshälfte 2019 erstreckten, und präsentiert Ergebnisse aus der Cloud-fokussierten Bedrohungsforschung. Unternehmen sollten sich spätestens jetzt die erforderlichen Sicherheitskenntnisse, Tools und Best Practices aneignen, um ihre Rolle im Modell der gemeinsamen Verantwortung zu erfüllen. Nur so wird es ihnen gelingen, ihre Anwendungen und Workloads in der Cloud vor den zunehmenden Bedrohungen zu schützen.

Bestandsaufnahme sicherheitsrelevanter Aspekte

40.000 offenliegende Container

Die Untersuchungen zeigen, dass mehr als 40.000 Cloud-Container-Systeme wie Kubernetes und Docker standardmäßig konfiguriert sind. Diese Container konnten mithilfe einer einfachen Stichwortsuche leicht identifiziert werden. Ebenso werden standardmäßig konfigurierte Anwendungen wie ElasticSearch- und MySQL-Datenbanken sowie Datenbank-Benutzeroberflächen wie Kibana gehostet. Angreifer zielen häufig auf standardmäßig konfigurierte Systeme ab, da ein höheres Potenzial für eine erfolgreiche Kompromittierung besteht, da diese Systeme weniger wahrscheinlich gepatcht oder aktualisiert werden.

Freiliegendes RDP

Das Remote Desktop Protocol (RDP) ermöglicht es Benutzern, eine grafische Benutzeroberfläche mit einem entfernten System einzurichten. Traditionell nutzen IT-Abteilungen diese Funktionalität, um Produktionssysteme in einem Rechenzentrum zu verwalten. Sollte ein bösartiger Akteur sich die Vorteile von RDP-Diensten zunutze macht, hätte er die Kontrolle über das Cloud-System, als ob er physisch davorsitzen würde.

Cryptomining-Operationen

Bösartiges Cryptomining, auch bekannt als Cryptojacking, ist der Prozess des verborgenen Schürfens digitaler Währungen, wie Bitcoin, auf fremden Systemen. Unit 42 fand heraus, dass 28 Prozent der Unternehmen mit bösartigen Cryptomining-C2-Domains der Bedrohungsgruppe Rocke kommunizieren.

Verwendung unsicherer Protokolle

Secure Sockets Layer (SSL) ist ein Satz von Sicherheitstechnologien, die verwendet werden, um verschlüsselte Verbindungen zwischen Webservern und Browsern herzustellen. SSL wurde im Juni 2015 durch Transport Layer Security (TLS) ersetzt. Die TLS-Version 1.1 wurde 2008 durch die Version TLSv1.2 ersetzt. Die Forscher stellten aber fest, dass 61 Prozent der Unternehmen immer noch TLSv1.1/1.0 und veraltete Versionen von SSL in ihrer Umgebung aktivieren und verwenden.

Berichtete Cloud-Sicherheitsvorfälle

65 Prozent der gemeldeten Vorfälle in Zusammenhang mit Cloud-Infrastrukturen wurden als Folge einer Fehlkonfiguration festgestellt. Diese führte zu einer erhöhten Wahrscheinlichkeit von Datenlecks bei diesen Unternehmen.

Angreifer agieren opportunistisch

Angreifer haben es auf Daten abgesehen, wo immer diese sich befinden. Für einen Angreifer, der Daten exfiltrieren und Gewinne erzielen möchte, sind gängige Cloud-Fehlkonfigurationen einfache Ziele. In den letzten 18 Monaten (zum Zeitpunkt der Erstellung dieses Berichts) waren 65 Prozent der öffentlich bekannt gegebenen Cloud-Sicherheitsvorfälle auf Fehlkonfigurationen und 25 Prozent auf kompromittierte Accounts zurückzuführen.

Detaillierte Darstellung der Bedrohungslage

Exposition steigt mit zunehmender Container-Nutzung

Container sind nicht immun gegen Fehlkonfigurationen oder Datenexposition, nur, weil sie in der Cloud gehostet werden. Containerplattformen wie Docker und Orchestrationsplattformen wie Kubernetes bringen eigene Sicherheitsprobleme mit sich, wenn sie in Produktionsumgebungen eingesetzt werden. Mehr als 40.000 Containerplattformen, die dem Internet ausgesetzt waren, wurden mit Out-of-the-Box-Konfigurationen gefunden, die es ermöglichten, sie mit den einfachsten Suchbegriffen zu identifizieren: den Namen der Plattformen selbst, also „Docker“ und „Kubernetes“.

Die Security-Forscher von Unit 42 entdeckten sowohl bei Containern als auch gehosteten Diensten Standardkonfigurationen. Nicht alle identifizierten Systeme erlaubten den unbefugten Zugriff auf die darin enthaltenen Daten, aber eine überraschende Zahl tat es. Einige ausgewählte Standardcontainer enthielten auch standardmäßig konfigurierte Anwendungen, die es den Forschern ermöglichten, ohne Authentifizierung in diese Systeme einzudringen. Diese Anwendungen, ElasticSearch und Kibana, wurden sowohl auf Docker- als auch auf Kubernetes-Plattformen gefunden. Jeder Container mit sensiblen Daten sollte hinter einer ordnungsgemäß konfigurierten Sicherheitsrichtlinie oder einer nach außen gerichteten Firewall platziert werden, um den Zugriff aus dem Internet zu verhindern. Darüber hinaus empfehlen die Forscher von Palo Alto Networks den Unternehmen, keine Standardkonfigurationen für ihre Containerinfrastruktur beizubehalten. Stattdessen sollten die Sicherheitsrichtlinien eines Unternehmens eine Anleitung zur Containerkonfiguration enthalten, die für dieses Unternehmen maßgeschneidert ist und eine Authentifizierung erfordert, bevor Daten abgerufen werden können.

Malware dehnt Reichweite auf die Cloud aus

Unit 42 untersucht, verfolgt und berichtet immer wieder über Akteursgruppen und Vorfälle, die auf die Cloud-Infrastruktur abzielen.

Rocke, eine chinesische Cyberbedrohungsgruppe, die auch als The Iron Group, SystemTen, Kerberods und Khugepageds bekannt ist, ist eine solche Gruppe. Rocke hatte ursprünglich Ransomware-Angriffe zur Datenvernichtung durchgeführt, bevor sie sich in Richtung Cryptomining innerhalb von Cloud-Infrastrukturen verlagerte. Die Gruppe hat sich auf Cloud-Systeme spezialisiert, indem sie Cloud-fokussierte Malware schreibt, die Cloud-Sicherheitstools deaktiviert und deinstalliert.

Rocke verwendet bei der Bedienung relativ ungewöhnliche Taktiken, Techniken und Verfahren (TTPs): eine 12-stufige Operation, die die Verwendung eines Code-Repositorys von Drittanbietern wie Pastebin oder GitHub beinhaltet. Das Repository liefert die anfängliche Nutzlast, indem es sich mit einem Command and Control (C2)-Server verbindet, und Angreifer erhöhen ihre Rechte und setzen ihre Betriebsabläufe von dort aus fort.

Rocke ist in der Lage, Cyberoperationen relativ einfach durchzuführen, da die ausgenutzten Schwachstellen nicht neu sind. Die Mehrheit der von der Gruppe ausgenutzten Schwachstellen wurden bereits 2017 (CVE-2017-10271-Oracle WebLogic und CVE-2017-3066-Adobe ColdFusion) und 2016 (CVE-2016-3088-ActiveMQ) veröffentlicht. Dies allein zeigt, dass Rocke verlangsamt werden könnte, wenn Unternehmen rechtzeitig und effektiv Patches für Cloud-Systeme durchführen würden.

Darüber hinaus sollten Unternehmen aktuelle Blacklisting-Regeln für Firewalls verwenden, um Verbindungen zu bekannten bösartigen Domains zu verhindern. Es ist wichtig, zu beachten, dass alle bekannten C2-Domains von Rocke als bösartig markiert wurden und von PAN-OS blockiert werden. Diese Domains sind als Teil der Rocke-Infrastruktur bekannt und sollten nicht mit den Cloud-Systemen eines Unternehmens verbunden werden dürfen: sowcar[.]com, thyrsi[.]com, w2wz[.]cn, baocangwh[.]cn, z9ls[.]com, gwjyhs[.]com

Cloud-Komplexität bringt tiefhängende Früchte für Angreifer hervor

Daten aus gemeldeten Vorfällen im Zusammenhang mit der Public Cloud zwischen Februar 2018 und Juni 2019 zeigen, dass 65 Prozent dieser Vorfälle auf Fehlkonfigurationen zurückzuführen sind. Infolge dieser Fehlkonfigurationen ist Datenverlust das häufigste Ergebnis von Angriffen auf die Public-Cloud-Infrastruktur. Bei der Verknüpfung dieser Daten mit den in CSP-Umgebungen gesammelten Warnmeldungen waren die meisten „unzureichende Zugangskontrolle, die den Internetzugang zu/von internen Netzwerken ermöglicht“. Auch die häufigsten Dienste, die dem Internet von der Cloud-Infrastruktur aus ausgesetzt waren, waren SSH (TCP-Port 22) und RDP (TCP-Port 3389).

Die Daten zeigen, dass 56 Prozent der Unternehmen mindestens einen SSH-Dienst für das Internet und fast 40 Prozent der Unternehmen mindestens einen RDP-Dienst für das Internet im Einsatz hatten. Es gibt keinen Grund, eingehenden Datenverkehr aus dem gesamten Internet (0.0.0.0.0.0/0) auf Dienste wie SSH, RDP oder SMB zuzulassen. Systemadministratoren sollten offene Ports/Dienste immer auf eine kleine Anzahl von Quellen auf der Whitelist beschränken. Die Richtlinie zur Steuerung des eingehenden Datenverkehrs kann über Sicherheitsgruppen in AWS, Netzwerksicherheitsgruppen in Azure und Firewallregeln in GCP konfiguriert werden. Diese Traffic-Überwachungsrichtlinien müssen kontinuierlich auf Abweichungen aufgrund von Fehlkonfigurationen oder Angriffen geprüft werden. Administratoren benötigen auch Einblick in die Firewall-Protokolle, um auf Anzeichen für bösartige Aktivitäten zu achten.

Vor-Ort-Schwachstellen-Management wird übertragen auf die Cloud

Das Patchen ist ein Vorgang, der in der Cloud einen kritischen Fokus erfordert. Nach dem vorherigen Beispiel von Rocke nutzt die Gruppe aktiv Schwachstellen, die älter als zwei Jahre sind. Zum Zeitpunkt der Erstellung dieses Berichts haben die Forscher 29 Millionen Schwachstellen in Amazon EC2, 1,7 Millionen in Azure Virtual Machine und 4 Millionen in GCP Compute Engine identifiziert. Diese Schwachstellen richten sich an Anwendungen, die Kunden in der CSP-Infrastruktur bereitstellen, wie veraltete Apache-Server und verwundbare jQuery-Pakete. Cloud-Systeme, ob Amazon EC2, GCP Compute Engine oder Azure Virtual Machine, können alle so konfiguriert werden, dass sie von einem Template abstammen.

Die Template-Option ermöglicht es Unternehmen, schnell und effizient Systeme und Container zu erstellen, die einer bestimmten Konfiguration entsprechen. Cloud Service Provider bieten den Unternehmen ein Framework, um Ressourcen mit den neuesten Konfigurationen schnell und zuverlässig zu nutzen. Es liegt an den Unternehmen selbst, dafür zu sorgen, dass Systeme und Container, die in Produktionsumgebungen verwendet werden, über die neuesten Sicherheitspatches verfügen. Ein Vorteil von Cloud-Umgebungen ist, dass die gesamte Umgebung von einem Template aus bereitgestellt werden kann, was bedeutet, dass jedes eingesetzte System die gleiche Konfiguration beibehält wie jedes andere System seiner Art.

Sicherheitsteams müssen dafür sorgen, dass das „goldene“ Template, das von AWS, GCP, Docker oder Kubernetes für die Bereitstellung von Produktionssystemen verwendet wird, so konfiguriert ist, dass sie die neuesten Sicherheitspatches und -versionen nutzen, wie vom Anwendungsanbieter vorgegeben. Dadurch wird gewährleistet, dass die Unternehmen ihre Sorgfaltspflicht bei der Aufrechterhaltung sicherer Umgebungen und der Erhöhung der allgemeinen Sicherheitshygiene ihrer Cloud-Infrastruktur erfüllen.

Viele Unternehmen setzen Serverless- oder Function-as-a-Service (FaaS)-Lösungen ein, um die Plattformverantwortung an die Provider zu delegieren und sich nur auf die Entwicklung der Anwendungen zu konzentrieren. Obwohl FaaS Systemadministratoren von vielen Wartungsaufgaben befreit, bleiben die Probleme der Fehlkonfiguration und ungepatchter Anwendungen ungelöst. So kann beispielsweise ein unangemessenes Identitäts- und Zugriffsmanagementprodukt (IAM), das an eine Funktion angehängt ist, zur Kompromittierung eines anderen Cloud-Dienstes führen. Eine Funktion ohne Ausführungsbegrenzung kann mit Anfragen überflutet werden und zu erheblichen finanziellen Kosten für verschwendete Ressourcen führen. Ebenso ist eine Funktion, die veraltete Bibliotheken von Drittanbietern verwendet, immer noch anfällig für Cross-Site-Skripting oder SQL-Injektion. Es ist unerlässlich, Transparenz zu schaffen und jede Serverless-Funktion kontinuierlich zu überwachen.

Fazit

Unternehmen müssen nach Meinung von Palo Alto Networks die Kernanforderungen für den Schutz moderner Anwendungen und Workloads in der Cloud verstehen:

  1. Sie müssen dafür sorgen, dass Ihre Sicherheitsteams auf eine Echtzeitansicht der virtuellen Maschinen, Container und Serverless-Anwendungen zugreifen können. Die Aufrechterhaltung der Transparenz über verschiedene Computerparadigmen kann eine Herausforderung sein, ist aber entscheidend.
  2. Sie müssen die Sicherheit in die DevOps-Workflows integrieren, damit die Sicherheitsteams ihre Bemühungen automatisiert skalieren können. Entwickler haben viele Ressourcen in der Cloud, und die Sicherheit muss mithalten können.
  3. Sie müssen ihre Anwendungen und Workloads „härten“. Obwohl einige Sicherheitsanforderungen im Rahmen des Shared-Responsibility-Modells auf die Provider entfallen, sind die internen Sicherheitsteams weiterhin für die Konfiguration und Einhaltung einzelner Workloads, Container und Funktionen verantwortlich, einschließlich Plattformen wie Kubernetes.
  4. Sie müssen den Runtime-Schutz aufrechterhalten. Wenn der Cloud-Footprint des Unternehmens wächst, wird die Möglichkeit zur automatischen Modellierung und zum Whitelisting des Anwendungsverhaltens zu einem leistungsstarken Werkzeug, um Cloud-Workloads vor Angriffen und Kompromittierung zu schützen.