Bedrohungen durch den Missbrauch von Cloud-Service-Anbietern
Für viele Unternehmen sind Cloud-Services zu einem grundlegenden Element ihrer IT-Abläufe geworden, da sie zur Steigerung von Effizienz und Agilität Multi-Cloud- und Hybrid-Cloud-Ansätze verfolgen.
Auch Bedrohungsakteure setzen auf die Cloud – ihr Ziel ist jedoch der Missbrauch der Funktionen von Cloud-Service-Anbietern, um die Unternehmensumgebungen zu kompromittieren. Unternehmen nutzen die cloudbasierten Services, um die Zusammenarbeit und die Geschäftsprozesse voranzutreiben. Die gleichen Services werden jedoch immer häufiger von böswilligen Akteuren für Rechnernetzangriffe missbraucht. Da immer mehr Unternehmen auf hybride Arbeitsumgebungen setzen, wird sich dieser Trend in nächster Zeit wahrscheinlich fortsetzen.
Typische Cloud-Angriffsvektoren
Zu den typischen Cloud-Angriffsvektoren, die von eCrime und anderen zielgerichteten Angreifern genutzt werden, gehören:
DDoS-Angriffe (Distributed Denial-of-Service)
Bei einem DDoS-Angriff bombardiert ein Angreifer einen Webserver, ein System oder ein Netzwerk mit so viel Datenverkehr, dass legitime Benutzer nur noch schwer oder gar nicht mehr auf die IT-Ressourcen zugreifen können. Die DDoS-Angriffe erfolgen in der Regel über manipulierte Cloud-Konten oder kostenlose Testversionen.
Phishing-Versuche
Cyberkriminelle stehlen mithilfe von Phishing-Taktiken Benutzeranmeldedaten für Cloud-Services, um die betreffenden Konten zu übernehmen und für ihre Angriffe zu verwenden.
E-Mail-Spam
Spammer nutzen die Cloud-Infrastruktur, um ihre Nachrichten zu versenden. Dabei machen sie sich die Zuverlässigkeit und Bandbreite der Cloud-Computing-Services zunutze.
Cryptojacking
Beim Cryptojacking nutzen Angreifer die Rechenleistung des Computers des Opfers aus, um Kryptowährung zu schürfen. Gelingt es einem Angreifer, sich Zugang zu den Cloud-Ressourcen eines Unternehmens zu verschaffen, können auch diese für das Schürfen („Mining“) genutzt werden.
Brute-Force-Angriff
Brute-Force-Angriffe sind eine Methode zur Kompromittierung von Benutzerkonten, bei der ein Bedrohungsakteur versucht, das Kennwort bzw. die Anmeldedaten eines Benutzers nach dem Trial-and-Error-Prinzip zu erraten. Am häufigsten kommen dabei Wörterbuchangriffe und Credential Stuffing zum Einsatz.
Hosten schädlicher Inhalte
Nachdem Cloud-Services kompromittiert worden sind, können sie zum Hosten schädlicher Inhalte verwendet werden, darunter Phishing-Seiten und Spam-Bots. Der Vorteil dieser Taktik ist, dass die schädlichen Inhalte schwieriger zu blockieren sind, weil die Bedrohungsakteure vertrauenswürdige Marken nutzen, um die schädlichen Inhalte zwischen den legitimen Inhalten zu verbergen.
Böswillige Insider
Interne Bedrohungsakteure stellen ein Risiko dar, weil sie ihren Zugriff auf Cloud-Ressourcen für Angriffe nutzen können.
So funktioniert der Missbrauch von Cloud-Service-Anbietern
CrowdStrike-Bedrohungsforscher überwachen die Cloud sorgfältig auf böswillige Aktivitäten, und Angreifer setzen auf immer neue Taktiken, um unerkannt zu bleiben und Schaden anzurichten. Cyberkriminelle entgehen leichter der Entdeckung, weil sie die vertrauenswürdigen Beziehungen zwischen Benutzern, Anbietern und Netzwerken missbrauchen.
Bedrohungsakteure nutzen den Vertrauensstatus von Cloud-Service-Anbietern, um nach erfolgreicher Authentifizierung in der Cloud-Infrastruktur mithilfe von lateralen Bewegungen Zugang zu weiteren Zielen zu erlangen. Wenn ein Angreifer seine Berechtigungen auf die eines globalen Administrators ausweiten kann, könnte er zwischen benachbarten Cloud-Mandanten wechseln, um seinen Zugang zu erweitern.
Dieses Problem ist besonders schwerwiegend, wenn das ursprünglich angegriffene Unternehmen ein Managed Service Provider (MSP) ist. In diesem Fall können mithilfe des globalen Administratorzugangs Support-Konten übernommen werden, die der MSP nutzt, um Änderungen an Kundennetzwerken vorzunehmen. Dies schafft zahlreiche Möglichkeiten für die vertikale Ausbreitung auf viele weitere Netzwerke. Diese Technik wurde 2020 mehrfach von COZY BEAR (ein Russland zugeordneter Bedrohungsakteur) genutzt, wobei auch im Jahr 2021 Hinweise auf Angriffe auf MSP-Netzwerke gefunden wurden.
Wie Können Sie Ihre Cloud-Umgebung Schützen?
Ebenso wie in lokalen Umgebungen können Sicherheitsteams, die Einblick in die Tools und Taktiken der Angreifer haben, auch Cloud-Bedrohungen schneller identifizieren und stoppen. Sicherheitsteams sollten daher die folgenden Punkte zu Best Practices beachten.
Identitäten und deren Verwendung überwachen
Beim Schutz von Cloud-Umgebungen muss der Fokus auf Identität liegen. Dazu gehört beispielsweise, dass Benutzerkonten durch starke Kennwörter und Multifaktor-Authentifizierung (MFA) geschützt und auf verdächtige Aktivitäten überwacht werden.
Die wichtigsten Assets identifizieren und auf ausgehende Kommunikation und Exfiltration überwachen
Unternehmen müssen einen vollständigen Einblick in die Cloud-Umgebungen haben, um diese auf Anzeichen einer Kompromittierung zu überwachen. Ausgehende Verbindungen sollten sorgfältig auf ungewöhnliche Kommunikation geprüft werden.
Das Sicherheitskontrollzentrum (SOC) in Sachen Cloud-Sicherheit schulen
Viele SOC-Analysten und Experten für Zwischenfälle verfügen nicht über das nötige Fachwissen über Cloud-Technologien. Investieren Sie in Schulungen, denn es ist von entscheidender Bedeutung, dass das SOC-Team die Cloud-Tools und die Cloud-Infrastruktur versteht.
Zwischenfall-Reaktionspläne gemäß dem Modell der gemeinsamen Verantwortung ausarbeiten
Unternehmen sollten detaillierte Playbooks erstellen, in denen erläutert wird, wer wie auf Bedrohungen reagieren und sie beheben soll. SOAR-Technologien (Security Orchestration, Automation and Response) sind unerlässlich, weil sie es Unternehmen ermöglichen, bedrohungsrelevante Daten zu erfassen und automatisch darauf zu reagieren.
Cloud-Bedrohungssuche auf Angriffsindikatoren (IOAs) fokussieren
Wie immer gilt: Wissen ist Macht. Unternehmen müssen sich topaktuelle Bedrohungsanalysen zunutze machen – nicht nur, um mit Angreifern Schritt zu halten, sondern auch, um ihre Fähigkeit, Risiken zu erkennen und darauf zu reagieren, zu verbessern. CrowdStrike Falcon Cloud Security bietet erweiterte cloudnative Sicherheit für jede Cloud durch umfassende Bedrohungsdaten und durchgehenden Schutz vom Host bis zur Cloud. Dank größerer Transparenz, Compliance und der branchenweit schnellsten Bedrohungserkennung und Reaktion bleiben Sie Bedrohungsakteuren stets einen Schritt voraus.
Cloud Risk Report 2023
Erfahren Sie, auf welche Cloud-Sicherheitsbedrohungen Sie im Jahr 2023 achten sollten und wie Sie diese am besten angehen, um auch 2024 geschützt zu bleiben.
Jetzt herunterladen