:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitsstrategien für die Cloud Die Cyber Kill Chain in der Cloud
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Die Cyber Kill Chain ist mittlerweile ein etablierter Begriff und wird gerne zur Beschreibung von Cyberangriffen und ihren verschiedenen Phasen verwendet. Mit militärisch inspirierten Begriffen zeigt sie zugleich auch die Möglichkeiten, den Angreifer in den verschiedenen Stufen zu erkennen und zu stoppen. Gleichwohl ist das Modell nicht unumstritten.
Nicht ganz zu Unrecht wird oft bemängelt, dass die Cyber Kill Chain sich sehr auf Malware fokussiert und stark auf klassische Perimeter (und den entsprechenden Schutzmaßnahmen) ausgerichtet ist. Auch Insider-Bedrohungen werden kaum berücksichtigt. Dennoch kann es uns dabei helfen, den Modus Operandi von Cyberkriminellen zu verstehen und sowohl gezielte Angriffe (Advanced Persistant Threats/APTs) als auch opportunistische Bedrohungen wie Ransomware, Phishing oder Kryptojacking zu bekämpfen.
Die Bedrohungslandschaft entwickelt sich so schnell wie die Technologie, auf die die Angriffe abzielen. Entsprechend erscheint es sinnvoll zu betrachten, wie sich die Cyber Kill Chain mit dem Aufkommen von Cloud-Anwendungen verändert hat. Der Cloud and Threat Report 2020 hat gezeigt, dass mittlerweile fast jede zweite Bedrohung Cloud-basiert ist. Wenn Cloud-Dienste nicht ordnungsgemäß geschützt sind, können sie die Angriffsfläche für ein Unternehmen vergrößern – und zwar in nahezu allen Phasen der Kill Chain.
:quality(80)/images.vogel.de/vogelonline/bdb/1228900/1228933/original.jpg "Die Lockheed Martin Cyber Kill Chain beschreibt Cyber-Attacken in sieben Stufen. Während der Angreifer nach dem Modell alle sieben Stufen erfolgreich durchlaufen muss, reicht es für die Abwehr, die Cyber Kill Chain an nur einer Stelle zu unterbrechen. Trotzdem muss die Abwehr genau wie der Angriff mehrstufig aufgebaut sein. (Romolo Tavani - Fotolia.com)")
Was ist die Lockheed Martin Cyber Kill Chain?
Cyber Kill Chain - Grundlagen, Anwendung und Entwicklung
Die Ausnutzung von Cloud-Diensten innerhalb der Kill Chain
Alles beginnt mit der Erkundung (Reconaissance). In dieser ersten Phase können Cyberkriminelle mehrere Methoden anwenden, um Informationen über ein Opfer zu sammeln – und die zunehmende Verbreitung von Cloud-Diensten bietet ihnen dabei zusätzliche Einstiegspunkte. So können Angreifer recherchieren, welche Cloud-Dienste von ihren Opfern genutzt werden, um maßgeschneiderte Phishing-Seiten oder bösartige Plugins für die vom Opfer genutzten Anwendungen zu erstellen. Sie können auch nach falsch konfigurierten oder öffentlich zugänglichen Cloud-Ressourcen suchen. Diese lassen sich einfach ausnutzen, um in das Zielunternehmen einzubrechen. Zudem können sie sich auch sensible Informationen zunutze machen, die versehentlich in scheinbar harmlosen Cloud-Diensten geteilt werden.
In der Weaponize-Stufe (also die Phase der „Bewaffnung“) richten die Angreifer die für ihre Arbeit erforderliche Infrastruktur ein: von Phishing-Seiten über Verteilungspunkten für Malware bis hin zu Command and Control-Domänen. Diese Ressourcen können heute leicht auf Cloud-Diensten gehostet werden. Wir stellen vermehrt fest, dass bei bösartigen Kampagnen die Nutzlast nicht nur über Cloud-Dienste verteilt wird, sondern dass die Cloud-Dienste sogar als eine Art sicherer Hafen für die Command and Control-Aktivitäten genutzt werden.
Dies ist vor allem deswegen aus Sicht der Angreifer so effektiv, da zahlreiche Cloud-Anwendungen oft nicht ausreichend überprüft werden oder von traditionellen Technologien, die den Kontext nicht effektiv erkennen und analysieren können, komplett auf die weiße Liste gesetzt werden. Genau dies ist die Rolle der Cloud in der (späteren) Exploit-Phase: Herkömmliche Sicherheitstechnologien sind oftmals nicht in der Lage, Kontexte herzustellen und Daten zu identifizieren, die bei AWS oder Azure, also außerhalb des Unternehmens, abgelegt werden. Entsprechend nutzen Cyberkriminelle Cloud-Dienste, um der Entdeckung zu entgehen und unter dem Radar zu bleiben.
Sobald die bösartige Infrastruktur aufgebaut wurde, ist der nächste logische Schritt die Bereitstellung (Delivery) des Angriffsvektors aus der Cloud. Phishing-Seiten können von der Cloud aus betrieben werden, ebenso wie alle anderen potenziell bösartigen Nutzlasten. Sicherheitsforscher haben auch Kampagnen identifiziert, die Cloud-Dienste (die oftmals über eine gewisse Reputation verfügen, man denke beispielsweise an Google) als Umleitungen zu Malware-Verteilungsseiten missbrauchen, welche für gezielte Angriffe genutzt werden.
Nach der Installation der Malware muss sie eine Verbindung zu ihrer Command and Control-Infrastruktur herstellen. Angreifer können diese Verbindung nutzen, um Informationen abfließen zu lassen, den kompromittierten Endpunkt zum Teil eines Botnets zu machen, um diesen für DDoS-Angriffe oder Spam-Kampagnen einzusetzen, oder tiefer in das angegriffene System vorzudringen. Auch in dieser Phase spielt die Cloud eine wichtige Rolle, da der Angreifer vertrauenswürdige Cloud-Dienste wie AWS und Google Drive nutzen kann, um den Kommunikationskanal zu verbergen. Der Grund ist dabei immer derselbe: der Entdeckung zu entgehen.
Die Eigenschaften der Cloud spielen auch in der Persist-Phase eine wichtige Rolle, bei der es darum geht, die Zielsetzung des Angriffs zu verwirklichen. Sobald Angreifer Zugriff auf einen Cloud-Dienst haben (entweder direkt oder über einen kompromittierten Endpunkt), können sie sich lateral bewegen und auch auf andere Cloud-Dienste überspringen. Sie können so nicht nur die Konfiguration kritischer Dienste, die in der Cloud gehostet werden, ändern, Privilegien eskalieren, um einen weitreichenderen Zugang zu erhalten, Daten stehlen und ihre Spuren beseitigen, sondern auch neue Instanzen für böswillige Zwecke wie Kryptojacking einrichten.
Es ist von größter Wichtigkeit, dass wir im Zusammenhang mit der Cyber Kill Chain die Cloud-Angriffsvektoren und die durch die Cloud vergrößerte Angriffsfläche nicht getrennt von anderen Methoden betrachten. Ein Angriff kann auch eine Kombination aus „traditionellen“ Angriffsvektoren wie Web oder E-Mail und Cloud-Diensten sein. Gerade diese „hybriden Bedrohungen“ sind oftmals in der Lage, von traditionellen Sicherheitslösungen unentdeckt zu bleiben.
Cloud-basierte Herausforderungen meistern
Die Cloud ist nicht mehr aus dem Arbeitsalltag wegzudenken. Neun von zehn Unternehmensanwendern nutzen täglich mindestens eine Cloud-App aktiv. Und betrachten wir, welchen Einfluss die Cloud schon jetzt auf die Cyber Kill Chain hat, versteht man die grundsätzlichen Sicherheitsbedenken hinsichtlich dieser Technologie. Dabei dürfte die größte Herausforderung jedoch darin liegen, dass sich die Cloud-Infrastruktur, -Applikationen und -Dienste ständig weiterentwickeln. Entsprechend ist der einzige Weg zur Bekämpfung von Cloud-nativen Bedrohungen der Einsatz von Cloud-nativen Sicherheitslösungen. Nur durch eine einheitliche Cloud-native Plattform, welche Bedrohungen identifizieren, Instanzen unterscheiden und Kontexte erkennen kann, erhält man ein vollständiges Bild der Sicherheitslage. Auf diese Weise ist man in der Lage, auch hybride Bedrohungen zu erkennen und Nutzungsrichtlinien durchzusetzen.
Um die Cloud-basierten Sicherheitsprobleme zu adressieren, sollte auf folgende Aspekte besonders geachtet werden:
- Kontinuierliche Sicherheitsbewertung aller IaaS-Ressourcen: Hierdurch lassen sich Fehlkonfigurationen verhindern, die von Angreifern ausgenutzt werden können.
- Regelmäßige DLP-Scans aller extern freigegebenen Inhalte in zugelassenen Cloud-Anwendungen, um ein unbeabsichtigtes Abfließen von Informationen zu verhindern.
- Sensibilisierung der Mitarbeiter: Viele Verstöße sind auf menschliches Versagen zurückzuführen. Daher ist es wichtig, die Anwender vor den Fallstricken von Cloud-Anwendungen zu warnen, z. B. davor, unsignierte Makros und Makros von einer nicht vertrauenswürdigen Quelle auszuführen, selbst wenn die Quelle ein legitimer Cloud-Service zu sein scheint.
- Durchsetzung von Richtlinien: Alle Uploads von nicht verwalteten Geräten auf zugelassene Cloud-Anwendungen müssen gescannt und auf Malware überprüft werden. Es ist ratsam, nicht genehmigte Instanzen von zugelassenen/bekannten Cloud-Anwendungen zu blockieren. Auf diese Weise wird beispielsweise der Datentransfer auf S3-Buckets außerhalb des Unternehmens verhindert. Auch wenn dies etwas restriktiv wirken mag, verringert diese Maßnahme doch das Risiko von Malware-Infiltrationsversuchen über die Cloud erheblich.
Es liegt auf der Hand, dass die Cloud die Art und Weise, wie Daten und Anwendungen in den letzten zehn Jahren bereitgestellt werden, revolutioniert und die IT-Sicherheitsanforderungen grundlegend verändert hat. Nach wie vor spielen traditionelle Sicherheitslösungen zurecht eine wichtige Rolle. Möchte man jedoch die sich immer stärker verbreitende Cloud-Nutzung wirkungsvoll sichern und Compliance-Vorgaben erfüllen, führt an einer modernen, dem Cloud-Zeitalter angemessenen Sicherheitsstrategie kein Weg vorbei.
Über den Autor: Thomas Ehrlich ist Regional Director DACH von Netskope.
(ID:47018512)
:quality(80)/p7i.vogel.de/wcms/a7/9d/a79d53792a14b7789ed084b0b1063726/0107266753.jpeg "Der ständige reaktive Modus der Brandbekämpfung, wenn bereits Sicherheitsvorfälle schwelen, schafft einen Teufelskreis. IT-Teams sollten niemals zu überlastet sein, um innovative Ansätze zugunsten der eigenen Entlastung zu bewerten. (Bild: Gudellaphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/31/4631b4a69c591fdeee9e986591a8e1c0/0112969075.jpeg "Cyberkriminelle nutzen die Rezession von 2023 mit berufsbezogenen Betrügereien aus. (Bild: sitthiphong - stock.adobe.com)")