Sicherheitsstrategien für die Cloud Die Cyber Kill Chain in der Cloud

Von Thomas Ehrlich

Anbieter zum Thema

Die Cyber Kill Chain ist mittlerweile ein etablierter Begriff und wird gerne zur Beschreibung von Cyberangriffen und ihren verschiedenen Phasen verwendet. Mit militärisch inspirierten Begriffen zeigt sie zugleich auch die Möglichkeiten, den Angreifer in den verschiedenen Stufen zu erkennen und zu stoppen. Gleichwohl ist das Modell nicht unumstritten.

Die Cloud hat die Art und Weise, wie Daten und Anwendungen in den letzten zehn Jahren bereitgestellt werden, revolutioniert und die IT-Sicherheitsanforderungen grundlegend verändert.
Die Cloud hat die Art und Weise, wie Daten und Anwendungen in den letzten zehn Jahren bereitgestellt werden, revolutioniert und die IT-Sicherheitsanforderungen grundlegend verändert.
(Bild: gemeinfrei / Pixabay)

Nicht ganz zu Unrecht wird oft bemängelt, dass die Cyber Kill Chain sich sehr auf Malware fokussiert und stark auf klassische Perimeter (und den entsprechenden Schutzmaßnahmen) ausgerichtet ist. Auch Insider-Bedrohungen werden kaum berücksichtigt. Dennoch kann es uns dabei helfen, den Modus Operandi von Cyberkriminellen zu verstehen und sowohl gezielte Angriffe (Advanced Persistant Threats/APTs) als auch opportunistische Bedrohungen wie Ransomware, Phishing oder Kryptojacking zu bekämpfen.

Die Bedrohungslandschaft entwickelt sich so schnell wie die Technologie, auf die die Angriffe abzielen. Entsprechend erscheint es sinnvoll zu betrachten, wie sich die Cyber Kill Chain mit dem Aufkommen von Cloud-Anwendungen verändert hat. Der Cloud and Threat Report 2020 hat gezeigt, dass mittlerweile fast jede zweite Bedrohung Cloud-basiert ist. Wenn Cloud-Dienste nicht ordnungsgemäß geschützt sind, können sie die Angriffsfläche für ein Unternehmen vergrößern – und zwar in nahezu allen Phasen der Kill Chain.

Die Ausnutzung von Cloud-Diensten innerhalb der Kill Chain

Alles beginnt mit der Erkundung (Reconaissance). In dieser ersten Phase können Cyberkriminelle mehrere Methoden anwenden, um Informationen über ein Opfer zu sammeln – und die zunehmende Verbreitung von Cloud-Diensten bietet ihnen dabei zusätzliche Einstiegspunkte. So können Angreifer recherchieren, welche Cloud-Dienste von ihren Opfern genutzt werden, um maßgeschneiderte Phishing-Seiten oder bösartige Plugins für die vom Opfer genutzten Anwendungen zu erstellen. Sie können auch nach falsch konfigurierten oder öffentlich zugänglichen Cloud-Ressourcen suchen. Diese lassen sich einfach ausnutzen, um in das Zielunternehmen einzubrechen. Zudem können sie sich auch sensible Informationen zunutze machen, die versehentlich in scheinbar harmlosen Cloud-Diensten geteilt werden.

In der Weaponize-Stufe (also die Phase der „Bewaffnung“) richten die Angreifer die für ihre Arbeit erforderliche Infrastruktur ein: von Phishing-Seiten über Verteilungspunkten für Malware bis hin zu Command and Control-Domänen. Diese Ressourcen können heute leicht auf Cloud-Diensten gehostet werden. Wir stellen vermehrt fest, dass bei bösartigen Kampagnen die Nutzlast nicht nur über Cloud-Dienste verteilt wird, sondern dass die Cloud-Dienste sogar als eine Art sicherer Hafen für die Command and Control-Aktivitäten genutzt werden.

Dies ist vor allem deswegen aus Sicht der Angreifer so effektiv, da zahlreiche Cloud-Anwendungen oft nicht ausreichend überprüft werden oder von traditionellen Technologien, die den Kontext nicht effektiv erkennen und analysieren können, komplett auf die weiße Liste gesetzt werden. Genau dies ist die Rolle der Cloud in der (späteren) Exploit-Phase: Herkömmliche Sicherheitstechnologien sind oftmals nicht in der Lage, Kontexte herzustellen und Daten zu identifizieren, die bei AWS oder Azure, also außerhalb des Unternehmens, abgelegt werden. Entsprechend nutzen Cyberkriminelle Cloud-Dienste, um der Entdeckung zu entgehen und unter dem Radar zu bleiben.

Sobald die bösartige Infrastruktur aufgebaut wurde, ist der nächste logische Schritt die Bereitstellung (Delivery) des Angriffsvektors aus der Cloud. Phishing-Seiten können von der Cloud aus betrieben werden, ebenso wie alle anderen potenziell bösartigen Nutzlasten. Sicherheitsforscher haben auch Kampagnen identifiziert, die Cloud-Dienste (die oftmals über eine gewisse Reputation verfügen, man denke beispielsweise an Google) als Umleitungen zu Malware-Verteilungsseiten missbrauchen, welche für gezielte Angriffe genutzt werden.

Nach der Installation der Malware muss sie eine Verbindung zu ihrer Command and Control-Infrastruktur herstellen. Angreifer können diese Verbindung nutzen, um Informationen abfließen zu lassen, den kompromittierten Endpunkt zum Teil eines Botnets zu machen, um diesen für DDoS-Angriffe oder Spam-Kampagnen einzusetzen, oder tiefer in das angegriffene System vorzudringen. Auch in dieser Phase spielt die Cloud eine wichtige Rolle, da der Angreifer vertrauenswürdige Cloud-Dienste wie AWS und Google Drive nutzen kann, um den Kommunikationskanal zu verbergen. Der Grund ist dabei immer derselbe: der Entdeckung zu entgehen.

Die Eigenschaften der Cloud spielen auch in der Persist-Phase eine wichtige Rolle, bei der es darum geht, die Zielsetzung des Angriffs zu verwirklichen. Sobald Angreifer Zugriff auf einen Cloud-Dienst haben (entweder direkt oder über einen kompromittierten Endpunkt), können sie sich lateral bewegen und auch auf andere Cloud-Dienste überspringen. Sie können so nicht nur die Konfiguration kritischer Dienste, die in der Cloud gehostet werden, ändern, Privilegien eskalieren, um einen weitreichenderen Zugang zu erhalten, Daten stehlen und ihre Spuren beseitigen, sondern auch neue Instanzen für böswillige Zwecke wie Kryptojacking einrichten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Es ist von größter Wichtigkeit, dass wir im Zusammenhang mit der Cyber Kill Chain die Cloud-Angriffsvektoren und die durch die Cloud vergrößerte Angriffsfläche nicht getrennt von anderen Methoden betrachten. Ein Angriff kann auch eine Kombination aus „traditionellen“ Angriffsvektoren wie Web oder E-Mail und Cloud-Diensten sein. Gerade diese „hybriden Bedrohungen“ sind oftmals in der Lage, von traditionellen Sicherheitslösungen unentdeckt zu bleiben.

Cloud-basierte Herausforderungen meistern

Die Cloud ist nicht mehr aus dem Arbeitsalltag wegzudenken. Neun von zehn Unternehmensanwendern nutzen täglich mindestens eine Cloud-App aktiv. Und betrachten wir, welchen Einfluss die Cloud schon jetzt auf die Cyber Kill Chain hat, versteht man die grundsätzlichen Sicherheitsbedenken hinsichtlich dieser Technologie. Dabei dürfte die größte Herausforderung jedoch darin liegen, dass sich die Cloud-Infrastruktur, -Applikationen und -Dienste ständig weiterentwickeln. Entsprechend ist der einzige Weg zur Bekämpfung von Cloud-nativen Bedrohungen der Einsatz von Cloud-nativen Sicherheitslösungen. Nur durch eine einheitliche Cloud-native Plattform, welche Bedrohungen identifizieren, Instanzen unterscheiden und Kontexte erkennen kann, erhält man ein vollständiges Bild der Sicherheitslage. Auf diese Weise ist man in der Lage, auch hybride Bedrohungen zu erkennen und Nutzungsrichtlinien durchzusetzen.

Um die Cloud-basierten Sicherheitsprobleme zu adressieren, sollte auf folgende Aspekte besonders geachtet werden:

  • Kontinuierliche Sicherheitsbewertung aller IaaS-Ressourcen: Hierdurch lassen sich Fehlkonfigurationen verhindern, die von Angreifern ausgenutzt werden können.
  • Regelmäßige DLP-Scans aller extern freigegebenen Inhalte in zugelassenen Cloud-Anwendungen, um ein unbeabsichtigtes Abfließen von Informationen zu verhindern.
  • Sensibilisierung der Mitarbeiter: Viele Verstöße sind auf menschliches Versagen zurückzuführen. Daher ist es wichtig, die Anwender vor den Fallstricken von Cloud-Anwendungen zu warnen, z. B. davor, unsignierte Makros und Makros von einer nicht vertrauenswürdigen Quelle auszuführen, selbst wenn die Quelle ein legitimer Cloud-Service zu sein scheint.
  • Durchsetzung von Richtlinien: Alle Uploads von nicht verwalteten Geräten auf zugelassene Cloud-Anwendungen müssen gescannt und auf Malware überprüft werden. Es ist ratsam, nicht genehmigte Instanzen von zugelassenen/bekannten Cloud-Anwendungen zu blockieren. Auf diese Weise wird beispielsweise der Datentransfer auf S3-Buckets außerhalb des Unternehmens verhindert. Auch wenn dies etwas restriktiv wirken mag, verringert diese Maßnahme doch das Risiko von Malware-Infiltrationsversuchen über die Cloud erheblich.

Es liegt auf der Hand, dass die Cloud die Art und Weise, wie Daten und Anwendungen in den letzten zehn Jahren bereitgestellt werden, revolutioniert und die IT-Sicherheitsanforderungen grundlegend verändert hat. Nach wie vor spielen traditionelle Sicherheitslösungen zurecht eine wichtige Rolle. Möchte man jedoch die sich immer stärker verbreitende Cloud-Nutzung wirkungsvoll sichern und Compliance-Vorgaben erfüllen, führt an einer modernen, dem Cloud-Zeitalter angemessenen Sicherheitsstrategie kein Weg vorbei.

Über den Autor: Thomas Ehrlich ist Regional Director DACH von Netskope.

(ID:47018512)