:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitsstrategien für die Cloud Die Cyber Kill Chain in der Cloud
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Cyber Kill Chain ist mittlerweile ein etablierter Begriff und wird gerne zur Beschreibung von Cyberangriffen und ihren verschiedenen Phasen verwendet. Mit militärisch inspirierten Begriffen zeigt sie zugleich auch die Möglichkeiten, den Angreifer in den verschiedenen Stufen zu erkennen und zu stoppen. Gleichwohl ist das Modell nicht unumstritten.
Nicht ganz zu Unrecht wird oft bemängelt, dass die Cyber Kill Chain sich sehr auf Malware fokussiert und stark auf klassische Perimeter (und den entsprechenden Schutzmaßnahmen) ausgerichtet ist. Auch Insider-Bedrohungen werden kaum berücksichtigt. Dennoch kann es uns dabei helfen, den Modus Operandi von Cyberkriminellen zu verstehen und sowohl gezielte Angriffe (Advanced Persistant Threats/APTs) als auch opportunistische Bedrohungen wie Ransomware, Phishing oder Kryptojacking zu bekämpfen.
Die Bedrohungslandschaft entwickelt sich so schnell wie die Technologie, auf die die Angriffe abzielen. Entsprechend erscheint es sinnvoll zu betrachten, wie sich die Cyber Kill Chain mit dem Aufkommen von Cloud-Anwendungen verändert hat. Der Cloud and Threat Report 2020 hat gezeigt, dass mittlerweile fast jede zweite Bedrohung Cloud-basiert ist. Wenn Cloud-Dienste nicht ordnungsgemäß geschützt sind, können sie die Angriffsfläche für ein Unternehmen vergrößern – und zwar in nahezu allen Phasen der Kill Chain.
:quality(80)/images.vogel.de/vogelonline/bdb/1228900/1228933/original.jpg "Die Lockheed Martin Cyber Kill Chain beschreibt Cyber-Attacken in sieben Stufen. Während der Angreifer nach dem Modell alle sieben Stufen erfolgreich durchlaufen muss, reicht es für die Abwehr, die Cyber Kill Chain an nur einer Stelle zu unterbrechen. Trotzdem muss die Abwehr genau wie der Angriff mehrstufig aufgebaut sein. (Romolo Tavani - Fotolia.com)")
Was ist die Lockheed Martin Cyber Kill Chain?
Cyber Kill Chain - Grundlagen, Anwendung und Entwicklung
Die Ausnutzung von Cloud-Diensten innerhalb der Kill Chain
Alles beginnt mit der Erkundung (Reconaissance). In dieser ersten Phase können Cyberkriminelle mehrere Methoden anwenden, um Informationen über ein Opfer zu sammeln – und die zunehmende Verbreitung von Cloud-Diensten bietet ihnen dabei zusätzliche Einstiegspunkte. So können Angreifer recherchieren, welche Cloud-Dienste von ihren Opfern genutzt werden, um maßgeschneiderte Phishing-Seiten oder bösartige Plugins für die vom Opfer genutzten Anwendungen zu erstellen. Sie können auch nach falsch konfigurierten oder öffentlich zugänglichen Cloud-Ressourcen suchen. Diese lassen sich einfach ausnutzen, um in das Zielunternehmen einzubrechen. Zudem können sie sich auch sensible Informationen zunutze machen, die versehentlich in scheinbar harmlosen Cloud-Diensten geteilt werden.
In der Weaponize-Stufe (also die Phase der „Bewaffnung“) richten die Angreifer die für ihre Arbeit erforderliche Infrastruktur ein: von Phishing-Seiten über Verteilungspunkten für Malware bis hin zu Command and Control-Domänen. Diese Ressourcen können heute leicht auf Cloud-Diensten gehostet werden. Wir stellen vermehrt fest, dass bei bösartigen Kampagnen die Nutzlast nicht nur über Cloud-Dienste verteilt wird, sondern dass die Cloud-Dienste sogar als eine Art sicherer Hafen für die Command and Control-Aktivitäten genutzt werden.
Dies ist vor allem deswegen aus Sicht der Angreifer so effektiv, da zahlreiche Cloud-Anwendungen oft nicht ausreichend überprüft werden oder von traditionellen Technologien, die den Kontext nicht effektiv erkennen und analysieren können, komplett auf die weiße Liste gesetzt werden. Genau dies ist die Rolle der Cloud in der (späteren) Exploit-Phase: Herkömmliche Sicherheitstechnologien sind oftmals nicht in der Lage, Kontexte herzustellen und Daten zu identifizieren, die bei AWS oder Azure, also außerhalb des Unternehmens, abgelegt werden. Entsprechend nutzen Cyberkriminelle Cloud-Dienste, um der Entdeckung zu entgehen und unter dem Radar zu bleiben.
Sobald die bösartige Infrastruktur aufgebaut wurde, ist der nächste logische Schritt die Bereitstellung (Delivery) des Angriffsvektors aus der Cloud. Phishing-Seiten können von der Cloud aus betrieben werden, ebenso wie alle anderen potenziell bösartigen Nutzlasten. Sicherheitsforscher haben auch Kampagnen identifiziert, die Cloud-Dienste (die oftmals über eine gewisse Reputation verfügen, man denke beispielsweise an Google) als Umleitungen zu Malware-Verteilungsseiten missbrauchen, welche für gezielte Angriffe genutzt werden.
Nach der Installation der Malware muss sie eine Verbindung zu ihrer Command and Control-Infrastruktur herstellen. Angreifer können diese Verbindung nutzen, um Informationen abfließen zu lassen, den kompromittierten Endpunkt zum Teil eines Botnets zu machen, um diesen für DDoS-Angriffe oder Spam-Kampagnen einzusetzen, oder tiefer in das angegriffene System vorzudringen. Auch in dieser Phase spielt die Cloud eine wichtige Rolle, da der Angreifer vertrauenswürdige Cloud-Dienste wie AWS und Google Drive nutzen kann, um den Kommunikationskanal zu verbergen. Der Grund ist dabei immer derselbe: der Entdeckung zu entgehen.
Die Eigenschaften der Cloud spielen auch in der Persist-Phase eine wichtige Rolle, bei der es darum geht, die Zielsetzung des Angriffs zu verwirklichen. Sobald Angreifer Zugriff auf einen Cloud-Dienst haben (entweder direkt oder über einen kompromittierten Endpunkt), können sie sich lateral bewegen und auch auf andere Cloud-Dienste überspringen. Sie können so nicht nur die Konfiguration kritischer Dienste, die in der Cloud gehostet werden, ändern, Privilegien eskalieren, um einen weitreichenderen Zugang zu erhalten, Daten stehlen und ihre Spuren beseitigen, sondern auch neue Instanzen für böswillige Zwecke wie Kryptojacking einrichten.
Es ist von größter Wichtigkeit, dass wir im Zusammenhang mit der Cyber Kill Chain die Cloud-Angriffsvektoren und die durch die Cloud vergrößerte Angriffsfläche nicht getrennt von anderen Methoden betrachten. Ein Angriff kann auch eine Kombination aus „traditionellen“ Angriffsvektoren wie Web oder E-Mail und Cloud-Diensten sein. Gerade diese „hybriden Bedrohungen“ sind oftmals in der Lage, von traditionellen Sicherheitslösungen unentdeckt zu bleiben.
Cloud-basierte Herausforderungen meistern
Die Cloud ist nicht mehr aus dem Arbeitsalltag wegzudenken. Neun von zehn Unternehmensanwendern nutzen täglich mindestens eine Cloud-App aktiv. Und betrachten wir, welchen Einfluss die Cloud schon jetzt auf die Cyber Kill Chain hat, versteht man die grundsätzlichen Sicherheitsbedenken hinsichtlich dieser Technologie. Dabei dürfte die größte Herausforderung jedoch darin liegen, dass sich die Cloud-Infrastruktur, -Applikationen und -Dienste ständig weiterentwickeln. Entsprechend ist der einzige Weg zur Bekämpfung von Cloud-nativen Bedrohungen der Einsatz von Cloud-nativen Sicherheitslösungen. Nur durch eine einheitliche Cloud-native Plattform, welche Bedrohungen identifizieren, Instanzen unterscheiden und Kontexte erkennen kann, erhält man ein vollständiges Bild der Sicherheitslage. Auf diese Weise ist man in der Lage, auch hybride Bedrohungen zu erkennen und Nutzungsrichtlinien durchzusetzen.
Um die Cloud-basierten Sicherheitsprobleme zu adressieren, sollte auf folgende Aspekte besonders geachtet werden:
- Kontinuierliche Sicherheitsbewertung aller IaaS-Ressourcen: Hierdurch lassen sich Fehlkonfigurationen verhindern, die von Angreifern ausgenutzt werden können.
- Regelmäßige DLP-Scans aller extern freigegebenen Inhalte in zugelassenen Cloud-Anwendungen, um ein unbeabsichtigtes Abfließen von Informationen zu verhindern.
- Sensibilisierung der Mitarbeiter: Viele Verstöße sind auf menschliches Versagen zurückzuführen. Daher ist es wichtig, die Anwender vor den Fallstricken von Cloud-Anwendungen zu warnen, z. B. davor, unsignierte Makros und Makros von einer nicht vertrauenswürdigen Quelle auszuführen, selbst wenn die Quelle ein legitimer Cloud-Service zu sein scheint.
- Durchsetzung von Richtlinien: Alle Uploads von nicht verwalteten Geräten auf zugelassene Cloud-Anwendungen müssen gescannt und auf Malware überprüft werden. Es ist ratsam, nicht genehmigte Instanzen von zugelassenen/bekannten Cloud-Anwendungen zu blockieren. Auf diese Weise wird beispielsweise der Datentransfer auf S3-Buckets außerhalb des Unternehmens verhindert. Auch wenn dies etwas restriktiv wirken mag, verringert diese Maßnahme doch das Risiko von Malware-Infiltrationsversuchen über die Cloud erheblich.
Es liegt auf der Hand, dass die Cloud die Art und Weise, wie Daten und Anwendungen in den letzten zehn Jahren bereitgestellt werden, revolutioniert und die IT-Sicherheitsanforderungen grundlegend verändert hat. Nach wie vor spielen traditionelle Sicherheitslösungen zurecht eine wichtige Rolle. Möchte man jedoch die sich immer stärker verbreitende Cloud-Nutzung wirkungsvoll sichern und Compliance-Vorgaben erfüllen, führt an einer modernen, dem Cloud-Zeitalter angemessenen Sicherheitsstrategie kein Weg vorbei.
Über den Autor: Thomas Ehrlich ist Regional Director DACH von Netskope.
(ID:47018512)
:quality(80)/images.vogel.de/vogelonline/bdb/1938900/1938990/original.jpg "Unternehmen kämpfen noch immer mit den grundlegendsten Aspekten der Sicherheit von ihren genutzten Cloud-Diensten. Das Thema Cloud Security wird wohl noch lange ein Problemfeld bleiben. (stnazkul - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1930300/1930365/original.jpg "Virtual Machine Threat Detection (VMTD) von Google soll helfen Bedrohungen wie Kryptomining-Malware in der Google Cloud zu erkennen. (Google)")