Cloud-Sicherheit: Fehlende Protokollierung und Fehlkonfiguration als Sicherheitsrisiken

Zscaler stellt den „State of Cloud Security Report 2020“ vor

Ein Beitrag von unserem Gastautor Deepen Desai, CISO & Vice President Security Research bei Zscaler

[datensicherheit.de, 03.02.2021] Das Zscaler ThreatLabZ-Team stellt in seinem State of Cloud Security Report 2020 die Ergebnisse seiner Analyse zur Cloud-Sicherheit vor. Während die Public Cloud nie dagewesene Vorteile hinsichtlich Skalierbarkeit, Leistung und Agilität für Unternehmen jeglicher Größenordnung mit sich bringt und stetig neue Anwendungen auf den Markt drängen, geht die digitale Transformation auch mit Tücken hinsichtlich der Sicherheit einher. Laut der Analyse sind die häufigsten Sicherheitsvorfälle auf Versäumnisse der Unternehmen bei der Implementierung und Nutzung von Cloud-Diensten zurückzuführen.

Deepen Desai, CISO und VP Security Research bei Zscaler, Bild: Zscaler

Analyse zur Cloud-Sicherheit aus anonymen Unternehmensstatistiken

Die Sicherheitsforscher haben für ihren Report anonyme Statistiken von Unternehmen analysiert, die Hunderttausende von Workloads in AWS, Azure und Google Cloud Plattform (GCP) ausführen. Außerdem wurden Einstellungen von Microsoft 365-Kunden ausgewertet. Bei dieser Analyse wurden die folgenden Sicherheitsrisiken durch Fehlkonfigurationen oder Versäumnisse aufgedeckt:

• 63 % der untersuchten Unternehmen verwenden keine Multifaktor-Authentifizierung für den Cloud-Zugang
• 50 % rotieren die Zugangsschlüssel nicht regelmäßig
• 92 % protokollieren den Zugriff auf Cloud-Speicher nicht, wodurch die Möglichkeit zur forensischen Analyse eines Vorfalls entfällt
• 26 % der Workloads exponieren ihre SSH-Ports im Internet und 20 % RDP-Ports

Die Auswertung zeigte ebenfalls, dass ein breites Spektrum an häufig gemeldeten Sicherheitsproblemen in den meisten Umgebungen noch immer nicht ausreichend Beachtung findet.

Protokollierung und Monitoring fehlen

Wenn es zu einer Kompromittierung oder einem Sicherheitsvorfall kommt, werden zuerst die Log-Daten analysiert. Auch ohne einen Sicherheitsvorfall kann eine robuste Protokollierung beim Verständnis helfen, was in der Cloud-Umgebung vor sich geht. CSP-Tools wie AWS CloudTrail und Azure Monitor können dazu beitragen, dass die Verantwortlichen bei Bedarf über relevante Informationen verfügen. Diese Tools funktionieren nur, wenn sie auch aktiviert sind. Die Analyse ergab, dass fast 20 Prozent der Unternehmen CloudTrail nicht aktiviert und mehr als die Hälfte keine Schritte unternommen haben, um ihre Protokollierung über die standardmäßigen 90 Tage hinaus aufrechtzuerhalten.

Exzessive Berechtigungen

Kompromittierte Zugangsdaten sind für die überwiegende Mehrheit von Sicherheitsverletzungen verantwortlich. Es ist also keine Überraschung, dass Cloud-Zugangsschlüssel und -Zugangsdaten ein Hauptziel für Angreifer sind. Unabhängig von der Stärke der Sicherheitsvorkehrungen kann ein Angreifer mit den richtigen Anmeldeinformationen direkt durch die Eingangstür spazieren. Bekanntes Beispiel für ein solches Vorgehen ist Uber, wo die persönlichen Daten von 57 Millionen Nutzern entwendet wurden, als Angreifer hartkodierte AWS-Anmeldeinformationen aus einem GitHub-Repository erbeuteten. Ein hoher Prozentsatz der Unternehmen vernachlässigt die Multifaktor-Authentifizierung und verwendet hartcodierte Zugangsschlüssel, die viel zu lange bestehen, bevor sie rotiert werden.

Storage und Verschlüsselung

Öffentlich zugängliche Cloud-Speicherbereiche waren in den letzten Jahren die Ursache für eine Reihe von öffentlichkeitswirksamen Datendiebstählen. Die L.A. Times, Tesla, die Republikanische Partei und Dow Jones sind nur einige der bekannten Organisationen, die diesen Fehler gemacht haben. Trotz der Berichterstattung über die oben aufgezählten Leidtragenden bleibt Cloud-Storage der häufigste Bereich von Cloud-Fehlkonfigurationen. Zu lockere Zugriffsrichtlinien, fehlende Verschlüsselung, nicht einheitlich angewandte Richtlinien und der Zugriff über unverschlüsselte Protokolle sind nur einige der häufigsten Probleme.

Netzwerksicherheitsgruppen

Netzwerksicherheitsgruppen kontrollieren die Netzwerkkonnektivität jedes Dienstes in einer Cloud-Umgebung und agieren wie eine Netzwerk-Firewall. Leider stellt diese Gruppe nach Cloud-Storage den am zweithäufigsten beobachteten Bereich für Fehlkonfigurationen dar. In einigen Fällen sind diese auf menschliches Versagen zurückzuführen. In anderen Fällen werden Sicherheitsgruppen absichtlich offengelassen, um die Konnektivität zu erleichtern oder um Komplexität zu vermeiden. Extern exponierte Protokolle wie Secure Shell (SSH) und Remote Desktop Protocol (RDP) sind viel zu häufig anzutreffen und geben Angreifern die Möglichkeit, infizierte Systeme zu übernehmen und sich lateral innerhalb einer Cloud-Umgebung von Unternehmen zu bewegen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2020
„State of Encryption 2020“-Report: Verschlüsselte Bedrohungen wachsen um 260 Prozent

Zscaler
The 2020 State of Cloud (In)Security