Da die Einführung von cloud immer schneller voranschreitet und kein Ende in Sicht ist, wird die nächste Generation moderner Angriffe über die Kontrollebene eines Unternehmens ( cloud ) laufen und diese angreifen. Aber warum ist das so?
Die Steuerungsebene sorgt für die Verwaltung und Orchestrierung der gesamten cloud Bereitstellung eines Unternehmens. Hier werden Konfigurationsgrundlagen festgelegt, Benutzer- und Rollenzugriff bereitgestellt und Anwendungen platziert, damit sie mit zugehörigen Diensten ausgeführt werden können - eine Art Flugverkehrskontrolle für Anwendungen. Wenn die Steuerebene kompromittiert wird, hat ein Angreifer die Möglichkeit, den Zugriff und die Konfiguration zu ändern und so erheblichen Schaden anzurichten. Diese böswilligen Aktivitäten können sich auf virtuelle Maschinen, Container und serverlose Infrastrukturen erstrecken und sowohl zu Datenverlusten als auch zu folgenschweren Angriffen führen.
Dies ist vielleicht das zweischneidige Schwert von cloud? Während jedes Unternehmen, das cloud nutzt, die Vorteile der Geschwindigkeit und Skalierbarkeit, die es bietet, nutzen kann, werden Angreifer versuchen, diese Eigenschaften ebenfalls zu ihrem Vorteil zu nutzen. Wir dürfen nicht vergessen, dass die Infrastruktur, die Identität, die Daten und die Dienste in der cloud Kontrollebene alle im Spiel sind und zunehmend im Fadenkreuz der Angreifer stehen.
Sollten wir überrascht sein?
Ob Sie es glauben oder nicht, diese Zukunft wurde schon seit Jahren vorausgesagt. Sie reicht mindestens bis zu dem tödlichen Angriff auf Code Spaces im Jahr 2014 zurück. Nachdem die Kontrollebene von Amazon Web Services (AWS) durchbrochen und die Infrastruktur und Daten des Unternehmens beschlagnahmt worden waren, war es nur eine Frage der Zeit, bis der Betrieb vollständig eingestellt wurde. In jüngerer Zeit, im Jahr 2019, kam es zu der weithin bekannten Sicherheitsverletzung bei Capital One, bei der der Schaden auf über 100 Millionen gestohlene Datensätze und mindestens 80 Millionen US-Dollar an Strafen beziffert wurde.
Es stimmt zwar, dass Unternehmen, die mehr Glück haben, vielleicht nur kooptiert werden, um weniger zerstörerische Angriffe wie das Krypto-Mining zu unterstützen, aber das ist der beste Fall für Unternehmen, die ihre Kontrollebene nicht schützen. Wir sollten uns auch darüber im Klaren sein, dass dieses Ergebnis umso unwahrscheinlicher ist, je wertvoller die Vermögenswerte eines Unternehmens sind oder je raffinierter die Angreifer sind. Da sich auch die Softwarebereitstellung selbst durch cloud verändert, werden neue Möglichkeiten zur Kompromittierung der Lieferkette durch Produkte und Dienstleistungen zu einem immer wichtigeren Thema.
In Anbetracht all dessen ist die Kontrollebene von cloud kein Ort, an dem man das Risiko unterschätzen sollte, da die Persistenz hier eine große Reichweite und einen großen Einfluss weit über die Grenzen traditioneller, netzwerkbasierter Kampagnen hinaus ermöglicht. Es steht viel auf dem Spiel, der Gegner ist motiviert, und die Technik wird aktiv weiterentwickelt, sofern sie noch nicht zum Standard geworden ist.
Anerkennen des Risikos
Das soll natürlich nicht heißen, dass dieses Risiko Führungskräfte und strategische Entscheidungsträger davon abhalten sollte, eine aggressive und expansive cloud Strategie zu verfolgen, sondern nur, dass eine solche Strategie eine klar definierte Vision und Transparenz beinhalten muss. Eine Vision, wie eine autorisierte Nutzung aussehen soll, und die Möglichkeit, Abweichungen von dieser Vision zu überwachen und zu messen. Dann stellt sich die Frage: Welche Aktionen sind zulässig und welche sind böswillig? Diese Frage lässt sich nicht beantworten, indem man den neuesten Bedrohungsdaten-Feed abonniert oder das neueste Signaturpaket herunterlädt. Das Sammeln der richtigen Daten und die Anwendung von künstlicher Intelligenz (KI) helfen jedoch dabei, aus dem Ganzen schlau zu werden. Es geht um die Fähigkeit, Schlüsselkomponenten des Angriffsverlaufs zu erkennen - die Überwachung kompromittierter Anmeldeinformationen, die Art und Weise, wie Dienste genutzt werden, und die Interaktion zwischen Anwendungen und den zugrunde liegenden Diensten.
Unternehmen, die über die richtige Intrusion Detection-Technologie und das richtige Partner-Ökosystem verfügen, können die richtigen Signale sammeln, die auf eine Bedrohung der Steuerungsebene hindeuten, den Angriffsverlauf aufdecken und sich selbst eine Chance geben. Aber um es klar zu sagen: Das ist weit entfernt von den herkömmlichen Ansätzen zur Bekämpfung von Netzwerkangriffen, bei denen nach bekannten schlechten Indikatoren gesucht wird oder einfach versucht wird, die Angriffsfläche so weit zu reduzieren, dass man sich vollständig auf die Prävention verlassen kann. Auch wenn diese Ansätze durchaus ihre Berechtigung haben, so sind sie doch ineffektiv, und wenn sie mit einer neuartigen Mutation der nächsten Bedrohung konfrontiert werden, werden sie scheitern - und zwar lautlos. Natürlich so lange, bis der Einbruch Schlagzeilen macht, weil die Angreifer Fuß gefasst haben, hartnäckig sind und sich erfolgreich auf ihr Ziel zubewegen.
Wenn wir seit der Jahrtausendwende etwas gelernt haben, dann ist es, dass unbekannte und unvorhergesehene Bedrohungen angesichts des nahezu grenzenlosen Einfallsreichtums eines motivierten Gegners irgendwann einen Brückenkopf bilden werden. Bei der cloud Kontrollebene wird das nicht anders sein, und kluge Führungskräfte werden in die Vorbereitung auf die Erkennung und Reaktion auf diese Unvermeidlichkeit investieren.