Wie Angreifer Ihr AWS ins Visier nehmen Cloud

März 24, 2022
Aakash Gupta
Produktmanager, Detektion und Reaktion für die Öffentlichkeit Cloud
Wie Angreifer Ihr AWS ins Visier nehmen Cloud

Die cloud ist komplex. AWS allein verfügt über mehr als 200 Services, und diese Zahl wächst stetig. Die Konfiguration der Sicherheit auch nur eines kleinen Satzes dieser Dienste für den Betrieb in der Größenordnung moderner Unternehmen bringt verschiedene Herausforderungen mit sich. Infrastrukturen können Hunderte von Diensten umfassen, die ständig in Bewegung sind, was es schwierig macht, einen Zustand guter Cyberhygiene zu erreichen. Es ist kaum übertrieben zu sagen, dass die sichere Bereitstellung einer cloud Anwendung heute, nun ja, unmöglich ist. Da der Fußabdruck von cloud exponentiell wächst, benötigen Angreifer nur eine einzige Lücke, um ganze Umgebungen auszunutzen. Und mit zunehmender Geschwindigkeit und Flexibilität steigt auch das Risiko einer mangelhaften Cyber-Hygiene, die schließlich zu allen möglichen Sicherheitsproblemen führen kann.

Darüber hinaus ist die Überprüfung von cloud nicht einfach. Es gibt mehrere Datenquellen, die auf Schwachstellen überwacht werden müssen, z. B. Netzwerkpaketdaten und Protokolldaten. Aktionen, die in einer Datenquelle auftauchen, sind möglicherweise in der anderen Quelle nicht vorhanden, was eine einzigartige Herausforderung darstellt, um alle Bereiche abzudecken. Wenn Unternehmen sichere cloud Bereitstellungen einrichten und aufrechterhalten wollen, müssen sie Lösungen einsetzen, die eine umfassende Abdeckung dieser Bedrohungsoberflächen bieten.

Die Cloud ist nicht nur eine Bedrohungsfläche...

Und natürlich sind nicht alle cloud Angriffe gleich. Die Angriffe sind je nach Bedrohungsoberfläche, auf die sie abzielen, unterschiedlich.

 

Vectra für die AWS-Kontrollebene

Nehmen wir die AWS Control Plane als Beispiel. In den letzten Jahren wurden zahlreiche Angriffe auf die Control Plane aufgedeckt, bei denen sich ein Angreifer böswillig Zugang zum AWS-Footprint eines Unternehmens verschafft (z. B. mit gestohlenen Anmeldedaten aus einer Spear-phishing -Kampagne). Sobald der Angreifer in der Umgebung ist, wandert er wie ein normaler Benutzer durch das System, nimmt verschiedene Rollen an, erweitert seine Berechtigungen und greift auf hochwertige Ressourcen wie kryptografische Schlüssel, S3-Datenspeicher und Data Lakes zu, in denen vertrauliche Informationen gespeichert sind. Genau dies geschah bei dem bekannten Angriff auf Capital One, bei dem die Daten von über 100 Millionen Kunden kompromittiert wurden. Diese Angriffe sind fast unmöglich zu erkennen, da die Aktionen des Angreifers von einem normalen Benutzerkonto auszugehen scheinen. Angriffe dieser Art treten immer häufiger auf und wurden bereits mehrfach in Unternehmen mit ausgereiften cloud -Implementierungen beobachtet. Die einzige Möglichkeit, diese Angriffe zu erkennen, besteht in der Verhaltensanalyse von Auftraggebern über AWS-Services und Regionen hinweg. Hinzu kommt, dass diese Verhaltensmuster nur in den Protokolldaten auftauchen und nicht in anderen Datenquellen (z. B. Netzwerk-Paketdaten).  

Hier kommt die Abdeckung der AWS Control Plane durch Vectra ins Spiel. Innerhalb des cloud -Footprints überwacht die Vectra-Plattform kontinuierlich Konten und Dienste (z. B. EC2, S3, IAM, KMS, Config, Organizations usw.) in allen Regionen, um bösartiges Angreiferverhalten auf granularer Ebene durch die verschiedenen Stufen der cloud Kill Chain (Entdeckung, Seitwärtsbewegung, Exfiltration) sofort zu identifizieren. Seit der Markteinführung hat die Vectra-Abdeckung für die AWS Control Plane zahlreichen Unternehmen geholfen, ihre cloud -Bereitstellungen zu sichern, indem sie das Verhalten von Angreifern erkannt und gestoppt haben. Anfang 2022 identifizierte die Vectra-Plattform einen Angreifer, der gestohlene Anmeldeinformationen ausnutzte, um kryptografische Geheimnisse aus der AWS-Umgebung eines Fortune 500-Unternehmens zu extrahieren. Die effiziente Priorisierung dieser bösartigen Entität durch die Plattform, die echte Zuordnung der Quelle durch das Labyrinth der angenommenen Rollen und die Funktion zur sofortigen Untersuchung der Ergebnisse ermöglichten es dem SecOps-Team, die Quelle des Angriffs schnell zu identifizieren und zu reagieren, bevor dieser ernsthafte Auswirkungen auf das Unternehmen haben konnte.

Abbildung: Abdeckung durch Vectra für die AWS Control Plane

Vectra für das AWS-Netzwerk

Orthogonal zur Kontrollebene in AWS liegt das Netz (wenn auch genauso wichtig). Angriffe auf diese Oberfläche werden häufig in Lift-n-Shift-Umgebungen beobachtet. Da immer mehr Unternehmen ihre aktuellen Bereitstellungen für cloud umfunktionieren, entstehen zwangsläufig Lücken und Schwachstellen, die Angreifer gerne ausnutzen.

Ein bekanntes Beispiel für einen solchen Angriff, der sich in Netzwerkpaketdaten manifestiert, ist der Cloud Hopper-Angriff, bei dem Angreifer im Jahr 2019 Netzwerkschwachstellen nutzten, um in die Systeme von Unternehmen einzudringen, die Anwendungen für Kunden über cloud verwalten. Sie verschafften sich mit gestohlenen Zugangsdaten Zugang und installierten malware auf cloud Hosts, was es ihnen ermöglichte, nahtlos zwischen Hosts zu springen, um nicht entdeckt zu werden. Die Hacker nutzten ihren Zugang, um eine der größten Unternehmensspionageaktionen der Geschichte zu ermöglichen.

Die einzige Möglichkeit, diesen Angriff zu entdecken, wäre eine umsichtige Überwachung des Netzwerkverkehrs gewesen - und genau dafür wurde Vectra für das AWS-Netzwerk entwickelt. Für diejenigen, die mit der Lösung von Vectra zur Erkennung und Reaktion auf Netzwerkbedrohungen vor Ort vertraut sind, stellt die Abdeckung für das AWS-Netzwerk eine Erweiterung der gleichen Lösung in der öffentlichen AWS cloud dar. Die Plattform überwacht böswillige Aktionen gegen Hosts, die üblicherweise in Lift-n-Shift-Bereitstellungen auftreten. Die Abdeckung dieses Bedrohungsvektors ist nach wie vor ein Hauptanliegen für Unternehmen, die auf cloud bereitstellen. Innerhalb des AWS-Netzwerks überwacht die Vectra-Plattform den Netzwerkverkehr von virtuellen EC2-Maschinen mithilfe von Traffic Mirroring. Weitere Informationen zu dieser Lösung finden Sie hier.

Abbildung: Abdeckung durch Vectra für das AWS-Netzwerk

Wie unterscheidet sich die Abdeckung für die AWS-Kontrollebene von der Abdeckung für das AWS-Netzwerk?


Der Hauptunterschied zwischen den beiden Lösungen liegt in den abgedeckten Bedrohungsoberflächen. Während die Abdeckung von Vectra für das AWS-Netzwerk die Netzwerkkomponente von cloud -Bereitstellungen durch die Überwachung von Paketdaten absichert, bietet die Abdeckung für die AWS-Kontrollebene durch die Analyse von AWS-Protokolldaten eine Absicherung der Kontrollebene. Zusammen bieten sie eine umfassende Abdeckung für zwei wichtige Bedrohungsoberflächen auf cloud.

Abgesehen von den Bedrohungsoberflächen gibt es einige wesentliche Unterschiede zwischen den beiden, vor allem hinsichtlich der Art und Weise, wie sie bereitgestellt werden. Diese sind in der nachstehenden Tabelle aufgeführt:

 

Welche ist die richtige für mein Unternehmen?

Eine häufige Frage, die uns gestellt wird, dreht sich darum, welche Lösung - Vectra für die AWS Control Plane oder Vectra für das AWS-Netzwerk - die richtige für ein Unternehmen ist, das in der cloud bereitstellt. Wie bereits erwähnt, decken beide Lösungen unterschiedliche Bedrohungsoberflächen ab und ergänzen sich gegenseitig.

Unternehmen mit einer nativen Bereitstellung von cloud empfehlen wir, zunächst Vectra für die AWS Control Plane bereitzustellen, um schnell auf das Verhalten von Angreifern reagieren zu können. Die Vectra-Plattform ermöglicht die Überwachung von Bedrohungen auf der Control Plane in AWS-Footprints im Unternehmensmaßstab innerhalb weniger Minuten. Andererseits empfehlen wir, bei einer Migration auf cloud mit Vectra für die AWS Control Plane zu beginnen, um die Kontrollebene sofort abzudecken, und dann die Abdeckung für das AWS-Netzwerk in Enklaven mit hohem Wert zu aktivieren, um den sensiblen Netzwerkverkehr zu überwachen. Dies gewährleistet eine ganzheitliche Abdeckung von Bedrohungsoberflächen, wenn sich das Unternehmen auf die cloud begibt. Kurz gesagt, sowohl die Abdeckung der Control Plane als auch die Abdeckung des AWS-Netzwerks durch Vectra arbeiten zusammen, um eine umfassende Abdeckung des AWS-Footprints eines Unternehmens zu gewährleisten. Beide sind von unschätzbarem Wert, um das Arsenal eines SOC gegen bestehende und neu entstehende Bedrohungen im cloud zu verstärken. Klingt interessant? Erfahren Sie mehr und melden Sie sich für eine kostenlose Testversion an!

Häufig gestellte Fragen