Loading...
Blogs & Stories

Trustwave-Blog

Der Trustwave-Blog versetzt Fachleute für Informationssicherheit in die Lage, durch Expertenwissen, das aktuelle Themen, Trends und Herausforderungen behandelt und Best Practices definiert, ihre Möglichkeiten weiter zu verbessern.

Was ein CISO und ein „Hacker“ wirklich über Cloud-Sicherheit denken

Die Nutzung der Cloud für die Infrastruktur Ihres Unternehmens – egal ob hybrid oder öffentlich – hat immense Vorteile. Die CIOs sind sich im Wesentlichen einig, dass die Kosteneinsparungen, die Flexibilität und die nahtlose Zusammenarbeit, die die Cloud bietet, nicht mehr wegzudenken sind. Erst jüngst hat die IDC prognostiziert, dass Cloud Computing dazu beitragen könnte, in den nächsten drei Jahren mehr als eine Milliarde Tonnen CO2-Emissionen zu vermeiden.

Die hoch angepriesenen Vorteile scheinen allen Unternehmen das Vertrauen zu geben, den Großteil ihrer Daten in die Cloud zu verlagern. Allerdings gibt es noch eine Eigenschaft der Cloud, die in manchen Kreisen übersehen wird – die mangelnde Sicherheit.

Die allgemeine Marktwahrnehmung der Cloud-Security

Wird eine Recherche zum Thema Cloud-Sicherheit durchgeführt, findet man wahrscheinlich weitaus mehr Content, der verspricht, dass die Cloud tatsächlich viel sicherer ist als eine On-Premises-Infrastruktur. Und die Unternehmen vertrauen auf das, was sie hören. Eine Deloitte-Umfrage unter mehr als 500 IT-Leitern und Führungskräften ergab, dass Sicherheit und Datenschutz für sie die wichtigsten Gründe für die Einführung einer Cloud-Migration sind. Wie zwischenzeitlich die Global Encryption Trends Study 2020 des Ponemon Institute berichtet, gaben mehr als die Hälfte der fast 6.500 Befragten an, dass ihre Unternehmen Cloud-Technologie zur Übertragung oder Speicherung von Daten nutzen; und das unabhängig davon, ob diese verschlüsselt oder durch irgendwelche Sicherheitsmechanismen geschützt sind.

Aber wenn man mit reinen Sicherheitsexperten spricht, ist deren Einstellung zur Cloud-Security immer noch mit einiger Vorsicht verbunden.

Die Cloud macht das Business einfacher, bringt aber auch höhere Anforderungen an die Sicherheit mit sich

David Bishop, CISO bei Trustwave, und Mark Whitehead, Global Vice President des Trustwave SpiderLabs-Teams, kommen von zwei verschiedenen Seiten der Sicherheit. David ist traditionell im Bereich „Defense“ tätig. Sein Ziel ist es, globale Top-Cybersecurity-Organisationen vor Angreifern zu schützen, die sich einen Namen machen oder Daten von hochkarätigen Kunden exfiltrieren wollen. Mark befindet sich in der „Offensive“. Er leitet ein Team aus Elite-White-Hat-Hackern, die weltweit mit Penetration Testing und Red Teaming für Unternehmen und Regierungsbehörden beauftragt sind. Sein Team hat die Aufgabe, fortgeschrittene Hacker und deren ausgefeilte Techniken zu emulieren, um Sicherheitslücken zu finden, bevor es die echten böswilligen Hacker tun.

Wir haben die beiden gebeten, uns ihre Meinung zum Thema Cloud-Sicherheit mitzuteilen. Dabei sollten sie einen genauen Blick auf die Herausforderungen und die Denkweise werfen, die erforderlich sind, um die Cloud zu einem sicheren Ort für wertvolle Unternehmensdaten zu machen.

Ist der Übergang zur Cloud eine gefährliche Zeit für Organisationen? Wie können Organisationen dies – außerhalb der Basics – sicher tun?

Mark: Während der Umstellung auf die Cloud bricht Ihre Organisation mit gewissen Dingen. Es werden Verbindungen, Berechtigungen und auch andere eingebaute Sicherheitsfunktionen geändert. Im Security Operation Center werden viel mehr Alarme angezeigt, die „banal“ sind. Und all das ist die perfekte Tarnung für einen Cyberkriminellen.

Als „Angreifer“ wissen wir, dass in dieser Zeit der Umgebungsänderung eine gewisse Müdigkeit einkehrt, ständig das System im Auge zu behalten und zu beobachten, was passiert. Wenn wir also Wind von dieser Veränderung bekommen, betrachten die IT-Mitarbeiter die zusätzlichen Warnungen und Probleme wahrscheinlich als Teil der Migration.

David: Komplexität gibt es bei der Umstellung auf die Cloud in allen Facetten. Es ist ein gewaltiges Projekt. Einige haben sich für eine hybride Umgebung entschieden, um Daten in die Cloud zu übertragen und deren Möglichkeiten nach und nach zu erkunden. Auf diese Weise besteht eine gewisse Übergangszeit, in der sich feststellen lässt, ob etwas defekt ist, und man sich entscheiden kann, entweder weiter zu machen oder schnell zurückzukehren. Während dieser Zeit ist es wichtig, engagierte Arbeitskräfte zu haben – egal ob intern oder extern. Diese sollten in der Lage sein, die Konfigurationsanforderungen zu erkennen und den Bedarf an Compliance und Sicherheit in jeder Phase des Übergangs zu identifizieren. Anderenfalls könnten Angreifer, die nicht so „freundlich“ sind wie Marks Team, ausnutzen, wo Sie sich in der Migration befinden und möglicherweise bis zu einem späteren Zeitpunkt unentdeckt bleiben. Fortgeschrittene Akteure fangen an, gewohnte und normale Verkehrsmuster zu assimilieren und von anomalem Verhalten in der Umgebung unerkannt zu bleiben.

Es ist zwingend erforderlich, gründliche Sicherheitstests und Red Teaming durchzuführen, sobald die Architektur-Backbones auf dem Weg sind, um zu gewährleisten, dass man sich nicht in falscher Sicherheit wiegt.

Wir hören häufig von der massenhaften Skalierung und dem Datenverkehr, den die Cloud erzeugt. Bedeuten mehr Umfang und Datenverkehr auch mehr Möglichkeiten für Hacker?

David: Aus Sicht eines Angreifers hat die Cloud es viel einfacher gemacht, Attacken zu starten, die sich in den normalen, alltäglichen Datenverkehr einfügen. Eine Handvoll kostenloser Cloud-Provider-Ressourcen kann einem Hacker ein kostenloses Konto ohne oder mit verschleierter Attribution geben, die bei sonst normalem Verkehr zur Nadel im Heuhaufen wird.

Mark: Generell hat die Cloud die Anonymität von Hackern drastisch erhöht, da diese von David erwähnten Ressourcen verkettet werden können, um die Erkennung und Zuordnung erheblich zu erschweren. Dies war früher schwierig zu implementieren, aber jetzt ist es einfacher denn je und mit viel geringeren Kosten für Angreifer durchführbar.

Wie wichtig ist es, die Veränderungen im Identitäts- und Zugriffsmanagement in der Cloud zu verstehen?

Mark: Sehr. Alle dachten, dass die Cloud das Identitäts- und Zugriffsmanagement fixen würde, aber in Wirklichkeit hat sie nur ein anderes Modell von Problemstellungen eingeführt, um die wir uns kümmern müssen. Und unabhängig davon, ob sich die Daten in der Cloud, nativ oder in einem hybriden System befinden, basieren alle drei Szenarien auf gemeinsamen Grundkomponenten. Diese grundlegenden Komponenten haben die gleichen Stärken und Schwächen der Technologie, auf die wir uns seit über 20 Jahren verlassen. Darunter fallen das Active Directory, Berechtigungen, Passwörter sowie bekannte und unbekannte ausnutzbare Schwachstellen. In der Cloud geben Unternehmen nun potenziell die Schlüssel zu ihren Daten und Netzwerken an Dritte weiter, und das ist ein großes Sicherheitsrisiko, egal wer es ist. Wir haben dies beim Angriff auf SolarWinds gesehen.

David: Jeder, der sich mit Cloud-Sicherheit beschäftigt, muss sich mit dem Modell der geteilten Verantwortung sowie mit Konfigurationsmodellen befassen und deren Komponenten vollständig verstehen. Denn die Sicherheitsverpflichtungen in der Cloud haben sich dramatisch verschoben. Software-definierte Umgebungen ermöglichen grenzenlose Optionen und Fähigkeiten – während sie in ähnlicher Weise Überlegungen zur Sicherheitskonfiguration und Bedenken mit sich bringen.

Ich betrachte es immer unter dem Gesichtspunkt der Einfachheit zur Komplexität. Mit der zunehmenden Verbreitung der Cloud sowie mit zusätzlichen, einfach zu installierenden Lösungen und variablen Fähigkeiten wird die Sicherheit durch Agilität und Komplexität erschwert. Um die Cloud abzusichern und diese Komplexität zu bekämpfen, muss man mehrere Schutzmaßnahmen und Ausfallsicherheiten einrichten. Außerdem gilt es, kontinuierlich auf anomales Verhalten und Muster zu achten, die auf Angriffstechniken hindeuten. Zusätzlich sollte man über eine robuste Transparenz und Richtlinien für Identitäts- und Zugriffsmanagementaktivitäten verfügen.