Bedrohungen der Cloud-Sicherheit: Die größten Bedrohungen und drei Strategien zur Abwehr

Was sind Cloud-Sicherheitsbedrohungen?

Cloud-Sicherheit hat für die meisten Unternehmen heute höchste Priorität. Die große Menge an Informationen, die zwischen Cloud-Dienstanbietern und Unternehmen ausgetauscht wird, birgt die Gefahr, dass vertrauliche Informationen absichtlich oder versehentlich an böswillige Dritte weitergegeben werden. Insider-Bedrohungen, menschliches Versagen, schwache Anmeldeinformationen, kriminelle Aktivitäten und Malware spielen bei vielen Datenschutzverletzungen bei Cloud-Diensten eine Rolle.

Cyberkriminelle (z. B. staatlich geförderte Hackergruppen) versuchen, Sicherheitslücken in Cloud-Diensten auszunutzen, um Informationen aus dem Netzwerk der Zielorganisation für illegale Zwecke abzugreifen. Angreifer nutzen häufig integrierte Tools der Cloud-Dienste, um sich lateral zu bewegen und sensible Daten in von ihnen kontrollierte Systeme zu exfiltrieren.

Cloud-Dienste bergen neuartige Sicherheitsrisiken im Zusammenhang mit öffentlichen APIs und Authentifizierungs-APIs. Die Eigenschaften, die Cloud-Dienste für IT-Systeme und Mitarbeiter zugänglich machen, erschweren es Unternehmen im Allgemeinen, unbefugten Zugriff zu verwalten und zu verhindern.

Warum sollten Sie sich um Cloud-Sicherheit kümmern?

Die Cloud bietet potenziell mehr Sicherheit als herkömmliche Vor-Ort-Lösungen, garantiert diese aber nicht. Sicherheit hängt letztlich weniger von der Cloud selbst ab, sondern vielmehr davon, wie Unternehmen mit Management, Kontrolle und Sicherheit umgehen – entscheidend ist, wie sie die Cloud nutzen. Infrastruktur allein schützt nicht vor Cyberbedrohungen.

Die weltweiten Kosten eines Datenlecks belaufen sich heute durchschnittlich auf 3,86 Millionen US-Dollar (oder 148 US-Dollar pro kompromittiertem Datensatz). Dabei handelt es sich um einen globalen Durchschnitt – in den USA liegen die durchschnittlichen Kosten eher bei 7,9 Millionen US-Dollar.

Gelingt es einem Unternehmen jedoch, eine Sicherheitsverletzung innerhalb von 30 Tagen zu beheben, kann es rund 1 Million US-Dollar einsparen. Wird die Bedrohung vollständig gestoppt, kann ein Unternehmen Millionen von Dollar einsparen.

Cloud-Sicherheit mag teuer und ressourcenintensiv erscheinen, doch angesichts der oben genannten Zahlen ist das nicht der Fall. Tatsächlich handelt es sich um eine kosteneffiziente Investition mit einem bemerkenswerten ROI.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, Cloud-Sicherheitsbedrohungen wirksamer zu entschärfen:

Verwenden Sie UEBA, um abnormale Cloud-Aktivitäten zu erkennen
Tools zur Analyse des Benutzer- und Entitätsverhaltens (UEBA) können dabei helfen, subtile Anomalien im Benutzerverhalten zu erkennen, wie etwa Kontokompromittierung oder unbefugten Cloud-Zugriff, die von herkömmlichen Sicherheitstools möglicherweise übersehen werden.

Implementieren Sie den Zugriff mit geringsten Berechtigungen durch Automatisierung
Nutzen Sie automatisierte Tools, um das Prinzip der geringsten Privilegien für alle Cloud-Konten durchzusetzen. Dadurch wird die Angriffsfläche reduziert, da sichergestellt wird, dass Benutzer und Anwendungen nur über die erforderlichen Mindestberechtigungen verfügen. Zudem wird der Zugriffsentzug bei Rollenänderungen automatisiert.

Überwachen Sie Cloud-Service-Konfigurationen in Echtzeit
Setzen Sie eine kontinuierliche Konfigurationsüberwachung ein, um Fehlkonfigurationen zu erkennen, bevor sie Schwachstellen offenlegen. Automatisierte Tools wie Cloud Security Posture Management (CSPM) können diese in Echtzeit erkennen und beheben.

Erstellen Sie einen Cloud-spezifischen Incident-Response-Plan
Passen Sie Ihren Incident-Response-Plan an, um Cloud-native Risiken wie Metastrukturfehler und laterale Bewegungen zwischen Cloud-Ressourcen zu adressieren. Integrieren Sie eine automatisierte Eindämmung kompromittierter Cloud-Konten, um den Schaden zu minimieren.

SIEM mit Cloud-nativen Tools integrieren
Stellen Sie sicher, dass Ihr SIEM direkt in Cloud-native Protokollierungs- und Überwachungsdienste (z. B. AWS CloudTrail, Azure Monitor) integriert ist. Dadurch werden Ereignisdaten zentralisiert, was die Erkennung und Untersuchung von Bedrohungen in Echtzeit erleichtert.

Häufige Sicherheitsbedrohungen für Cloud-Dienste

Hier sind einige der häufigsten Sicherheitsbedrohungen für Unternehmen in der Cloud:

Falsch konfigurierte Cloud-Dienste

Eine Sicherheitsfehlkonfiguration liegt vor, wenn ein Cloud-Benutzer oder -Administrator eine Sicherheitseinstellung nicht korrekt anwendet. Ein klassisches Beispiel für eine Cloud-Fehlkonfiguration ist ein Amazon S3-Speicher-Bucket, der ohne Authentifizierung im öffentlichen Internet verfügbar ist.

Fehlkonfigurationen sind eine der Hauptursachen für Datenlecks in der Cloud. Untersuchungen zeigen, dass die Zahl der durch Fehlkonfigurationen offengelegten Datensätze rapide steigt. Fehlkonfigurationen ermöglichen nicht nur direkt Datenlecks, sondern öffnen auch Tür und Tor für Brute-Force-Angriffe und andere Exploits.

Datenverlust

Ein großer Vorteil der Cloud ist die einfache Zusammenarbeit. Allerdings machen Cloud-Dienste die Weitergabe von Daten, auch sensibler Daten, oft zu einfach. Viele Cloud-Dienste ermöglichen die Freigabe standardmäßig. Werden die Berechtigungen jedoch nicht sorgfältig eingeschränkt, können Benutzer Daten versehentlich oder absichtlich an Unbefugte weitergeben.

In aktuellen Umfragen gab die Mehrheit der Cybersicherheitsexperten an, dass Datenlecks ihre größte Sorge hinsichtlich der Cloud-Sicherheit darstellen. Datenlecks verursachen für Unternehmen zahlreiche Kosten: finanzielle Verluste, Reputationsschäden, Bußgelder und hohe Kosten für die Wiederherstellung oder Neuerstellung der Daten.

Insider-Bedrohungen

Insider-Bedrohungen können in Form von böswilligen Insidern mit böser Absicht auftreten, von unvorsichtigen Insidern, die Sicherheitsrichtlinien ignorieren und Angreifern Zugriff gewähren, oder von Angreifern, die privilegierte Konten kompromittieren und sich als vertrauenswürdige Insider ausgeben. Insider-Bedrohungen sind schwer zu erkennen und können verheerende Folgen haben.

Selbst in lokalen Umgebungen sind herkömmliche Sicherheitstools oft nicht in der Lage, Insider-Bedrohungen zu erkennen. In einer Cloud-Umgebung verschärft sich das Problem noch, da die große Anzahl von Endpunkten und Dienstkonten, die von einem Angreifer kompromittiert werden könnten, und die Ressourcen in einem Cloud-Netzwerk leicht miteinander verbunden werden können.

Denial-of-Service-Angriffe

Bei Denial-of-Service-Angriffen (DoS) überfluten Hacker Systeme mit automatisierten, leeren Verbindungen, überlasten die Ressourcen und verweigern legitimen Benutzern den Dienst. In der Cloud ist die DoS-Gefahr deutlich größer, da Systeme häufig öffentlichen Netzwerken ausgesetzt sind.

Angreifer können zudem die enorme Skalierbarkeit der Cloud für ihre Angriffe nutzen. In manchen Fällen kompromittieren Angreifer Cloud-Konten und starten Cloud-Instanzen, um DoS-Angriffe gegen andere durchzuführen. Dies kann für das Opfer hohe Kosten und rechtliche Folgen haben, da der DoS-Angriff aus der eigenen Cloud-Umgebung stammt.

Metastrukturfehler

Eine Metastruktur besteht aus einer Reihe von Protokollen und Mechanismen, die es der Cloud-Infrastruktur ermöglichen, mit anderen Teilen der IT-Umgebung zu kommunizieren. Beispielsweise sind die AWS-API und die CloudFormation-Vorlagen-Engine wichtige Teile der Metastruktur in der Amazon-Cloud.

Große Cloud-Anbieter verfügen zwar über umfangreiche Entwicklungs- und Sicherheitsressourcen, sind aber nicht perfekt. Die Cloud Security Alliance (CSA) entdeckte mehrere Fälle, in denen APIs von Cloud-Anbietern schlecht implementiert oder von Kunden unsachgemäß genutzt wurden, was zu Sicherheitsrisiken führte. Ein weiteres Risiko sind Zero-Day-Angriffe: Hacker entdecken eine Schwachstelle in einer Metastruktur-API, die es ihnen ermöglicht, Tausende oder sogar Millionen von Organisationen anzugreifen, bevor der Cloud-Anbieter die Schwachstelle entdeckt und schließt.

Jeder Funktions- oder Sicherheitsfehler in der Metastruktur könnte zu umfangreichen Dienstunterbrechungen, finanziellen Verlusten und Datenverlusten für eine große Zahl von Cloud-Kunden führen.

Umgang mit Cloud-Bedrohungen: 4 Strategien zur Risikominderung

Um Sicherheitsbedrohungen beim Cloud Computing zu minimieren, gibt es drei Strategien, die jedes Unternehmen anwenden kann.

Verhaltensprofilierung

Verhaltensprofile, auch User and Entity Behavioral Analytics (UEBA) genannt, sind heute ein Schlüsselelement der IT-Sicherheit und zentraler Bestandteil von Lösungen Bedrohungserkennung. Diese Lösungen können die Zeit für die Isolierung und Reaktion auf Cyberangriffe drastisch verkürzen – indem sie durch Kontext und Transparenz sowohl der lokalen als auch der Cloud-Infrastruktur Bedrohungen erkennen, die herkömmlichen Produkten entgehen.

Der zentrale Vorteil von UEBA besteht darin, dass Sie damit eine Vielzahl von Cyberangriffen automatisch erkennen können. Dazu gehören kompromittierte Konten, Insider-Bedrohungen, Brute-Force-Angriffe, Datenschutzverletzungen und die Erstellung neuer Benutzer.

DevSecOps-Prozesse

DevOps und DevSecOps haben sich immer wieder als wirksam erwiesen, um die Codequalität zu verbessern und Schwachstellen und Exploits zu reduzieren. Sie können auch die Geschwindigkeit der Funktionsbereitstellung und Anwendungsentwicklung erhöhen. Die Integration von Entwicklung, Sicherheitsprozessen und Qualitätssicherung innerhalb der Organisationseinheit oder des Anwendungsanbieters – anstatt sich auf eigenständige Sicherheitsüberprüfungsteams zu verlassen – ist unerlässlich, um mit dem Tempo zu arbeiten, das das heutige Organisationsumfeld erfordert.

Tools zur Automatisierung der Anwendungsbereitstellung und -verwaltung

Der Mangel an Sicherheitsfachkräften sowie die zunehmende Geschwindigkeit und Menge an Sicherheitsbedrohungen deuten darauf hin, dass selbst hochqualifizierte Sicherheitsexperten möglicherweise nicht mithalten können. Automatisierung, die alltägliche Aufgaben überflüssig macht und menschliche Fähigkeiten durch maschinelle Fähigkeiten ergänzt, ist ein wesentlicher Bestandteil des heutigen IT-Betriebs.

Zentralisierte Verwaltung von Diensten und Anbietern

Kein Anbieter oder Produkt kann alles bieten. Mehrere unterschiedliche Management-Tools können jedoch die Vereinheitlichung Ihrer Sicherheitsstrategie erschweren. Ein einheitliches Managementsystem in Kombination mit einer offenen Integrationsstruktur reduziert die Komplexität durch optimierte Arbeitsabläufe und die Zusammenführung von Komponenten. Bei Kompromissentscheidungen sollte verbesserte Transparenz oberste Priorität haben, nicht mehr Kontrolle. Es ist hilfreicher, alles in der Cloud einsehen zu können, als unvollständige Teile verwalten zu müssen.

Exabeam: Verbesserte Bedrohungserkennung mit fortschrittlicher Sicherheitsanalyse

Die Exabeam Security Operations Platform bietet eine leistungsstarke Kombination aus SIEM, Verhaltensanalyse, Automatisierung und Netzwerktransparenz, um die Erkennung, Untersuchung und Reaktion von Bedrohungen in Unternehmen zu verändern. Durch die Korrelation von Firewall-Protokollen mit Daten von Endpunkten, Cloud-Umgebungen, Identitätssystemen und anderen Sicherheitsquellen bietet Exabeam tiefere Einblicke in sich entwickelnde Bedrohungen, die sonst unentdeckt blieben.

Dank verhaltensbasierter Analysen geht Exabeam über statische Regeln und Signaturen hinaus und erkennt anomale Aktivitäten, die auf den Missbrauch von Anmeldeinformationen, Insider-Bedrohungen oder laterale Bewegungen im Netzwerk hinweisen. Durch die Analyse des normalen Benutzer- und Entitätsverhaltens im Zeitverlauf deckt Exabeam risikoreiche Aktivitäten auf, die von herkömmlichen Sicherheitstools möglicherweise übersehen werden.

Automatisierte Untersuchungen optimieren Sicherheitsabläufe, indem sie unterschiedliche Datenpunkte zu umfassenden Bedrohungszeitplänen verknüpfen. Dadurch wird der Zeitaufwand für Analysten reduziert, die Vorfälle manuell zusammenzufügen. So können Teams die Ursache eines Angriffs schnell identifizieren und präzise reagieren.

Erfahren Sie mehr über Exabeam SIEM