nobeastsofierce - Fotolia

Gängige Cloud-Angriffe und passende Abwehrmaßnahmen

Es existieren unterschiedliche Angriffsmethoden auf Cloud-Dienste, die vielerorts unverzichtbar sind. Vor diesen müssen sich Anwenderunternehmen wie Cloud-Anbieter schützen.

Je mehr Cloud-Dienste in Unternehmen genutzt werden, umso mehr Anziehungskraft üben diese auch auf potenzielle Angreifer aus. Dabei können Unternehmen direkt anvisiert werden, oder auch nur über einen Kunden oder Lieferanten, der auf irgendeinem Weg – beispielsweise VPN – angebunden ist.

Abseits des eigentlichen Anwenderunternehmens kann natürlich auch der Cloud Service Provider (CSP) selbst ein attraktives Ziel sein. Besteht hier eine Schwachstelle oder gelingt eine Attacke, könnte diese dem Angreifer unter Umständen auch Zugriff auf die vom Provider verwalteten Kunden ermöglichen. Die Bedeutung und die möglichen Auswirkungen einer derartigen Cloud-Attacke sind natürlich bedeutend größer.

PwC und BAE Systems haben im April 2017 einen Report namens Operation Cloud Hopper veröffentlicht, der beschreibt, wie Angreifer bei derartigen Attacken vorgehen. Viele dieser Vorgehensweisen unterscheiden sich prinzipiell gar nicht so sehr von traditionellen Angriffsmethoden – Stichwort Spear Phishing –, aber in Kombination und in viel größerem Maßstab eingesetzt und mit einer Verschiebung in die Zielrichtung Cloud Service Provider. Zudem wurden in den letzten Jahren einige spezielle Cloud-Attacken auf entsprechende verwaltete Infrastrukturen registriert.

Schwachstellen erlauben Ausbruch aus Sandbox-Umgebungen

Immer mal wieder tauchen Schwachstellen auf, die es Angreifern erlauben, aus einer isolierten Umgebung, wie einer Sandbox, auszubrechen. Zumindest solange, bis ein Patch zur Verfügung steht. Damit können die Angreifer häufig Zugang zur Cloud-Plattform selbst erhalten. Exemplarisch sei an dieser Stelle der Cross-Site-Scripting-Exploit (XSS) in Microsoft Azure genannt, der 2016 von Chris Dale veröffentlicht wurde.

Über die Ausnutzung einer XSS-Schwachstelle gelang es Dale, eine Website zum Absturz zu bringen. Den mit der Fehlerbehebung beschäftigten SaaS-Administrator konnte Dale in der Folge dann über eine nicht autorisierte JavaScript-Ausführung im Browser angreifen. Dies ist jetzt nur eine relativ einfache Angriffsmethode und sie betrifft nur eine Plattform, verdeutlicht aber ganz gut die Problematik. Insbesondere da in der freien Wildbahn noch reichlich Schwachstellen vorhanden sein dürften, die bislang nicht veröffentlicht wurden.

Damit das Risiko durch entsprechende Schwachstellen reduziert werden kann, sind regelmäßige Updates, wiederkehrende Penetrationstests sowie eine Echtzeit-Sicherheitsüberwachung empfehlenswerte Maßnahmen.

Fehlkonfigurationen werden für Angriffe ausgenutzt

Die IT-Sicherheit beschäftigt sich ja gerne mit Schwachstellen und Exploits, Fehlkonfigurationen und oder fehlerhafte Implementierungen finden da oft weniger Beachtung. Dabei können diese zu ganz erheblichen Sicherheitsrisiken führen. Exemplarisch können dies eine unsichere API, ein schlecht implementierter oder ungesicherter Hypervisor oder auch „nur“ die Verwendung eines einfachen oder Standardpassworts sein.

So kann eine API beispielsweise dazu verwendet werden, um Systeme zu verwalten oder Daten zwischen Systemen auszutauschen. Wenn diese Kommunikation nicht sicher ist oder keine ordnungsgemäße Authentifizierung vorhanden ist, kann ein Angreifer weitreichende Möglichkeiten erhalten, Daten oder auch Systeme zu manipulieren.

Sichere Konfigurationsstandards und entsprechende Kontrollsysteme können IT-Abteilungen dabei unterstützen, derartige Risiken zu vermeiden. Die Konfiguration sollte ebenfalls in die reguläre Überwachung übernommen werden.

Man-in-the-Cloud-Attacken

Diese noch relativ junge Angriffsmethode konzentriert sich auf den Diebstahl und die Manipulation eines Synchronisations-Tokens eines Benutzers. Für die Synchronisation mit dem Cloud-Dienst wird üblicherweise ein Token verwendet, um Zugriff auf das korrekte Konto und die Daten zu erhalten. Der Angreifer versucht dem Opfer meist auf dem klassischen E-Mail-Weg eine Malware unterzujubeln.

Dies geschieht oft über einen Social-Engineering-Angriff. Wird die Malware gestartet, verschiebt sie den Synchronisations-Token des Opfers in das Verzeichnis, das synchronisiert wird. Danach wird dieser Original-Token durch einen vom Angreifer speziell präparierten ersetzt. Dieser verweist wiederum auf ein Konto, auf das der Angreifer Zugriff hat. Bei der nächsten Synchronisation wird der originale Synchronisations-Token in das Cloud-Konto des Angreifers kopiert. Der Angreifer kann diesen herunterladen und nutzen. Zudem hat er damit Zugriff auf die in der Cloud abgelegten Daten des Opfers.

Um sich vor derlei Angriffen zu schützen, können alle Maßnahmen zum Einsatz kommen, die Endanwender vor Malware oder Social Engineering schützen. Dazu zählen auch Schulungen der Benutzer.

Distributed-Denial-of-service-Angriffe

Aufgrund der großen Bandbreiten, die CSPs zur Verfügung stehen, sind traditionelle DDoS-Methoden, die viele Systeme nutzen, um das Zielsystem mit möglichst vielen Anfragen oder Daten auszulasten, nicht mehr so effektiv. Aber es gibt andere Angriffsvektoren, um mit einem DDoS-Angriff ein in der Cloud befindliches Zielsystem empfindlich aus dem Tritt zu bringen.

Der im Jahr 2016 erfolgte Angriff auf Dyn hat ziemlich deutlich belegt, wie eine Cloud-Plattform in die Knie gezwungen werden kann. Es war eine gezielte DDoS-Attacke, um die DNS-Infrastruktur des Providers Dyn anzugreifen. Der Angriff sorgte dafür, viele große Websites wie Amazon oder Twitter in einigen Regionen nicht verfügbar waren.

Als Anwenderunternehmen kann man in eigener Regie nicht viel gegen einen Angriff auf die Hosting-Plattform unternehmen. Man sollte sich jedoch im Klaren darüber sein, welche Auswirkungen der Traffic einer großen DDoS-Attacke die Kosten eines Dienstes beeinflussen könnte. Darüber hinaus sollte man bei der Auswahl des CSP darauf achten, welche Schutzmaßnahmen die verschiedenen Anbieter im Hinblick auf entsprechende Ausfälle implementiert haben.

Fazit

Wirklich erfolgreiche Angriffe auf Cloud Service Provider sind selten. Aber wenn sie erfolgreich sind, können die Folgen für den CSP selbst und auch für die Kunden ganz erheblich sein. Die Risiken der Cloud-Attacken kann man durchaus in den Griff bekommen, es ist allerdings ein Sicherheitsansatz über viele Punkte hinweg notwendig. Das erfordert spezielle oder entsprechend konfigurierte Überwachungs- und Monitoring-Werkzeuge und ebenfalls darauf abgestimmte, implementierte Richtlinien.

Zudem können wir davon ausgehen, künftig sehr leistungsfähige Cloud-Angriffe zu sehen. Sei es nun durch entsprechend ausgerüstete Cyberkriminelle oder auch Angriffe von Nationalstaaten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Malware-Verbreitung: Risiko Cloud-Sync-Verzeichnisse

Man-in-the-Cloud-Attacken erkennen und abwehren

Risikofaktor Schadcode in der Cloud: Was Unternehmen tun können

Unternehmen auf Cloud-DDoS-Attacken vorbereiten

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close