Symbolbild: iStock

In der Cloud kommt es häufig zu Fehlkonfigurationen, da Unternehmen für den automatisierten Aufbau und Betrieb von Cloudinfrastrukturen zunehmend IaC-Templates (Infrastructure as Code) übernehmen. Diese seien aber ohne die richtigen Sicherheitswerkzeuge und -prozesse mit einer Vielzahl von Schwachstellen behaftet, und ebenfalls bedenklich sei die hohe Zahl unverschlüsselter Cloud-Datenbanken, wie aus dem "Unit 42 Cloud Threat Report: Spring 2020" der US-amerikanischen Sicherheitsspezialistin Palo Alto Networks hervorgeht.

In früheren Untersuchungen hatte Unit 42 ermittelt, dass 65 Prozent der Cloud-Sicherheitsvorfälle auf einfache Fehlkonfigurationen zurückzuführen sind. Der aktuelle Bericht lässt nun erkennen, warum derlei Fehlkonfigurationen so häufig vorkommen: Laut dem Report sind über 199.000 unsichere Templates mit Schwachstellen hoher und mittlerer Schwere im Einsatz.

Unter den am häufigsten verwendeten IaC-Templates finden sich gemäss dem Report vorrangig Kubernetes YAML (39 Prozent), Terraform (37 Prozent) und Cloudformation (24 Prozent). Am häufigsten anfällig seien Cloudformation-Templates (42 Prozent), gefolgt von Terraform (22 Prozent). Für K8s YAML liege der Anteil bei neun Prozent.

Zudem sind nach Angaben der Forscher 43 Prozent der Cloud-Datenbanken nicht verschlüsselt. Dies erleichtere Angreifern nicht nur den Datendiebstahl: Unverschlüsselte Datenbanken entsprächen zudem nicht den Anforderungen von Compliance-Standards wie PCI-DSS oder HIPAA, warnt Palo Alto Networks.

Darüber hinaus sei auch bei 60 Prozent der Cloud-Speicherdienste die Protokollierung deaktiviert. Dabei sei die Speicherprotokollierung von entscheidender Bedeutung, um das Ausmass des Schadens bei Cloud-Sicherheitsvorfällen zu bestimmen, so die US-Security-Spezialistin.

Der Untersuchung zufolge nutzen kriminelle Gruppen Cloudumgebungen zum Beispiel für Cryptojacking: Angreifergruppen wie Rocke, 8220 Mining Group und Pacha, die laut den Security-Forschern wahrscheinlich mit China in Verbindung stünden, stehlen demnach Cloudressourcen für das Schürfen digitaler Währungen wie Monero – und das betroffene Anwenderunternehmen muss dann diese CPU-Nutzung bezahlen.

Daher raten die Experten von Palo Alto Networks unter anderem zur Umsetzung und Erhaltung von Multi-Cloud-Sichtbarkeit. Denn es sei schwierig, etwas zu schützen, das nicht sichtbar oder bekannt sei. Ein Sicherheitsteam müsse sich deshalb für cloudnative Sicherheitsplattformen (CNSPs) einsetzen, die neben Containern, Server-less- Implementierungen und CI/CD-Pipelines auch Durchblick in öffentlichen, privaten und hybriden Clouds bieten würden. Darüber hinaus sollten unbedingt Standards in öffentlichen, privaten und hybriden Cloudumgebungen durchgesetzte werden. Wenn ein Unternehmen noch keinen Cloud-Sicherheitsstandard hat, empfiehlt Palo Alto Networks die vom Center for Internet Security (CIS) erstellten Benchmarks (cisecurity.org/cis-benchmarks). Auch empfiehlt Palo Alto Networks "Shift Left". Bei diesem Sicherheitsansatz geht es darum, die Sicherheit hin zum frühestmöglichen Zeitpunkt im Entwicklungsprozess zu verschieben. Dies bedeutet für das Security-Team, mit Devops-Teams zusammenzuarbeiten, um Sicherheitsstandards in IaC-Templates einzubetten.

Der Cloud Threat Report ist vom Cloud-Forschungsteam von Unit 42 durch Nutzung einer Kombination aus öffentlich verfügbaren Daten (Open Source Intelligence, Osint) und internen Erkenntnissen von Palo Alto Networks erstellt worden. Der vollständige Report ist hier!! erhältlich.