Unternehmen und ihre Cloud-Anbieter lassen häufig Schwachstellen in ihren Systemen und Diensten offen und bieten Angreifern so einen einfachen Weg, an kritische Daten zu gelangen.
Laut einer von Orca Security am 13. September veröffentlichten Analyse von Daten, die von großen Cloud-Diensten gesammelt wurden, benötigen Angreifer im Durchschnitt nur drei Schritte, um Zugriff auf sensible Daten, die sogenannten „Kronjuwelen“, zu erhalten 78 % der Fälle – unter Ausnutzung einer bekannten Schwachstelle.
Während sich ein Großteil der Sicherheitsdiskussion auf Fehlkonfigurationen von Cloud-Ressourcen durch Unternehmen konzentrierte, haben Cloud-Anbieter Schwachstellen oft nur langsam geschlossen, sagt Avi Shua, CEO und Mitbegründer von Orca Security.
„Der Schlüssel besteht darin, die Grundursachen zu beheben, die den ersten Vektor darstellen, und die Anzahl der Schritte zu erhöhen, die der Angreifer unternehmen muss“, sagt er. „Durch geeignete Sicherheitskontrollen kann sichergestellt werden, dass man selbst bei einem anfänglichen Angriffsvektor immer noch nicht in der Lage ist, die Kronjuwelen zu erreichen.“
Das Analysierte Daten melden vom Sicherheitsforschungsteam von Orca unter Verwendung von Daten aus „Milliarden Cloud-Assets auf AWS, Azure und Google Cloud“, die die Kunden des Unternehmens regelmäßig scannen. Zu den Daten gehörten Cloud-Workload- und Konfigurationsdaten, Umgebungsdaten und Informationen zu Assets, die im ersten Halbjahr 2022 gesammelt wurden.
Ungepatchte Schwachstellen verursachen das größte Cloud-Risiko
Die Analyse identifizierte einige Hauptprobleme bei Cloud-nativen Architekturen. Im Durchschnitt galten 11 % der Cloud-Ressourcen von Cloud-Anbietern und ihren Kunden als „vernachlässigt“, d. h. sie wurden in den letzten 180 Tagen nicht gepatcht. Container und virtuelle Maschinen, die die häufigsten Komponenten einer solchen Infrastruktur darstellen, machten mehr als 89 % der vernachlässigten Cloud-Assets aus.
„Auf beiden Seiten des Modells der geteilten Verantwortung gibt es Raum für Verbesserungen“, sagt Shua. „Kritiker haben sich beim Patchen immer auf die Kundenseite des Hauses konzentriert, aber in den letzten Jahren gab es auf Seiten der Cloud-Anbieter eine ganze Reihe von Problemen, die nicht rechtzeitig behoben wurden.“
Tatsächlich ist die Behebung von Schwachstellen möglicherweise das kritischste Problem, da der durchschnittliche Container, das Image und die virtuelle Maschine mindestens 50 bekannte Schwachstellen aufwiesen. Ungefähr drei Viertel – 78 % – der Angriffe beginnen mit der Ausnutzung einer bekannten Schwachstelle, so Orca in dem Bericht. Darüber hinaus verfügt ein Zehntel aller Unternehmen über ein Cloud-Asset, das Software verwendet, deren Schwachstelle mindestens 10 Jahre alt ist.
Dennoch sei die durch Schwachstellen verursachte Sicherheitsschuld nicht gleichmäßig auf alle Vermögenswerte verteilt, heißt es in dem Bericht. Mehr als zwei Drittel – 68 % – der Log4j-Schwachstellen wurden in virtuellen Maschinen gefunden. Allerdings weisen nur noch 5 % der Workload-Assets mindestens eine der Log4j-Schwachstellen auf, und nur 10.5 % davon könnten über das Internet angegriffen werden.
Kundenseitige Probleme
Ein weiteres großes Problem besteht darin, dass ein Drittel der Unternehmen über ein Root-Konto bei einem Cloud-Anbieter verfügt, das nicht durch Multifaktor-Authentifizierung (MFA) geschützt ist. Den Daten von Orca zufolge haben XNUMX Prozent der Unternehmen MFA für mindestens ein privilegiertes Benutzerkonto deaktiviert. Wenn die zusätzliche Sicherheit von MFA nicht gewährleistet ist, sind Systeme und Dienste anfällig für Brute-Force-Angriffe und Passwort-Spraying.
Zusätzlich zu den 33 % der Unternehmen, die keinen MFA-Schutz für Root-Konten haben, verfügen 12 % der Unternehmen über einen über das Internet zugänglichen Workload mit mindestens einem schwachen oder durchgesickerten Passwort, so Orca in seinem Bericht.
Unternehmen sollten versuchen, MFA in ihrer gesamten Organisation durchzusetzen (insbesondere für privilegierte Konten), Schwachstellen schneller bewerten und beheben und Wege finden, Angreifer zu verlangsamen, sagt Shua.
„Der Schlüssel besteht darin, die Grundursachen zu beheben, die den ersten Vektor darstellen, und die Anzahl der Schritte zu erhöhen, die der Angreifer unternehmen muss“, sagt er. „Durch geeignete Sicherheitskontrollen kann sichergestellt werden, dass der Angreifer selbst dann, wenn er mit dem ersten Angriffsvektor Erfolg hat, die Kronjuwelen nicht erreichen kann.“
Insgesamt haben sowohl Cloud-Anbieter als auch ihre Geschäftskunden Sicherheitsprobleme, die identifiziert und behoben werden müssen, und beide müssen Wege finden, diese Probleme effizienter zu beheben, fügt er hinzu; Transparenz und konsistente Sicherheitskontrollen in allen Aspekten der Cloud-Infrastruktur sind von entscheidender Bedeutung.
„Es liegt nicht daran, dass ihre Mauern nicht hoch genug wären“, sagt Shua. „Es liegt daran, dass sie nicht das gesamte Schloss abdecken.“
