Cyberkriminelle suchen immer nach blinden Flecken in der Zugriffsverwaltung, seien es Fehlkonfigurationen, schlechte Anmeldepraktiken, ungepatchte Sicherheitslücken oder andere versteckte Türen zum Unternehmensschloss. Jetzt, da Unternehmen ihren Modernisierungstrend in Richtung Cloud fortsetzen, nutzen schlechte Akteure eine sich abzeichnende Gelegenheit: Zugriffsfehler und Fehlkonfigurationen bei der Nutzung von Cloud-Anbietern durch Unternehmen Identitäts- und Zugriffsverwaltung (IAM) Schichten.
In einem Vortrag am Mittwoch, den 10. August bei Black Hat USA mit dem Titel „Ich bin der, der klopft“, wird Igal Gofman, Forschungsleiter bei Ermetic, einen Einblick in diese neu entstehende Risikogrenze geben. „Verteidiger müssen verstehen, dass der neue Perimeter nicht wie zuvor die Netzwerkschicht ist. Jetzt ist es wirklich IAM – es ist die Verwaltungsebene, die alles regelt“, sagt er zu Dark Reading.
Komplexität, Maschinenidentitäten = Unsicherheit
Die häufigste Falle, in die Sicherheitsteams bei der Implementierung von Cloud IAM geraten, besteht darin, die schiere Komplexität der Umgebung nicht zu erkennen, stellt er fest. Dazu gehört auch, die explodierende Menge an Berechtigungen und Zugriffen zu verstehen, die Software-as-a-Service (SaaS)-Apps erstellt haben.
„Angreifer greifen weiterhin über Phishing oder einen anderen Ansatz an Token oder Zugangsdaten heran“, erklärt Gofman. „Einst gaben diese dem Angreifer nicht viel mehr als das, was sich auf einem lokalen Rechner befand. Aber jetzt haben diese Sicherheitstoken viel mehr Zugriff, weil jeder in den letzten Jahren in die Cloud gewechselt ist und mehr Zugriff auf Cloud-Ressourcen hat.“
Das Thema Komplexität ist besonders pikant, wenn es darum geht Maschinenwesen – die im Gegensatz zu Menschen immer arbeiten. Im Cloud-Kontext werden sie verwendet, um mithilfe von API-Schlüsseln auf Cloud-APIs zuzugreifen. serverlose Anwendungen aktivieren; Sicherheitsrollen automatisieren (dh Cloud Access Service Broker oder CASBs); Integration von SaaS-Apps und -Profilen über Dienstkonten; und mehr.
Angesichts der Tatsache, dass das durchschnittliche Unternehmen heute Hunderte von Cloud-basierten Anwendungen und Datenbanken verwendet, stellt diese Masse von Maschinenidentitäten ein hochkomplexes Netz aus miteinander verwobenen Berechtigungen und Zugriffsrechten dar, das die Infrastrukturen von Unternehmen untermauert, die schwer zu überblicken und daher schwer zu verwalten sind. sagt Gofmann. Deshalb versuchen Angreifer, diese Identitäten immer mehr auszunutzen.
„Wir sehen einen Anstieg in der Verwendung von nichtmenschlichen Identitäten, die intern Zugriff auf verschiedene Ressourcen und verschiedene Dienste haben“, stellt er fest. „Das sind Dienste, die mit anderen Diensten sprechen. Sie haben Berechtigungen und normalerweise einen breiteren Zugriff als Menschen. Die Cloud-Anbieter drängen ihre Benutzer, diese zu verwenden, weil sie sie grundsätzlich für sicherer halten. Aber es gibt einige Ausbeutungstechniken, die verwendet werden können, um Umgebungen zu kompromittieren, die diese nichtmenschlichen Identitäten verwenden.“
Maschinenentitäten mit Verwaltungsberechtigungen seien für Angreifer besonders attraktiv, fügt er hinzu.
„Dies ist einer der Hauptvektoren, auf die Cyberkriminelle abzielen, insbesondere in Azure“, erklärt er. „Wenn Sie nicht genau wissen, wie man sie innerhalb des IAM verwaltet, bieten Sie eine Sicherheitslücke an.“
So steigern Sie die IAM-Sicherheit in der Cloud
Aus defensiver Sicht plant Gofman, die vielen Möglichkeiten zu erörtern, die Organisationen haben, um das Problem der Implementierung eines effektiven IAM in der Cloud zu umgehen. Zum einen sollten Unternehmen die Protokollierungsfunktionen von Cloud-Anbietern nutzen, um sich einen umfassenden Überblick darüber zu verschaffen, wer – und was – in der Umgebung vorhanden ist.
„Diese Tools werden eigentlich nicht intensiv genutzt, aber sie sind gute Optionen, um besser zu verstehen, was in Ihrer Umgebung vor sich geht“, erklärt er. „Sie können die Protokollierung auch verwenden, um die Angriffsfläche zu reduzieren, da Sie genau sehen können, was Benutzer verwenden und welche Berechtigungen sie haben. Administratoren können auch angegebene Richtlinien mit dem vergleichen, was tatsächlich in einer bestimmten Infrastruktur verwendet wird.“
Er plant auch, die verschiedenen IAM-Dienste der drei führenden Public-Cloud-Anbieter – Amazon Web Services, Google Cloud Platform und Microsoft Azure – und ihre Sicherheitsansätze, die sich alle leicht unterscheiden, aufzuschlüsseln und zu vergleichen. Multi-Cloud-IAM ist ein zusätzliches Problem für Unternehmen, die verschiedene Clouds von verschiedenen Anbietern verwenden, und Gofman merkt an, dass das Verständnis der subtilen Unterschiede zwischen den von ihnen angebotenen Tools einen großen Beitrag zur Stärkung der Abwehr leisten kann.
Organisationen können auch eine Vielzahl von Open-Source-Tools von Drittanbietern verwenden, um eine bessere Sichtbarkeit in der gesamten Infrastruktur zu erhalten, bemerkt er und fügt hinzu, dass er und sein Co-Moderator Noam Dahan, Forschungsleiter bei Ermetic, planen, eine Option vorzuführen.
„Cloud IAM ist extrem wichtig“, sagt Gofman. „Wir werden über die Gefahren sprechen, die Tools, die verwendet werden können, und wie wichtig es ist, besser zu verstehen, welche Berechtigungen verwendet werden und welche Berechtigungen nicht verwendet werden und wie und wo Administratoren blinde Flecken erkennen können.“
