Zusammenfassung
Die Angriffe auf in der Cloud bereitgestellte Infrastrukturen nehmen zu, und der Beweis dafür ist die Analyse der Trends bei Sicherheitswarnungen. Jüngste Untersuchungen zeigen, dass Unternehmen Ende 2024 fast fünfmal so viele tägliche cloudbasierte Warnmeldungen sehen werden wie zu Beginn des Jahres. Das bedeutet, dass die Angreifer ihren Fokus auf Cloud-Infrastrukturen und deren Sicherheitsverletzungen deutlich verstärkt haben.
Diese Warnungen sind ernst zu nehmen. Den größten Anstieg haben wir bei den Alarmen mit hohem Schweregrad festgestellt, was bedeutet, dass Angriffe erfolgreich auf kritische Cloud-Ressourcen abzielen, wie in Tabelle 1 erläutert.
| Cloud-Ressource | Warum es so wichtig ist |
| Identity and access management (IAM) | Durchgesickerte Anmeldeinformationen können die Tür zur Cloud-Infrastruktur eines Unternehmens öffnen. |
| Speicher | Kann sensible Unternehmens- oder Kundendaten enthalten. |
| Virtuelle Maschinen | Oft mit zusätzlichen internen Diensten verbunden, die Angreifern die Möglichkeit bieten, sich seitlich zu bewegen. |
| Containers | Die Kompromitierung von Container-Hosts kann es Angreifern ermöglichen, bösartige Container auszuführen. |
| Serverlose | Serverlose Funktionen sind für einzelne, automatisierte Zwecke konzipiert. Remote-Ausführungen in der Befehlszeile sollten nicht vorkommen. |
Tabelle 1. Kritische Bedeutung bestimmter Cloud-Ressourcen.
Besonders erwähnenswert ist, dass Angreifer häufig auf serverlose IAM-Tokens abzielten, was zu einer Remote-Nutzung der Befehlszeile führte. Diese sind von Bedeutung, da sie genutzt werden können, um Zugriff auf die größere Cloud-Umgebung eines Unternehmens zu erhalten. Im Rahmen der Zunahme von Cloud-Warnungen gab es dreimal so viele Ereignisse für den Fernzugriff auf die Befehlszeile unter Verwendung von IAM-Tokens (Identity Access and Management) und Anmeldeinformationen, die von serverlosen Cloud-Funktionen verwendet werden.
Wir haben auch andere Aufwärtstrends bei der Alarmierung festgestellt:
- Ein Anstieg von 116% bei IAM-basierten "unmöglichen Reiseereignissen" (d.h. Anmeldeereignisse aus entfernten geografischen Gebieten innerhalb eines engen Zeitfensters)
- Eine Zunahme von 60% von Anfragen anr IAM-Anwendungsprogrammierschnittstelle (API) für Rechenressourcen (virtuelle Cloud-Maschine) von außerhalb der Region
- Ein Spitzenanstieg von 45% bei der Zahl der Cloud Snapshot Exporte im November 2024
- Eine 305% Zunahme der Zahl verdächtiger Downloads mehrerer Cloud-Speicherobjekte
Die Identität ist der Schutzwall der Cloud-Infrastruktur. Angreifer haben es auf IAM-Token und Anmeldeinformationen abgesehen, da sie die Schlüssel zum Cloud-Königreich enthalten und es Angreifern ermöglichen, sich im Netzwerk zu bewegen, ihre Berechtigungen zu erweitern und weitere bösartige Operationen durchzuführen. Die steigende Zahl der Zugriffsversuche und die Nutzung sensibler Konten bei IAM-Diensten bedeutet, dass Angreifer auf der ganzen Welt auf Cloud-Ressourcen setzen.
Angreifer haben es auf Cloud-Speicherdienste abgesehen, da diese oft sensible Daten enthalten. Die Zahl der verdächtigen Downloads von Cloud-Speicherobjekten und der Exporte von Image-Snapshots ist deutlich gestiegen. Verdächtige Alarme zum Herunterladen von Cloud-Speicherobjekten werden ausgelöst, wenn eine einzelne IAM-basierte Identität innerhalb eines engen Zeitfensters eine große Anzahl von Speicherobjekten herunterlädt. Dies kann auf bösartige Operationen wie Ransomware oder Erpressung hindeuten. Image-Snapshots sind das Ziel von Angreifern, da Snapshots sensible Daten über die Cloud-Infrastruktur und Anmeldeinformationen enthalten können, die es dem Angreifer ermöglichen könnten, die Berechtigungen zu erweitern und sich innerhalb der Cloud-Umgebung des Opfers zu bewegen.
Diese Beispiele verdeutlichen die unmittelbare Notwendigkeit, Cloud-Umgebungen zu schützen, und zwar nicht nur mit grundlegenden Tools für das Cloud Security Posture Management (CSPM), sondern in Zusammenarbeit mit Werkzeugen, die bösartige Laufzeitoperationen erkennen und verhindern, sobald sie auftreten.
Durch den Einsatz der Laufzeit-Cloud-Sicherheitswerkzeuge von Cortex Cloud– auch Cloud Detection and Response (CDR) genannt – können Sicherheitsteams bösartige Ereignisse in Cloud-Umgebungen identifizieren und verhindern.
Wenn Sie glauben, dass Sie kompromittiert worden sein könnten oder eine dringende Angelegenheit haben, kontaktieren Sie das Unit 42 Incident Response Team.
Cloud-Angriffe in großem Maßstab
In einem neuen Unit 42 Beitrag haben wir Details einer Ransomware- und Erpressungskampagne veröffentlicht, die direkt auf exponierte Umgebungsvariablen-Dateien abzielte. Der Bedrohungsakteur der Kampagne erbeutete erfolgreich über 90.000 Anmeldeinformationen von 110.000 anvisierten Domains. Noch besorgniserregender ist, dass sie auch fast 1.200 Anmeldeinformationen für Cloud IAM erbeutet haben. Diese Anmeldeinformationen ermöglichten es dem Bedrohungsakteur, erfolgreich Erpressungsangriffe gegen mehrere Organisationen durchzuführen.
Diese Operation bietet die Gelegenheit, die Sicherheitsmechanismen zu erörtern, die zum Schutz von Unternehmen eingesetzt werden. Insbesondere können wir so feststellen, wie sich Sicherheitslösungen für das Posture Management und die Laufzeitüberwachung nahtlos einsetzen lassen. Auf diese Weise können Unternehmen einen Cloud-Sicherheitsschutz aufbauen, der robust genug ist, um diesen neuen Wellen von Angreifern zu begegnen.
Bei der Untersuchung für diesen Artikel haben wir festgestellt, dass die durchschnittliche Gesamtzahl der Cloud-Warnungen, die ein Unternehmen erfährt, im Jahr 2024 um 388% anstieg. Diese Warnungen stammen sowohl aus dem Posture Management als auch aus der Laufzeitüberwachung.
Obwohl Warnungen mit dem Schweregrad "informativ" die Mehrheit der Warnungen ausmachten, ist es äußerst wichtig hervorzuheben, dass die größte Veränderung bei der Zahl der Warnungen mit hohem Schweregrad zu verzeichnen war. Die Zahl der Warnmeldungen in dieser Kategorie ist im Jahr 2024 um 235% gestiegen. Warnungen mit mittlerem und niedrigem Schweregrad nahmen ebenfalls um 21% bzw. 10% zu.
Was diese Trending Alerts bedeuten
Die Veränderungen, die wir bei der Zahl der Warnungen beobachtet haben, richten sich nach unserem 2024 State of Cloud-Native Security Report, in dem festgestellt wurde, dass 71 % der Unternehmen die erhöhte Gefährdung durch Schwachstellen auf beschleunigte Implementierungen zurückführen. Darüber hinaus berichten 45% dieser Unternehmen von einem Anstieg der Angriffe durch Advanced Persistent Threats (APT) im letzten Jahr.
Ein Beispiel dafür sind die jüngsten Untersuchungen von Microsoft zu Storm-2077, einer in China ansässigen Gruppe von Cloud-Bedrohungsakteuren (CTAG), die komplexe Techniken zum Sammeln von Anmeldeinformationen in der Cloud einsetzt, um Zugang zu Cloud-Umgebungen von Opfern zu erhalten und zu bewahren. Es wird schnell deutlich, dass sowohl das Cloud Posture Management als auch die Überwachung der Laufzeitsicherheit als eine Einheit funktionieren müssen, um einen angemessenen Schutz vor der nächsten Phase der Bedrohungen in Cloud-Umgebungen zu gewährleisten. Der folgende Abschnitt Hintergrund liefert zusätzliche Informationen über Posture Management und Erkennungen der Laufzeitüberwachung.
Eine Schlüsselaufgabe für Cloud-Sicherheitsteams besteht darin, eine Cloud-Sicherheitsplattform zu entwickeln und einzusetzen, die die Erkennungsmöglichkeiten verbessert. So können Administratoren nicht nur Fehlkonfigurationen und Schwachstellen erkennen, sondern auch die Laufzeitereignisse in Cloud-Umgebungen sammeln und analysieren. Eine solche Plattform bietet Verteidigern einen besseren Überblick und ermöglicht eine schnellere Reaktionszeit bei der Bearbeitung von Alarmen.
Während die Fähigkeit, bösartige oder verdächtige Cloud-Ereignisse zu identifizieren und zu erkennen, in der gesamten Branche zugenommen hat, ist auch die Komplexität der offensiven Cloud-Operationen von Bedrohungsakteuren gestiegen. Im Januar 2024 gab es beispielsweise in der durchschnittlichen Cloud-Umgebung nur zwei Warnmeldungen für die Remotenutzung der Befehlszeile eines IAM-Tokens für eine serverlose Funktion. Dies blieb das ganze Jahr über unverändert. Im Dezember 2024 jedoch wurden in der durchschnittlichen Cloud-Umgebung mehr als 200 solcher Warnungen ausgegeben – ein beunruhigendes Signal für eine erhöhte Aktivität. Wie im Artikel Leaked Environment Variables Allow Large-Scale Extortion Operation in Cloud Environments beschrieben, ist diese Laufzeitoperation genau das, was während des bösartigen Erpressungsvorfalls passiert ist.
Weitere Belege für diesen Trend sind die folgenden:
- Ein Anstieg von 116% bei Warnungen zu „unmöglichen Reisen“ im Zusammenhang mit Cloud-Identitäten
- Eine 60-prozentige Zunahme der Rechenleistung API-Aufrufe, die von außerhalb der Cloud-Region dieser Instanz erfolgen
- Eine 45% Steigerung der Zahl der Cloud Snapshot Exporte
- Eine um 305% Zunahme der Zahl verdächtiger Downloads mehrerer Cloud-Speicherobjekte
Diese beiden Warnmeldungen deuten stark darauf hin, dass das Hauptziel von CTAGs darin besteht, ein Cloud IAM-Token oder Anmeldeinformationen zu finden, zu sammeln und zu verwenden. Dies deutet auch darauf hin, dass Angreifer diese Token oder Anmeldeinformationen für potenziell bösartige Operationen verwenden werden.
Hintergrund
Werkzeuge für das Cloud Security Posture Management (CSPM) bilden die Grundlage der Cloud-Sicherheit. Ihr Betrieb ist auf die Überwachung von Steuerelementen zentriert, um sicherzustellen, dass Cloud-Umgebungen sichere Konfigurationen beibehalten und frei von Schwachstellen und Fehlkonfigurationen sind.
Die Überwachung des Posture Managements basiert traditionell auf einer zeitabhängigen Sicherheitsüberprüfung der Ressourcen und Konfigurationen einer Cloud-Umgebung. Warnungen werden ausgelöst, wenn eine neue oder geänderte Cloud-Ressource ein potenzielles Sicherheitsrisiko darzustellen scheint.
So wird beispielsweise ein Alarm ausgelöst, wenn eine IAM-Richtlinie zu freizügig ist und den Zugriff auf andere Cloud-Ressourcen erlaubt. Es wird auch ausgelöst, wenn eine Cloud Compute-Instanz oder eine serverlose Funktion Schwachstellen oder Fehlkonfigurationen enthält.
Posture Management Scans werden routinemäßig durchgeführt, oft stündlich oder täglich. Einige Werkzeuge für die Sicherheit von CSPM ermöglichen auch die Überwachung der Audit-Protokolle von Cloud-Plattformen, was bei der Erkennung verdächtiger Aktivitäten innerhalb einer Cloud-Service-Plattform (CSP) hilfreich sein kann. Es ist von entscheidender Bedeutung, dass Unternehmen ihre CSPM-Plattform so konfigurieren, dass sie die Audit-Protokolle ihrer cloudbasierten Software-as-a-Service (SaaS)-Anwendungen von Drittanbietern erfasst, um Transparenz zu gewährleisten.
CDR Werkzeuge bieten eine Laufzeitüberwachung, indem sie Vorgänge, die während eines bestimmten Ereignisses auftreten, sammeln, identifizieren und sogar verhindern. Durch das Sammeln der Protokolle von Cloud-Computing-Instanzen, CSP-Protokollierungsressourcen und Cloud-SaaS-Anwendungen von Drittanbietern können CDR-Sicherheitswerkzeuge bösartige Cloud-Ereignisse erkennen, melden und verhindern.
Beispiele für diese Vorgänge sind die Ausführung einer API-Anfrage gegen eine Cloud-Plattform oder eine Cloud-Anwendung wie z.B.:
-
- Erstellen neuer Cloud-Benutzer oder Servicekonten
- Hinzufügen von IAM-Richtlinien an neue oder bestehende IAM-Benutzer oder -Rollen
- Aufbau von Netzwerkverbindungen von einem Tor-Exit-Node oder VPN Host
Im Gegensatz zu Werkzeugen für das Posture Management überwachen Laufzeitüberwachungswerkzeuge die Cloud-Umgebung kontinuierlich und benötigen häufig einen speziellen Agenten, um die Cloud-Ressourcen im Blick zu behalten. Wenn ein Agent installiert ist, ermöglichen Sicherheitswerkzeuge zur Überwachung der Cloud-Laufzeit die Erkennung – und sogar die Verhinderung – von bösartigen Cloud-Operationen, sobald sie auftreten.
Trends bei Warnmeldungen mit hohem Schweregrad
Wir haben einen deutlichen Anstieg der Zahl der Alarme im Jahr 2024 beobachtet, der mit dem Anstieg der Angriffe auf Cloud-Umgebungen korreliert.
Die Zahl der schwerwiegenden Cloud-Warnungen stieg im Jahr 2024 um 235%. Der größte Anstieg in einem einzelnen Monat (281%) war im Mai zu verzeichnen, und den stärksten Anstieg dieser Meldungen (204%, 247% und 122%) stellten wir im August, Oktober und Dezember fest, wie in Abbildung 1 dargestellt.
Abbildung 1. Trends bei schwerwiegenden Alarmen für 2024.
Top 10 der schwerwiegenden Alarme
Ein genauerer Blick auf die Top 10 der häufigsten täglichen Alarme mit hohem Schweregrad zeigt eine hohe Zahl von Alarmen, die sich ausschließlich auf laufzeitbezogene Ereignisse beziehen. Diese Alarme werden durch ein einzelnes Ereignis oder eine Folge von miteinander verbundenen Ereignissen ausgelöst. Dies erforderte eine nahezu Echtzeit-Analyse oder in einigen Fällen eine Echtzeit-Analyse zur Erkennung.
Tabelle 2 unten zeigt, dass die Remote-Befehlszeilennutzung der serverlosen IAM-Tokens ein Ereignis ist, das eine Echtzeit-Protokollanalyse erfordert, um es zu erkennen und möglicherweise zu verhindern. Der häufigste Alarm mit hohem Schweregrad, "Löschschutz für Cloud-Speicher deaktiviert", kann hingegen mit einem CSPM Werkzeug erkannt und mitigiert werden.
| Name der Warnmeldung | Laufzeit- oder Posture-Kontrolle | Durchschnittliche tägliche Anzahl |
| Verwendung von serverlosen Token über die Befehlszeile | Laufzeit | 24.68 |
| Eine Identität hat einen verdächtigen Download von mehreren Cloud-Speicherobjekten durchgeführt | Laufzeit | 21.09 |
| Löschschutz für Cloud-Speicher deaktiviert | Posture und Laufzeit | 20.19 |
| Abnormale Zuweisung von Rechenressourcen in einer großen Zahl von Regionen | Posture und Laufzeit | 11.11 |
| Ein Kubernetes-Knoten-Dienstkonto wurde außerhalb des Clusters von einer Nicht-Cloud-IP verwendet | Posture | 11 |
| Verdächtige Ressourcenzuweisung in mehreren Regionen | Posture und Laufzeit | 10 |
| Export mehrerer Cloud-Snapshots | Laufzeit | 9.33 |
| Entfernte Verwendung der Befehlszeile der serverlosen Rolle | Laufzeit | 7.79 |
| Ungewöhnliche Zuweisung mehrerer Cloud-Rechenressourcen | Posture und Laufzeit | 7.73 |
| Verdächtige Zuweisung von Rechenressourcen in mehreren Regionen | Posture und Laufzeit | 6.42 |
Tabelle 2. Warnmeldungen mit hohem Schweregrad nach durchschnittlichem Auftreten.
Um den Schutz von Cloud-Speicherobjekten innerhalb eines Speichercontainers, dessen Löschschutz deaktiviert wurde, zu gewährleisten, empfehlen wir dringend den Einsatz eines CDR-Werkzeugs. Diese Werkzeuge können das Löschen von Cloud-Speicherobjekten als Folge eines Ereignisses, bei dem der Schutz deaktiviert wurde, erkennen und verhindern.
Zu den sonstigen nennenswerten Warnmeldungen mit hohem Schweregrad gehören mehrere Exporte von Cloud-Snapshots und die verdächtige Verwendung eines IAM-Kontos für einen Dienst. Beides sind Schlüsselindikatoren für bösartige Aktivitäten in einer Cloud-Umgebung.
Beispiele für böswillige Operationen, die mehrere dieser Warnungen auslösen könnten, sind Erpressungen oder Ransomware-Ereignisse, die sich auf die Cloud konzentrieren. Diese Arten von Ereignissen können nur ausgenutzt werden, wenn zunächst die Schutzfunktionen des Cloud-Speichers deaktiviert werden, z. B. den Löschschutz und automatische Backups. Sobald diese Schutzmechanismen entfernt sind, können böswillige Akteure Containerobjekte des Cloud-Speichers löschen oder exfiltrieren, was die Wahrscheinlichkeit einer erfolgreichen Erpressung erhöht.
Einige dieser Warnmeldungen mit hohem Schweregrad könnten auch durch die Kompromittierung von ungeschützten oder anfälligen Serverless- oder Compute-Instance-Ressourcen ausgelöst werden. Speziell im Hinblick auf die Remote-Befehlszeilennutzung eines serverlosen IAM-Tokens sind die serverlosen Funktionen so konzipiert, dass sie autonom und unabhängig arbeiten.
Die entfernte oder unbefugte Nutzung des IAM-Tokens einer serverlosen Funktion deutet auf eine Kompromittierung und mögliche laterale Bewegung innerhalb der Cloud-Umgebung hin. Dieselbe Art von Ereignis könnte auf die böswillige Verwendung eines IAM-Tokens für ein Dienstkonto hinweisen. Da IAM-Tokens für Dienstkonten in der Regel für einen einzigen Zweck bestimmt sind, sollte jede abnormale Verwendung dieses Tokens als verdächtig angesehen werden.
Trends bei Alarmen mittlerer Schwere
Im Gegensatz zu dem Anstieg der Warnmeldungen mit hohem Schweregrad am Jahresende haben wir Mitte 2024 einen anhaltenden Anstieg der Warnmeldungen mit mittlerem Schweregrad gesehen, anfänglich um 186% und anschließend um 24%, bevor ein Abwärtstrend bis Dezember einsetzte, wie Abbildung 2 zeigt.
Abbildung 2. Trends für Alarme mittleren Schweregrads für 2024.
Top 10 der Warnmeldungen mit mittlerem Schweregrad
Die Top 10 der Warnmeldungen mit mittlerem Schweregrad, die in Tabelle 3 unten aufgeführt sind, unterscheiden sich von den Top 10 der Warnmeldungen mit hohem Schweregrad, die in Tabelle 2 oben gelistet sind. Der Hauptunterschied besteht darin, dass bei allen bis auf einen der 10 wichtigsten Alarme mittleren Schweregrads die Ereignisse nur durch eine Form der Analyse des Laufzeitschutzes erkannt werden können.
Das Ereignis "Ungewöhnlicher Datentransfer mit hohem Volumen" kann durch herkömmliche CSPM-Erkennungen von Cloud-Ressourcen ausgelöst werden. Wie bei dem oben beschriebenen schwerwiegenden Ereignis "Cloud-Speicher-Löschschutz deaktiviert" wäre ein CDR-Werkzeug jedoch besser in der Lage, dieses ungewöhnliche Volumenübertragungsereignis zu erkennen, während es auftritt. Es könnte auch die Dateitypen und die Speicherorte der Dateien oder Verzeichnisse im Cloud-Speicher identifizieren. Diese Details versorgen Sicherheitsteams mit den am meisten gewünschten Ressourcen, um ihre Arbeit zu erledigen: Zeit und Wissen.
| Name der Warnmeldung | Laufzeit- oder Posture-Kontrolle | Durchschnittliche tägliche Anzahl |
| Eine IAM-Identität hat mehrere Aktionen auf Ressourcen versucht, die verweigert wurden | Laufzeit | 80 |
| Eine rechnergebundene Identität führte API-Aufrufe außerhalb der Region der Instanz aus | Laufzeit | 36.32 |
| Versuchter Zugriff auf eine Cloud-Anwendung von einem ungewöhnlichen Mandanten | Laufzeit | 21.69 |
| Eine Identität hat einen verdächtigen Download von mehreren Cloud-Speicherobjekten aus mehreren Buckets durchgeführt | Laufzeit | 18.66 |
| Unmögliche Reise durch eine Cloud Compute Identität | Laufzeit | 18.65 |
| Ungewöhnlicher Speicher mit hohem Datenaufkommen | Laufzeit | 15 |
| Aktivität des Kubernetes-Dienstkontos außerhalb des Clusters von einer Nicht-Cloud-IP | Laufzeit | 12.15 |
| Eine Cloud-Anwendung führte mehrere Aktionen aus, die verweigert wurden | Laufzeit | 12.02 |
| Export mehrerer Cloud-Schnappschüsse | Laufzeit | 10 |
| Verdächtige Identität hat mehrere Objekte aus einem Backup-Speicherbereich heruntergeladen | Laufzeit | 9.68 |
Tabelle 3. Warnmeldungen mit mittlerem Schweregrad nach durchschnittlichem Auftreten.
Mehrere der in Tabelle 3 gelisteten Warnungen könnten darauf hindeuten, dass böswillige Akteure sich auf Cloud-Ressourcen wie Kubernetes-Service-Konten außerhalb des Clusters oder von einer Nicht-Cloud-IP-Adresse konzentrieren. Insbesondere diese beiden Warnungen könnten darauf hinweisen, dass die Authentifizierungs-Tokens des Kubernetes-Clusters kompromittiert wurden, da IAM-Tokens für Dienstkonten nur für einen einzigen Zweck bestimmt sind. Jeder Vorgang, bei dem diese Anmeldeinformationen von außerhalb des Clusters – oder außerhalb der bekannten Cloud-Umgebung – verwendet werden, sollte als verdächtige Aktivität betrachtet werden und sollte mitigiert werden.
Ein weiterer wichtiger Hinweis ist der Export von mehreren Cloud-Snapshots. Auch wenn es einen legitimen Anwendungsfall für diese Art von Ereignissen geben kann – wie die Bereitstellung von Snapshots oder ein externes Backup – exportieren Bedrohungsakteure auch Snapshots. Cloud-Snapshots können vertrauliche Informationen enthalten, was sie zu einem häufigen Ziel von böswilligen Operationen macht.
Was Organisationen tun können
Es gibt mehrere Schritte, die Unternehmen umsetzen können, um sich besser vor bösartigen Cloud-Operationen zu schützen:
- Implementieren Sie eine effektive CDR-Laufzeitüberwachung
- Setzen Sie eine CDR Cloud Security für alle Ihre Cloud-Umgebungen ein
- Stellen Sie sicher, dass alle unternehmenskritischen Cloud-Endpunkte über Laufzeit-Agenten verfügen, um Rechen- und Container-Laufzeitoperationen zu erkennen.
- Stellen Sie sicher, dass die Überwachung des Cloud-Audit-Protokolls zur Laufzeit bei Ihrem CSP-Anbieter verfügbar ist.
- Stellen Sie sicher, dass Ihre integrierten Cloud SaaS-Anwendungen sammeln:
- Identitätsdienstleister (IdP)
- CI/CD-Integrationen
- Quellcode-Repositories
- Ticketing-Plattformen
- Setzen Sie Grenzen für CSP-Regionen, in denen Rechen- und serverlose Funktionen betrieben werden dürfen
- Es ist gängige Praxis, dass Bedrohungsakteure Cloud-Ressourcen in fremden CSP-Regionen erstellen, um eine grundlegende Form der Operationsverschleierung durchzuführen
- Identifizieren Sie IAM-Servicekonten und verhindern Sie, dass sie Operationen außerhalb ihrer vorgesehenen Funktionen durchführen.
- Die Einhaltung der Architektur der geringsten Privilegien für IAM Anmeldeinformationen kann bei der Bekämpfung von Lateral Movement und Privilegieneskalation im Falle einer Kompromittierung der IAM Anmeldeinformationen sehr hilfreich sein
- Stellen Sie sicher, dass die Versionierung und Verschlüsselung von Cloud-Speicher für alle Cloud-Speicher-Container vorhanden ist
- Versionierung und Verschlüsselung sind kostenlose Konfigurationen für jeden Cloud-Speichercontainer von jedem der drei großen Cloud-Service-Anbieter
- Diese beiden Funktionen erhöhen ebenfalls erheblich die Schwierigkeiten, auf die Bedrohungsakteure stoßen, wenn sie versuchen, Ihre wertvollen, sensiblen Informationen zu stehlen.
Im Zweifelsfall sollten Sie daran denken, dass die CDR-Laufzeitüberwachung vorhanden sein muss, um die meisten Bedrohungen für Cloud-Umgebungen wirksam zu bekämpfen.
Fazit
Die CDR-Laufzeitüberwachung ist ein entscheidender Aspekt bei der Aufrechterhaltung einer sicheren Cloud-, Hybrid-Cloud- und Multi-Cloud-Umgebung. Wie die in diesem Artikel besprochenen Trenddaten für Alarme mit hohem und mittlerem Schweregrad zeigen, stieg die durchschnittliche Zahl der Alarme in Cloud-Umgebungen im Jahr 2024 um 388%.
Eine beträchtliche Zahl dieser Warnungen ist das direkte Ergebnis der Erkennung von Laufzeitoperationen, die mit Werkzeugen für das Posture Management (CSPM) allein nicht erkannt werden können. CDR Werkzeuge bieten Erkennungsfunktionen für die Cloud-Laufzeit und ermöglichen die Erkennung von bösartigen Ereignissen, die auf Cloud Compute Instanzen, Container Hosts oder serverlosen Funktionen auftreten.
Angesichts der zunehmenden Bedrohungen, die auf Cloud-Umgebungen abzielen, besteht der einzige wirkliche Schutz für diese Umgebungen darin, cloudbasierte Agenten für öffentlich zugängliche und kritische Cloud-Endpunkte, CSP-Audit-Protokollierung und Cloud-SaaS-Anwendungen von Drittanbietern zu verlangen. Mit einem CDR-Analyse-Werkzeug können Sicherheitsteams die Ausführung bösartiger Operationen, die sich auf eine dieser Ressourcen auswirken können, erfassen, erkennen und verhindern. Die Kombination aus Laufzeitüberwachung, Analyse und Reaktion für die Ereignisprotokollierung von Cloud-Ressourcen ist unerlässlich, um sicherzustellen, dass keine bösartigen Funktionen in Cloud-Umgebungen zugelassen werden können.
Wenn Sie glauben, dass Sie kompromittiert worden sind oder ein dringendes Anliegen haben, wenden Sie sich an das Unit 42 Incident Response Team, oder rufen Sie an:
- Nord-Amerika: Gebührenfrei: +1 (866) 486-4842 (866.4.UNIT42)
- UK: +44.20.3743.3660
- Europa und Naher Osten: +31.20.299.3130
- Asien: +65.6983.8730
- Japan: +81.50.1790.0200
- Australien: +61.2.4062.7950
- Indien: 00080005045107
Palo Alto Networks hat diese Erkenntnisse mit den Mitgliedern der Cyber Threat Alliance (CTA) geteilt. CTA-Mitglieder nutzen diese Informationen, um ihre Kunden schnell zu schützen und um böswillige Cyber-Akteure systematisch zu stören. Erfahren Sie mehr über die Cyber Threat Alliance.
Referenzen
- Durchgesickerte Umgebungsvariablen ermöglichen groß angelegte Erpressungsaktionen in Cloud-Umgebungen - Unit 42, Palo Alto Networks
- 2024 Bericht zum Stand der Cloud Native Security - Palo Alto Networks
- Microsoft teilt neueste Erkenntnisse über nordkoreanische und chinesische Bedrohungsakteure auf der CYBERWARCON - Threat Intelligence blog, Microsoft
- Was ist CSPM? | Cloud Security Posture Management Erklärt - Cyberpedia, Palo Alto Networks
- Was ist CDR (Cloud Detection and Response)? - Cyberpedia, Palo Alto Networks
- Definition von Identitäts- und Zugriffsmanagement (IAM) - Gartner Informationstechnologie-Glossar
Erhalten Sie Updates von Unit 42 