Hacker haben es auf Daten in der Public Cloud abgesehen. Der Zugriff gelingt ihnen oft, weil Nutzer mit Zugangsschlüsseln nicht achtsam genug umgehen.
Gerade Developer-Plattformen wie GitHub sind eine wesentliche Quelle solcher Schlüssel, erklärt der Security-Spezialist Radware in einer Pressemitteilung. Auf diesen legen Mitglieder der DevOps-Teams häufig vertrauliche Informationen ab, die sich in Skripten oder Konfigurationsdateien befinden. Dies nutzen Hacker aus: Sie führen automatisierte Scans auf solchen Quelltext-Datenbanken (Repositories) durch, um ungeschützte Schlüssel zu finden. Mit diesen erhalten sie direkten Zugriff auf die exponierte Cloud-Umgebung: Tür und Tor stehen offen für Datendiebstahl, Accountübernahme und Ressourcenausbeutung.
Letztere äußert sich beispielsweise darin, dass Hacker in einem gekaperten Cloud-Konto, etwa bei AWS oder in der Google Cloud, multiple Instanzen starten, um Kryptowährungen zu schürfen. Da die Abrechnung in der Public Cloud nach dem „pay as you go“-Prinzip erfolgt, also die tatsächliche Nutzung berechnet wird, muss der Besitzer des Cloud-Kontos nun die hohe Rechnung für die zusätzlichen Ressourcen bezahlen.
Weitere Quellen für Hacker sind unter anderem Fehlkonfiguration von Cloud-Ressourcen, die solche Schlüssel enthalten, Kompromittierung von Drittanbietern, die über Zugangsdaten verfügen, Exposition durch Client-seitigen Code, der Schlüssel enthält oder gezielte Spear-Phishing-Angriffe gegen DevOps-Mitarbeiter.
Namhafte Auto- und Software-Hersteller sowie Internet-Unternehmen finden sich unter den Opfern. Der Schaden beläuft sich auf vier- bis fünfstellige Beträge pro Tag. Aus diesem Grunde hat Amazon sogar eine spezielle Supportseite für Entwickler eingerichtet, die versehentlich ihre Zugangsschlüssel preisgegeben haben.
Public Cloud Security – Tipps für Unternehmen
Um solche Fälle zu reduzieren, können Unternehmen drei Schritte für eine bessere Public Cloud Security befolgen:
Vom Worst Case ausgehen
Unternehmen sollten natürlich alles daransetzen, ihre Zugangsdaten zu schützen. Gleichzeitig müssen sie sich aber auch dessen bewusst sein, dass es eine Vielzahl von Möglichkeiten für Hacker gibt, sich Zugriff auf diese Daten zu verschaffen. Sie sollten jederzeit davon ausgehen, dass ihre Anmeldeinformationen publik sind und eine aktive Schadensbegrenzung vornehmen.
Berechtigungen einschränken
Die Hauptvorteile der Migration in die Cloud sind die Agilität und Flexibilität, die Cloud-Umgebungen bieten, wenn es um die Bereitstellung von Compute-Ressourcen geht. Um diese Flexibilität zu gewährleisten, erteilen Administratoren häufig pauschale Berechtigungen. Viele der Nutzer benötigen und verwenden diese Berechtigungen jedoch gar nicht. Demgegenüber bietet die Vielzahl der verfügbaren (aber nicht genutzten) Zugänge sehr viele Angriffspunkte. Unternehmen sollten daher diese Berechtigungen nach dem Prinzip der geringsten Privilegien begrenzen.
Die Früherkennung ist entscheidend
Als weiterer Schritt dient die Implementierung von Maßnahmen, um die Benutzeraktivität auf potenziell schädliches Verhalten zu überwachen. Diese suchen nach Indikatoren für ein solches Verhalten, korrelieren diese und warnen vor potenziell bösartigen Aktivitäten. Dies kann beispielsweise die erstmalige Verwendung von APIs, der Zugriff von ungewöhnlichen Orten aus, der Zugriff zu ungewöhnlichen Zeiten, verdächtige Kommunikationsmuster oder die Exposition von Daten oder Ressourcen sein.
