1
Aktuelle Bedrohungslage
Cloud Security
2
• Ausgangslage• Beispiele aktueller Angriffe• Das Cloud Modell und (exemplarische) Schwachstellen• Grundsätzliche Bedrohungen• Topbedrohungen und Risiken
2
3
Entwicklung der Cloud-Nutzung (Studie McAfee 2018)
3
83 % speichern vertrauliche Daten in der öffentlichen Cloud.
Nur 69 % vertrauen darauf, dass die vertraulichen Daten in der
öffentlichen Cloud geschützt sind.
4
Anteil kritischer Datenspeicherungen in der Public Cloud nimmt zu
4
Welche der folgenden Daten speichert Ihr Unternehmen in der Public Cloud?
Cloud-Monitor 2019, Eine Studie von Bitkom Research im Auftrag von KPMG
5
Cloud Computing:Millionen von Angriffsversuchen
(Amazon-Web-Services)
Experiment: 40 Minuten im Durchschnitt bis zum ersten Angriff
Quelle: Exposed: Cyberattacks on Cloud Honeypots, Matt Boddy, Sophos 2019
6
Erfolgreiche Angriffe gegen mehrere Provider (global)
• Operation Cloud Hopper • Globale Serie von nachhaltigen Angriffen auf
Cloud Provider und deren Kunden. • Opfer u.a.: NTT Data, NTT-Data-Tochter
Dimension Data, Tata Consulting, Fujitsu, Computer Sciences Corporation, DXC Technology, HPE und IBM
7
Erfolgreicher Angriffe gegen (Juli 2019)
• Am 2. Juli 2019 wurde PCM, ein grosser Cloud-Service-Provider, mit einer Reihe von Hackerangriffen konfrontiert.
• Eine unbekannte Hackergruppe konnte die Cloud-Dienste des PCM mit einem massgeschneidertenMalware-Stamm infizieren, den die Forscher Mimikatz nennen.
• Diese spezielle Malware greift auf den Speicher des infizierten Systems zu und sammelt Anmeldeinformationen, einschliesslich Benutzernamen und Passwörter.
• Die Hacker schafften es, Zahlungsabwicklungsdienste, Geldtransferdienste und Clearingstellen zu missbrauchen
8
Erfolgreicher Angriff gegen (März 2019)
• Datensätze von über 100 Millionen Kunden der Bank wurden entwendet • u.a. 140,000 Sozialversicherungsnummern und 80,000 Bankverbindungen
• Laut 'Wall Street Journal' konnte die Hackerin durch eine falsch konfigurierte Firewall auf den Metadatenservice von AWS zugreifen.
• In diesem sind Credentials und weitere Daten gespeichert, die für die Verwaltung von Servern in der Cloud erforderlich sind.
• Mit diesen Informationen konnte die ehemalige AWS-Entwicklerin dann die Bankdaten von Capital One aus der Cloud herunterladen.
• Fehler lag bei der Bank, Fehlkonfiguration bei IaaS Nutzung
• Schäden: 100-150 Mio Dollar
9
Erfolgreicher Angriff in der Schweiz: (Februar 2019)
• Ransomware-Angriff auf die Server des Baarer Cloud-Providers Meta10 bringt den «Secure Cloud»-Service des Unternehmens mit 40 Mitarbeitenden zum Erliegen.
• Die benutzte Ransomware «GandCrab V5.2» verschlüsselt nach und nach Dateien und Datenbanken. Zudem hinterlasse er detaillierte Anweisungen, wie mit den Hackern zwecks Bezahlung eines «Lösegelds» für die Entschlüsselungscodes Kontakt aufgenommen werden solle.
• Die Firma geht davon aus, dass die Angreifer die Systeme über einen längeren Zeitraum analysierten und nach Angriffspunkten durchsuchten, bevor die Verschlüsselung gestartet wurde.
10
Sicherheitsvorfälle keine Einzelfälle
102019 CLOUD SECURITY REPORT Cybersecurity Insiders
2019 CLOUD SECURITY REPORT Cybersecurity Insiders
11
Sicherheitsvorfälle keine Einzelfälle
11
Cloud-Monitor 2019, Eine Studie von Bitkom Research im Auftrag von KPMG
Waren die Cloud-Services Ihres Unternehmens schon einmal Ziel eines Cyber-Angriffs?
Cloud Security 2019 von IDG Research Services
12
NIST Cloud Model
13
NIST Cloud Model: exemplarische Schwachstellen
Schwache Authentisierung & Autorisierung
Geringe Kontroll-möglichkeiten
Hohe AbhängigkeitenHohe Exposition
Schwache Isolation, Unsichere (Web-)Applikationen
14
Bedrohungen für die Cloud-Infrastruktur und den Cloud-Dienst
• Datenverlust bzw. Informationsabfluss
• Beeinflussung der verschiedenen Nutzer in der gemeinsamen (shared) Cloud-Infrastruktur bis hin zu Angriffen aus der Cloud heraus.
• Ausfall der Internet- oder Netzverbindung
• Denial-of-Service Angriffe auf Cloud-Anbieter
• Fehler in der Cloud-Administration
Grundsätzliche Bedrohungen (nach BSI)Bedrohungen bei der Nutzung von Cloud-Diensten
• Identitätsdiebstahl bzw. Missbrauch von Accounts
• Verlust der Kontrolle über Daten und Anwendungen
• Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen)
• Ungenügende Sicherheit der Endgeräte
• Daten können über das Netz abgefangen und (bei schlechter oder nicht vorhandener Verschlüsselung) ausgespäht werden.
15
Bedrohungen für die Cloud-Infrastruktur und den Cloud-Dienst
• Datenverlust bzw. Informationsabfluss
• Beeinflussung der verschiedenen Nutzer in der gemeinsamen (shared) Cloud-Infrastruktur bis hin zu Angriffen aus der Cloud heraus.
• Ausfall der Internet- oder Netzverbindung
• Denial-of-Service Angriffe auf Cloud-Anbieter
• Fehler in der Cloud-Administration
Grundsätzliche Bedrohungen (nach BSI)Bedrohungen bei der Nutzung von Cloud-Diensten
• Identitätsdiebstahl bzw. Missbrauch von Accounts
• Verlust der Kontrolle über Daten und Anwendungen
• Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen)
• Sicherheit der Endgeräte
• Daten können über das Netz abgefangen und (bei schlechter oder nicht vorhandener Verschlüsselung) ausgespäht werden.
Extra:Angriffe auf die Cloud
und Anwender
Intra:Angriffe von einer Partei
auf eine andere
Inter:Angriffe von einer Cloud
auf eine andere Cloud
Meta:Verwendung der Cloud zur Kontrolle anderer
16
• Service-, Admin- und User-Interfaces von Diensten in der Cloud • Primäre Angriffsziele von «aussen» erreichbar schwierig zu kontrollieren
• Leiden an denselben Schwachstellen, wie inhouse-betriebene Dienste • Mangelnde Inputvalidierung• Ungenügende Best-Practices: • Ungenügende Authentisierung• Fehlerhafte Autorisierung
Extra: Angriffe auf die Cloud
16
17
• Virtualisierer (Hypervisor, Virtual Machine Monitors)• nur eine logische Isolation
• Leiden an Schwachstellen und bieten Verwundbarkeiten
• Verwundbarkeiten können ausgenutzt werden Zum Zugriff auf die Kontrollfunktionen
Zum Zugriff auf andere Systeme auf demselben System
Zum Zugriff auf System-Netzwerkverkehr
Intra: Angriffe von einer Partei auf eine andere
17
18
• Direkte Angriffe aus der Cloud sind grundsätzlich möglich. • Jedoch Überwachung und Limitierungen
• Monitoring durch Cloud Provider
• Traffic-Limitierungen durch Cloud Provider
• Angriffe à la Advanced Persistent Threats (APT)
Nur bedingt erkennbar
«Low-volume – below radar»
Inter: Angriffe aus der Cloud
18
19
Aktuelle Top Bedrohungen & Risiken
Quelle: https://www.veritis.com/blog/top-15-cloud-security-threats-risks-concerns-solutions/
Quelle: https://cloudsecurityalliance.org/research/working-groups/top-threats/
20
BACKUP
20
21
Aktuelle Top Bedrohungen (Public) Cloud
21
2019 CLOUD SECURITY REPORT Cybersecurity Insiders
22
Cloud Computing Systeme
Infrastruktur
Physikalische Sicherheit
Host
Virtualisierung
Netzwerk
Anwendung und Plattform
Datensicherheit
Anwendungs-sicherheit
Plattformsicherheit
Sicherheit als Service
Verwaltung / Cloud Management
Phasen der Service Nutzung
Prüfung
Identitäts- und Rechteverwaltung
Interoperabilität und Portabilität
Compliance
Datenschutz
Risikomanagement
Rechtlicher Rahmen
Governance
Sicherheitsaspekte des Cloud Computings
22
Quelle: CLOUD COMPUTING SICHERHEIT, SCHUTZZIELE.TAXONOMIE.MARKTÜBERSICHT, FRAUNHOFER RESEARCH INSTITUTION AISEC 2009
23
Verantwortung in der Cloud
23
24
Aufbau der Cloud
24
1
25
Referenzarchitektur für Cloud Computing Plattformen
25
Quelle: Dr. Clemens Doubrava, BSI
2626Quelle: https://www.ibm.com/de-de/cloud/compliance
Verantwortung in der Cloud
27
Risiken der Cloud-Nutzung (vorwiegend Public Cloud)
27
Verlust der Kontrolle über die Daten und Anwendungen Datenverlust bzw. Informationsabfluss
Identitätsdiebstahl bzw. Missbrauch von Accounts Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen) Viele, unbekannte Nutzer teilen sich eine gemeinsame Infrastruktur.
Risiko für die Informationssicherheit steigt. Ausfall der Internetverbindung macht den Zugriff unmöglichZunahme von Denial-of-Service Angriffen auf Cloud-Anbieter
Sehr hohe Komplexität kann zu erheblichen Sicherheitsproblemen führen(Dienstausfall, Datenverlust, etc.)
28
• Keine Strategie→ nicht klar was mit Cloud Computing erreicht werden soll
• Mangelhafte Planung→ Cloud Projekt scheitert, da kritische Schritte nicht erkannt wurden
• Ungenaue Definition vom Cloud Service → Gap • Illusorische Annahmen
→ „geschönte“ Kosten-Nutzen-Analysen führen zu finanziellen Einbußen • Kurzfristiges Denken (nicht nur finanziell)
→ Weg aus der Cloud oder in eine andere nicht berücksichtigt. • Unterschätzen der Abhängigkeiten
→ Wird die Flexibilität starr? Geringe eigene Eingriffsmöglichkeiten• Notfall? Welcher Notfall? Die Cloud ist doch immer da!
Organisatorischen Risiken bei Cloud-Nutzung
28
29
IaaS• Diebstahl in der Cloud-Infrastruktur gehosteter Daten durch
böswilligen Akteur.• Fehlender Einblick darin, welche Daten sich in der Cloud befinden• Cloud-Workloads und Konten werden ohne Wissen der IT erstellt
(Schatten-IT)• Hochentwickelte Bedrohungen und APT Angriffe auf Cloud-
Infrastrukturen• Unvollständige Kontrolle darüber, wer auf vertrauliche Daten
zugreifen kann• Fehlende Möglichkeit zur Verhinderung von Datendiebstahl oder -
missbrauch durch böswillige Insider• Fehlende konsistente Sicherheitskontrollen für Multi-Cloud- und
lokale Umgebungen• Fehlende Fachkräfte zur Absicherung der Cloud-Infrastruktur
Top 10 Cloud Security Probleme
29
SaaS• Diebstahl von Daten aus einer Cloud-Anwendung durch böswilligen
Akteur• Hochentwickelte Bedrohungen und Angriffe auf Anbieter von Cloud-
Anwendungen• Fehlende Möglichkeit zur Überwachung übertragener Daten zu und
von Cloud-Anwendungen• Fehlender Einblick darin, welche Daten sich in Cloud-Anwendungen
befinden• Cloud-Anwendungen werden ohne Wissen der IT bereitgestellt
(Schatten-IT)• Unvollständige Kontrolle darüber, wer auf vertrauliche Daten
zugreifen kann• Fehlende Möglichkeit zur Verhinderung von Datendiebstahl oder -
missbrauch durch böswillige Insider• Fehlende Fachkräfte zur Verwaltung der Sicherheit von Cloud-
Anwendungen
30
Anwender-Risikoprofile im Überblick
31
• Steuerungs- und Kontrollverlust• mangelnde Transparenz
kein Einblick in Betriebs- oder Sicherheitskonzepte
unklare oder unvollständige Vertragsbedingungen
keine Kontrolle über Outsourcing-/Vertragspartner
keine Benachrichtigung bei Sicherheitsvorfällen
• Reaktion auf Auditfeststellungen nicht möglich
• unvereinbare Sicherheits- und Compliance-Anforderungen von Kunde(n) und Provider
• eingeschränkte Besitz- und Nutzungsrechte an Daten und Applikationen (“Software Escrow”)
• Machtungleichgewicht Provider vs. Kunde
• Malicious Insider beim Provider
Anwender-Risiken Public Cloud
32
• Lock-In• Was passiert bei...
Vertragsänderungen zu Ungunsten des Kunden?
Insolvenz oder Übernahme des Providers (“Bank Run”)?
• Migration von Daten und Anwendungen möglich?
• Offene, standardisierte Schnittstellen und Datenformate vorhanden?
• Lock-In liegt im Interesse des Providers
• Isolationsversagen• Kompromittierung des Hypervisors, Guest Hopping, Datenremanenz, Network Sniffing
Anwender-Risiken Public Cloud
33
• Compliance-Risiken• Regulatorien sind nicht oder noch nicht vollständig an• Cloud Computing angepasst (z.B. PCI-DSS)• Provider kann Compliance nicht nachweisen• Provider erlaubt keine Überprüfung (Audit) oder Zertifizierung
• Datenschutz-Risiken• Rechtliche Risiken
• Änderungen des Gesetzgebers / der Rechtsprechung• Unterschiedliche Rechtsordnungen• Fehlende Rechtsschutzstandards: Durchsuchung / Beschlagnahme• Lizenzrisiken
• „Legaler Zugriff“ durch innerstaatliche Behörden oder Dritte nach nationalem Recht des Providers
Anwender-Risiken Public Cloud
34
• Unsicheres oder unvollständiges Löschen von Daten• Sicheres Löschen vs. Pooling und Elastizität
• Erschöpfung der Ressourcen des Providers• Fehlerhafte Modellierung des Bedarfs oder unzureichende Investitionen
• Kompromittierung der Management-Schnittstelle• häufig webbasiert, damit anfällig für typische Schwachstellen in Webapplikationen (z.B. OWASP Top 10) und Webservices
• Schäden durch Aktivitäten anderer Mandanten• Finanzieller Schaden oder Reputationsverlust
• Economic Denial of Service (EDoS)• Verbrauch von Ressourcen zum Schaden des Kunden
• Verfügbarkeitsrisiko durch Netzausfall oder DDoS• Unvorhergesehener Service-Stop
Anwender-Risiken Public Cloud
35
Zunehmend positive Auswirkungen derCloud auf die Datensicherheit Bitte beurteilen Sie die tatsächlichen Auswirkungen von Public Cloud Computing für Ihr Unternehmen
Cloud-Monitor 2019, Eine Studie von Bitkom Research im Auftrag von KPMG
36
Grundsätzliche Anatomie eines APT Angriffes
Quelle: Frédéric De Pauw, Cyber Attacks Methodologies, NRB