1

Aktuelle Bedrohungslage

Cloud Security

2

• Ausgangslage• Beispiele aktueller Angriffe• Das Cloud Modell und (exemplarische) Schwachstellen• Grundsätzliche Bedrohungen• Topbedrohungen und Risiken

2

3

Entwicklung der Cloud-Nutzung (Studie McAfee 2018)

3

83 % speichern vertrauliche Daten in der öffentlichen Cloud.

Nur 69 % vertrauen darauf, dass die vertraulichen Daten in der

öffentlichen Cloud geschützt sind.

4

Anteil kritischer Datenspeicherungen in der Public Cloud nimmt zu

4

Welche der folgenden Daten speichert Ihr Unternehmen in der Public Cloud?

Cloud-Monitor 2019, Eine Studie von Bitkom Research im Auftrag von KPMG

5

Cloud Computing:Millionen von Angriffsversuchen

(Amazon-Web-Services)

Experiment: 40 Minuten im Durchschnitt bis zum ersten Angriff

Quelle: Exposed: Cyberattacks on Cloud Honeypots, Matt Boddy, Sophos 2019

6

Erfolgreiche Angriffe gegen mehrere Provider (global)

• Operation Cloud Hopper • Globale Serie von nachhaltigen Angriffen auf

Cloud Provider und deren Kunden. • Opfer u.a.: NTT Data, NTT-Data-Tochter

Dimension Data, Tata Consulting, Fujitsu, Computer Sciences Corporation, DXC Technology, HPE und IBM

7

Erfolgreicher Angriffe gegen (Juli 2019)

• Am 2. Juli 2019 wurde PCM, ein grosser Cloud-Service-Provider, mit einer Reihe von Hackerangriffen konfrontiert.

• Eine unbekannte Hackergruppe konnte die Cloud-Dienste des PCM mit einem massgeschneidertenMalware-Stamm infizieren, den die Forscher Mimikatz nennen.

• Diese spezielle Malware greift auf den Speicher des infizierten Systems zu und sammelt Anmeldeinformationen, einschliesslich Benutzernamen und Passwörter.

• Die Hacker schafften es, Zahlungsabwicklungsdienste, Geldtransferdienste und Clearingstellen zu missbrauchen

8

Erfolgreicher Angriff gegen (März 2019)

• Datensätze von über 100 Millionen Kunden der Bank wurden entwendet • u.a. 140,000 Sozialversicherungsnummern und 80,000 Bankverbindungen

• Laut 'Wall Street Journal' konnte die Hackerin durch eine falsch konfigurierte Firewall auf den Metadatenservice von AWS zugreifen.

• In diesem sind Credentials und weitere Daten gespeichert, die für die Verwaltung von Servern in der Cloud erforderlich sind.

• Mit diesen Informationen konnte die ehemalige AWS-Entwicklerin dann die Bankdaten von Capital One aus der Cloud herunterladen.

• Fehler lag bei der Bank, Fehlkonfiguration bei IaaS Nutzung

• Schäden: 100-150 Mio Dollar

9

Erfolgreicher Angriff in der Schweiz: (Februar 2019)

• Ransomware-Angriff auf die Server des Baarer Cloud-Providers Meta10 bringt den «Secure Cloud»-Service des Unternehmens mit 40 Mitarbeitenden zum Erliegen.

• Die benutzte Ransomware «GandCrab V5.2» verschlüsselt nach und nach Dateien und Datenbanken. Zudem hinterlasse er detaillierte Anweisungen, wie mit den Hackern zwecks Bezahlung eines «Lösegelds» für die Entschlüsselungscodes Kontakt aufgenommen werden solle.

• Die Firma geht davon aus, dass die Angreifer die Systeme über einen längeren Zeitraum analysierten und nach Angriffspunkten durchsuchten, bevor die Verschlüsselung gestartet wurde.

10

Sicherheitsvorfälle keine Einzelfälle

102019 CLOUD SECURITY REPORT Cybersecurity Insiders

2019 CLOUD SECURITY REPORT Cybersecurity Insiders

11

Sicherheitsvorfälle keine Einzelfälle

11

Cloud-Monitor 2019, Eine Studie von Bitkom Research im Auftrag von KPMG

Waren die Cloud-Services Ihres Unternehmens schon einmal Ziel eines Cyber-Angriffs?

Cloud Security 2019 von IDG Research Services

12

NIST Cloud Model

13

NIST Cloud Model: exemplarische Schwachstellen

Schwache Authentisierung & Autorisierung

Geringe Kontroll-möglichkeiten

Hohe AbhängigkeitenHohe Exposition

Schwache Isolation, Unsichere (Web-)Applikationen

14

Bedrohungen für die Cloud-Infrastruktur und den Cloud-Dienst

• Datenverlust bzw. Informationsabfluss

• Beeinflussung der verschiedenen Nutzer in der gemeinsamen (shared) Cloud-Infrastruktur bis hin zu Angriffen aus der Cloud heraus.

• Ausfall der Internet- oder Netzverbindung

• Denial-of-Service Angriffe auf Cloud-Anbieter

• Fehler in der Cloud-Administration

Grundsätzliche Bedrohungen (nach BSI)Bedrohungen bei der Nutzung von Cloud-Diensten

• Identitätsdiebstahl bzw. Missbrauch von Accounts

• Verlust der Kontrolle über Daten und Anwendungen

• Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen)

• Ungenügende Sicherheit der Endgeräte

• Daten können über das Netz abgefangen und (bei schlechter oder nicht vorhandener Verschlüsselung) ausgespäht werden.

15

Bedrohungen für die Cloud-Infrastruktur und den Cloud-Dienst

• Datenverlust bzw. Informationsabfluss

• Beeinflussung der verschiedenen Nutzer in der gemeinsamen (shared) Cloud-Infrastruktur bis hin zu Angriffen aus der Cloud heraus.

• Ausfall der Internet- oder Netzverbindung

• Denial-of-Service Angriffe auf Cloud-Anbieter

• Fehler in der Cloud-Administration

Grundsätzliche Bedrohungen (nach BSI)Bedrohungen bei der Nutzung von Cloud-Diensten

• Identitätsdiebstahl bzw. Missbrauch von Accounts

• Verlust der Kontrolle über Daten und Anwendungen

• Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen)

• Sicherheit der Endgeräte

• Daten können über das Netz abgefangen und (bei schlechter oder nicht vorhandener Verschlüsselung) ausgespäht werden.

Extra:Angriffe auf die Cloud

und Anwender

Intra:Angriffe von einer Partei

auf eine andere

Inter:Angriffe von einer Cloud

auf eine andere Cloud

Meta:Verwendung der Cloud zur Kontrolle anderer

16

• Service-, Admin- und User-Interfaces von Diensten in der Cloud • Primäre Angriffsziele von «aussen» erreichbar schwierig zu kontrollieren

• Leiden an denselben Schwachstellen, wie inhouse-betriebene Dienste • Mangelnde Inputvalidierung• Ungenügende Best-Practices: • Ungenügende Authentisierung• Fehlerhafte Autorisierung

Extra: Angriffe auf die Cloud

16

17

• Virtualisierer (Hypervisor, Virtual Machine Monitors)• nur eine logische Isolation

• Leiden an Schwachstellen und bieten Verwundbarkeiten

• Verwundbarkeiten können ausgenutzt werden Zum Zugriff auf die Kontrollfunktionen

Zum Zugriff auf andere Systeme auf demselben System

Zum Zugriff auf System-Netzwerkverkehr

Intra: Angriffe von einer Partei auf eine andere

17

18

• Direkte Angriffe aus der Cloud sind grundsätzlich möglich. • Jedoch Überwachung und Limitierungen

• Monitoring durch Cloud Provider

• Traffic-Limitierungen durch Cloud Provider

• Angriffe à la Advanced Persistent Threats (APT)

Nur bedingt erkennbar

«Low-volume – below radar»

Inter: Angriffe aus der Cloud

18

19

Aktuelle Top Bedrohungen & Risiken

Quelle: https://www.veritis.com/blog/top-15-cloud-security-threats-risks-concerns-solutions/

Quelle: https://cloudsecurityalliance.org/research/working-groups/top-threats/

20

BACKUP

20

21

Aktuelle Top Bedrohungen (Public) Cloud

21

2019 CLOUD SECURITY REPORT Cybersecurity Insiders

22

Cloud Computing Systeme

Infrastruktur

Physikalische Sicherheit

Host

Virtualisierung

Netzwerk

Anwendung und Plattform

Datensicherheit

Anwendungs-sicherheit

Plattformsicherheit

Sicherheit als Service

Verwaltung / Cloud Management

Phasen der Service Nutzung

Prüfung

Identitäts- und Rechteverwaltung

Interoperabilität und Portabilität

Compliance

Datenschutz

Risikomanagement

Rechtlicher Rahmen

Governance

Sicherheitsaspekte des Cloud Computings

22

Quelle: CLOUD COMPUTING SICHERHEIT, SCHUTZZIELE.TAXONOMIE.MARKTÜBERSICHT, FRAUNHOFER RESEARCH INSTITUTION AISEC 2009

23

Verantwortung in der Cloud

23

24

Aufbau der Cloud

24

1

25

Referenzarchitektur für Cloud Computing Plattformen

25

Quelle: Dr. Clemens Doubrava, BSI

2626Quelle: https://www.ibm.com/de-de/cloud/compliance

Verantwortung in der Cloud

27

Risiken der Cloud-Nutzung (vorwiegend Public Cloud)

27

Verlust der Kontrolle über die Daten und Anwendungen Datenverlust bzw. Informationsabfluss

Identitätsdiebstahl bzw. Missbrauch von Accounts Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen) Viele, unbekannte Nutzer teilen sich eine gemeinsame Infrastruktur.

Risiko für die Informationssicherheit steigt. Ausfall der Internetverbindung macht den Zugriff unmöglichZunahme von Denial-of-Service Angriffen auf Cloud-Anbieter

Sehr hohe Komplexität kann zu erheblichen Sicherheitsproblemen führen(Dienstausfall, Datenverlust, etc.)

28

• Keine Strategie→ nicht klar was mit Cloud Computing erreicht werden soll

• Mangelhafte Planung→ Cloud Projekt scheitert, da kritische Schritte nicht erkannt wurden

• Ungenaue Definition vom Cloud Service → Gap • Illusorische Annahmen

→ „geschönte“ Kosten-Nutzen-Analysen führen zu finanziellen Einbußen • Kurzfristiges Denken (nicht nur finanziell)

→ Weg aus der Cloud oder in eine andere nicht berücksichtigt. • Unterschätzen der Abhängigkeiten

→ Wird die Flexibilität starr? Geringe eigene Eingriffsmöglichkeiten• Notfall? Welcher Notfall? Die Cloud ist doch immer da!

Organisatorischen Risiken bei Cloud-Nutzung

28

29

IaaS• Diebstahl in der Cloud-Infrastruktur gehosteter Daten durch

böswilligen Akteur.• Fehlender Einblick darin, welche Daten sich in der Cloud befinden• Cloud-Workloads und Konten werden ohne Wissen der IT erstellt

(Schatten-IT)• Hochentwickelte Bedrohungen und APT Angriffe auf Cloud-

Infrastrukturen• Unvollständige Kontrolle darüber, wer auf vertrauliche Daten

zugreifen kann• Fehlende Möglichkeit zur Verhinderung von Datendiebstahl oder -

missbrauch durch böswillige Insider• Fehlende konsistente Sicherheitskontrollen für Multi-Cloud- und

lokale Umgebungen• Fehlende Fachkräfte zur Absicherung der Cloud-Infrastruktur

Top 10 Cloud Security Probleme

29

SaaS• Diebstahl von Daten aus einer Cloud-Anwendung durch böswilligen

Akteur• Hochentwickelte Bedrohungen und Angriffe auf Anbieter von Cloud-

Anwendungen• Fehlende Möglichkeit zur Überwachung übertragener Daten zu und

von Cloud-Anwendungen• Fehlender Einblick darin, welche Daten sich in Cloud-Anwendungen

befinden• Cloud-Anwendungen werden ohne Wissen der IT bereitgestellt

(Schatten-IT)• Unvollständige Kontrolle darüber, wer auf vertrauliche Daten

zugreifen kann• Fehlende Möglichkeit zur Verhinderung von Datendiebstahl oder -

missbrauch durch böswillige Insider• Fehlende Fachkräfte zur Verwaltung der Sicherheit von Cloud-

Anwendungen

30

Anwender-Risikoprofile im Überblick

31

• Steuerungs- und Kontrollverlust• mangelnde Transparenz

kein Einblick in Betriebs- oder Sicherheitskonzepte

unklare oder unvollständige Vertragsbedingungen

keine Kontrolle über Outsourcing-/Vertragspartner

keine Benachrichtigung bei Sicherheitsvorfällen

• Reaktion auf Auditfeststellungen nicht möglich

• unvereinbare Sicherheits- und Compliance-Anforderungen von Kunde(n) und Provider

• eingeschränkte Besitz- und Nutzungsrechte an Daten und Applikationen (“Software Escrow”)

• Machtungleichgewicht Provider vs. Kunde

• Malicious Insider beim Provider

Anwender-Risiken Public Cloud

32

• Lock-In• Was passiert bei...

Vertragsänderungen zu Ungunsten des Kunden?

Insolvenz oder Übernahme des Providers (“Bank Run”)?

• Migration von Daten und Anwendungen möglich?

• Offene, standardisierte Schnittstellen und Datenformate vorhanden?

• Lock-In liegt im Interesse des Providers

• Isolationsversagen• Kompromittierung des Hypervisors, Guest Hopping, Datenremanenz, Network Sniffing

Anwender-Risiken Public Cloud

33

• Compliance-Risiken• Regulatorien sind nicht oder noch nicht vollständig an• Cloud Computing angepasst (z.B. PCI-DSS)• Provider kann Compliance nicht nachweisen• Provider erlaubt keine Überprüfung (Audit) oder Zertifizierung

• Datenschutz-Risiken• Rechtliche Risiken

• Änderungen des Gesetzgebers / der Rechtsprechung• Unterschiedliche Rechtsordnungen• Fehlende Rechtsschutzstandards: Durchsuchung / Beschlagnahme• Lizenzrisiken

• „Legaler Zugriff“ durch innerstaatliche Behörden oder Dritte nach nationalem Recht des Providers

Anwender-Risiken Public Cloud

34

• Unsicheres oder unvollständiges Löschen von Daten• Sicheres Löschen vs. Pooling und Elastizität

• Erschöpfung der Ressourcen des Providers• Fehlerhafte Modellierung des Bedarfs oder unzureichende Investitionen

• Kompromittierung der Management-Schnittstelle• häufig webbasiert, damit anfällig für typische Schwachstellen in Webapplikationen (z.B. OWASP Top 10) und Webservices

• Schäden durch Aktivitäten anderer Mandanten• Finanzieller Schaden oder Reputationsverlust

• Economic Denial of Service (EDoS)• Verbrauch von Ressourcen zum Schaden des Kunden

• Verfügbarkeitsrisiko durch Netzausfall oder DDoS• Unvorhergesehener Service-Stop

Anwender-Risiken Public Cloud

35

Zunehmend positive Auswirkungen derCloud auf die Datensicherheit Bitte beurteilen Sie die tatsächlichen Auswirkungen von Public Cloud Computing für Ihr Unternehmen

Cloud-Monitor 2019, Eine Studie von Bitkom Research im Auftrag von KPMG

36

Grundsätzliche Anatomie eines APT Angriffes

Quelle: Frédéric De Pauw, Cyber Attacks Methodologies, NRB