Executive Summary

In einer Überprüfung der kürzlich beobachteten Angriffsmethoden hat die Insikt Group fünf Angriffsvektoren identifiziert, die derzeit die größte potenzielle Bedrohung für Cloud-Umgebungen darstellen. Drei dieser Angriffsmethoden, die Ausnutzung von Schwachstellen, die Fehlkonfiguration von Endpunkten und der Missbrauch von Anmeldeinformationen, die zur Kontoübernahme führen, können Bedrohungsakteuren ersten Zugriff gewähren. Unter bestimmten Umständen können diese drei Angriffsmethoden auch nach dem ersten Zugriff eingesetzt werden, um erweiterte Berechtigungen innerhalb einer Cloud-Umgebung zu erhalten, die Cloud-Umgebung zu modifizieren und laterale Bewegungen zu ermöglichen, entweder in zusätzliche Cloud-Umgebungen, traditionelle On-Premise-Umgebungen oder Benutzergeräte. Die beiden verbleibenden Angriffsmethoden, Cloud-Missbrauch und Cloud-Ransomware, zeigen Wirkungsaktionen, die Bedrohungsakteure in einer Cloud-Umgebung ausführen können.

Die Suche nach jeder dieser Bedrohungen erfordert häufig die Implementierung einer robusten Protokollierung in Cloud-Umgebungen, um sicherzustellen, dass Daten wie Netzwerkkommunikation, Benutzerzugriff und Metriken zur Nutzung von Cloud-Diensten leicht zugänglich sind und auf Abweichungen überprüft werden können. Protokolldaten helfen sowohl bei der proaktiven Erkennung verdächtiger Aktivitäten, die ihren Ursprung am Rand von Cloud-Umgebungen haben, z. B. in Fällen, in denen Fehlkonfigurationen und Schwachstellenscans auftreten, als auch bei der Identifizierung von Fällen, in denen Cloud-Konten und -Ressourcen für böswillige Zwecke missbraucht werden.

Um Bedrohungen durch Auswirkungen auf Cloud-Umgebungen zu minimieren, ist eine ordnungsgemäße Konfiguration der Umgebung von größter Bedeutung, sowohl am Rand der Cloud-Umgebung, einschließlich der Methoden, mit denen Benutzer und Dienste mit der Umgebung interagieren, als auch innerhalb der Umgebung selbst. Cloud-Umgebungen, die entsprechend konfiguriert sind, minimieren das Risiko des ersten Zugriffs und können die böswilligen Aktionen, die ein Bedrohungsakteur nach dem ersten Zugriff ausführen kann, erheblich einschränken. Darüber hinaus bieten die gängigsten Cloud-Plattformen native Services, die sich auf die Sicherheit von Cloud-Umgebungen konzentrieren, wie z. B. Web Application Firewalls (WAF), Identity and Access Management (IAM)-Services, Secrets Storage und Management Suites sowie sichere Datenkonnektoren für hybride Cloud-Umgebungen, die es Cloud-Architekten ermöglichen, die in diesem Bericht beschriebenen Bedrohungen relativ einfach zu entschärfen

Wichtige Erkenntnisse

• Die meisten ersten Kompromittierungen beginnen mit exponierten oder falsch konfigurierten Cloud-Endpunkten, wobei Angreifer Open-Source-Scanner verwenden, um falsch konfigurierte Endpunkte zu identifizieren.
• Gestohlene oder schwache Anmeldeinformationen, die häufig von Initial Access Brokern (IABs) und früheren böswilligen Aktionen des Angreifers gesammelt wurden, sind nach wie vor der schnellste Weg zur Full-Tenant-Cloud-Übernahme.
• Bedrohungsakteure missbrauchen zunehmend legitime SaaS- und IaaS-Ressourcen, wälzen die Kosten auf die Eigentümer der betroffenen Umgebungen ab und missbrauchen Ressourcen, um die Erkennung von Folgeaktionen wie Phishing-Kampagnen zu erschweren.
• Ransomware-Gruppen haben Cloud-native Taktiken eingeführt, indem sie S3- und Azure-Speicher direkt verschlüsseln und Backups deaktivieren, um die Hebelwirkung zu maximieren.
• Eine hybride Infrastruktur ermöglicht es Angreifern, nahtlos zwischen On-Premise- und Multi-Cloud-Umgebungen zu wechseln, sodass Transparenz und Kontrollen über die Cloud-Umgebung hinaus auf die Geräte und Dienste ausgeweitet werden müssen, die darauf zugreifen.

Einführung

In den letzten zehn Jahren hat eine stetige Verlagerung von traditionellen IT-Infrastrukturen vor Ort hin zu Cloud-basierten Infrastrukturen und Hybrid-Cloud-Infrastrukturen stattgefunden. Laut der PwC Cloud Business Survey 2023 gaben 39 % der privaten Befragten an, dass ihr gesamter Betrieb in Cloud-Umgebungen verlagert wurde. Cloud Computing ist zu einem vertrauenswürdigen und integralen Bestandteil des täglichen Betriebs vieler Unternehmen geworden. Seit dem Zeitpunkt der PwC-Berichterstattung ist die Cloud-Computing-Branche nur gewachsen, ohne dass es Anzeichen einer Verlangsamung gibt.

Die Bandbreite der Cloud-Produkte und die Tiefe der von Cloud-Umgebungen bereitgestellten Services wachsen täglich weiter. In einer gemeinsamen Studie von Amazon und Telecom Advisory Services machte die Cloud-Einführung insgesamt 1 Billion US-Dollar am weltweiten Bruttoinlandsprodukt aus, mit einem prognostizierten Anstieg auf 12 Billionen US-Dollar zwischen 2024 und 2030. Diese Schätzung deutet darauf hin, dass traditionelle Computing-Umgebungen in den kommenden Jahren weiterhin schnell in Cloud-Umgebungen migriert werden. Diese Nachfrage nach Cloud-Computing-Ressourcen wird auf absehbare Zeit weiter steigen.

Der Erfolg von Cloud Computing kann direkt auf die Vorteile zurückgeführt werden, die den Anwendern geboten werden. Bei richtiger Konfiguration ermöglichen Cloud-Umgebungen ihren Anwendern, die mit herkömmlichen On-Premise-Umgebungen verbundenen Kosten zu verlagern, Hochverfügbarkeit für Remote-Assets zu schaffen und den Entwicklungsaufwand durch den Zugriff auf Managed Services zu eliminieren. Da Cloud-Anbieter weiterhin zusätzliche Dienste und Produkte anbieten, die ähnliche Angebote für herkömmliche Umgebungen aus Kosten- und Betriebsperspektiven weniger effektiv machen, wird die Cloud-Akzeptanz in Zukunft weiter zunehmen.

Hintergrund

Cloud-Technologien, -Plattformen und -Services werden zunehmend in Unternehmensstrukturen implementiert und bieten alle Vorteile traditioneller On-Premise-Umgebungen und reduzieren gleichzeitig die mit einer On-Premise-Umgebung verbundenen Kosten auf nahezu jede erdenkliche Weise. Dieser Zusammenhang wurde in der "2024 Cloud and AI Business Survey" von PwC gezeigt , in der berichtet wurde, dass von einer Umfrage unter 1.000 Unternehmen, die Cloud-Technologien implementiert haben, 74 % der befragten Unternehmen, die ihre Cloud-Umgebungen optimiert haben, eine höhere Rentabilität und 65 % der Befragten von erhöhten Kosteneinsparungen berichteten. Während diese Vorteile für Unternehmen sehr attraktiv sind, bergen Cloud-Umgebungen einzigartige Risiken und Sicherheitsherausforderungen, Herausforderungen, die einen neuen Ansatz für die Cybersicherheit erfordern, um sie angemessen zu mindern.

Die Weiterentwicklung von Cloud-Umgebungen hat auch die Anzahl der über das Netzwerk zugänglichen Endpunkte erhöht, die ein Unternehmen überwachen und verteidigen muss. In Fällen, in denen große Unternehmen ihren Betrieb vollständig in Cloud-Umgebungen migriert haben, summieren sich die Endpunkte, die für die Erleichterung des Benutzerzugriffs, die Bereitstellung von Webanwendungen, die Unterstützung der Datenübertragung und die Bereitstellung vieler anderer Arten von Zugriff im Alltag erforderlich sind, schnell und bilden eine vielfältige Grenze, die ständig mit dem breiteren Internet interagiert. Die Technologien, die mit dieser Grenze verbunden sind und darin eingebettet sind, stellen einzigartige Risiken und Sicherheitsherausforderungen dar. Mit Blick auf das Innere bestehen ähnliche Probleme weiterhin, wobei Cloud-Verteidiger ein neues Verständnis dafür benötigen, wie Cloud-Umgebungen effektiv gestaltet werden können, um die Vorteile einer Cloud-Umgebung zu bieten, ohne einen unangemessenen Zugriff auf vertrauliche Informationen und die Kontrolle über geschäftskritische Ressourcen zu ermöglichen, die in diesen Umgebungen gehostet werden.

Wie die Insikt Group in diesem Bericht erläutert, sind sich Bedrohungsakteure zunehmend der Sicherheitsherausforderungen bewusst, die Cloud-Verteidiger bewältigen müssen, sowie der Chancen, die Cloud-Technologien, -Umgebungen und -Dienste ihnen bieten. Die überwältigende Menge an Daten, Anwendungen, Systemen und anderen Assets, die in Cloud-Umgebungen gehostet werden, gepaart mit der Aufgabe, diese Assets zu verteidigen, bietet Bedrohungsakteuren neue Möglichkeiten, Informationen zu kompromittieren, Umgebungsressourcen zu missbrauchen und von illegalen Aktivitäten auf eine Weise zu profitieren, die zuvor in On-Premise-Umgebungen nicht erreichbar war. Darüber hinaus haben Bedrohungsakteure begonnen, die Nützlichkeit von Cloud-Ressourcen als Teil einer Angriffskette zu verstehen, da sie erkannt haben, dass ihnen die gleichen Vorteile wie legitime Cloud-Benutzer geboten werden, mit den zusätzlichen Vorteilen der Anonymität und reduzierten Erkennungsmöglichkeiten, die mit herkömmlichen Infrastrukturen nicht erreichbar sind.

Um die Bedrohung durch diese Angreifer zu verstehen, wurde dieser Bericht erstellt, um die einflussreichsten und aufstrebendsten Taktiken, Techniken und Verfahren (TTPs) zu beleuchten, die von Bedrohungsakteuren angezeigt werden, die Cloud-Umgebungen ins Visier nehmen und missbrauchen. Auf diese Weise soll ein Verständnis dafür vermittelt werden, wie Bedrohungsakteure Cloud-Umgebungen auf granularer Ebene beeinflussen und missbrauchen, wie diese Bedrohungen gemindert und nach damit verbundenen Kompromittierungsindikatoren gesucht werden können, damit Cloud-Verteidiger besser in der Lage sind, sie zu erkennen und bei Bedarf zu reagieren.

Methodik

In diesem Bericht wurden fünf Hauptbedrohungen für Cloud-Umgebungen identifiziert, die jeweils in ihren jeweiligen Abschnitten untersucht werden:

• Cloud-Missbrauch
• Ausbeutung
• Fehlkonfiguration des Endpunkts
• Cloud-Ransomware
• Missbrauch von Anmeldeinformationen und Kontoübernahme

Jeder Abschnitt enthält Radardiagramme, die die folgenden Attribute messen, die mit einer bestimmten Bedrohung verbunden sind. Diese Feststellungen wurden von der Insikt Group abgeleitet, um Fälle zu untersuchen, in denen dieser Bedrohungsvektor beobachtet wurde, um die folgenden Fragen zu beantworten:

• Kosten der Auswirkungen: Wie viel würde diese Bedrohung ein Opfer in Form von Geld-, Reputations- und Betriebsverlusten kosten? In der Radartabelle gilt: Je höher die Zahl, desto höher sind die Kosten, die das Opfer in finanzieller, reputationstechnischer, operativer oder sonstiger Hinsicht zu erwarten hat.
• Gemeinsamkeit: Wie häufig wird dieser Bedrohungsvektor in Angriffsketten gegen Cloud-Umgebungen in freier Wildbahn beobachtet? Je höher die Zahl im Radardiagramm ist, desto wahrscheinlicher ist es, dass ein Cloud Defender dieses Verhalten in seiner eigenen Umgebung beobachtet.
• Evolutionspotenzial: Wie groß ist das Potenzial für Bedrohungsakteure, diesen Angriffsvektor in Bezug auf neue Tools, Angriffsmethoden und TTPs weiterzuentwickeln, die eingesetzt werden können, um diesen Bedrohungsvektor zu erreichen? Je höher die Zahl ist, desto wahrscheinlicher ist es, dass Bedrohungsakteure in der Lage sind, Aktionen durchzuführen, die diese Bedrohung auf eine Weise demonstrieren, die zuvor unbeobachtet war, was die Erkennung des Verhaltens erschwert.
• Aufwand für die Leistung: Wie hoch sind die technischen und monetären Kosten, die mit der Durchführung dieses Bedrohungsvektors verbunden sind? Je höher die Zahl ist, desto größer ist die Hürde für einen Angreifer, diese Bedrohung in einer Cloud-Umgebung nachzuweisen, in der Regel in Bezug auf die monetären Kosten oder die technischen Fähigkeiten

Bedrohungen für Cloud-Umgebungen

Cloud-Missbrauch

Key Takeaways

• Angreifer registrierten ihre eigene Cloud-Infrastruktur, um bösartige Inhalte zu hosten und gestohlene Daten in ihre eigenen Cloud-Umgebungen zu exfiltrieren.
• Die Einsatzmöglichkeiten für kompromittierte Cloud-Umgebungen waren sehr unterschiedlich und wurden durch das Ziel oder die Fähigkeiten des verantwortlichen Bedrohungsakteurs bestimmt.

Abbildung 1 veranschaulicht und vergleicht Attribute, die mit Cloud-Missbrauch verbunden sind. Eine Beschreibung der einzelnen Attribute finden Sie im Abschnitt "Methodik " dieses Berichts.

Kosten der Auswirkungen: 4 (hoch)

Angriffe, bei denen Bedrohungsakteure die Cloud-Umgebungen der Opfer missbrauchen, sind sehr kostspielig, während Fälle, in denen sich Bedrohungsakteure registrieren und legitime Dienste missbrauchen, vergleichsweise kostengünstiger sind. In beiden Fällen sind Bedrohungsakteure in der Lage, sich als legitime Entitäten zu tarnen, was zu Reputationsverlusten für die missbrauchte Umgebung und den Eigentümer führt. Fälle, in denen Bedrohungsakteure die kompromittierte Cloud-Infrastruktur der Opfer missbrauchen, führen häufig zu erhöhten Kosten für den Eigentümer der Cloud-Umgebung.

Gemeinsamkeit: 4 (Hoch)

Der Missbrauch legitimer Cloud-Infrastrukturen, die von einem Bedrohungsakteur registriert werden, ist sehr häufig, während der Missbrauch der Cloud-Infrastruktur eines kompromittierten Opfers vergleichsweise seltener vorkommt. Viele der beobachteten Angriffe auf Cloud-Infrastrukturen beinhalten Bedrohungsakteure, die versuchen, die Kontrolle über Cloud-Dienste zu erlangen, um irgendwann Folgeaktionen durchzuführen, was darauf hindeutet, dass diese Art von Bedrohung in Bezug auf andere Cloud-Bedrohungen nach wie vor üblich ist.

Evolutionspotenzial: 4 (Hoch)

Bedrohungsakteure haben im vergangenen Jahr gezeigt, dass es eine Vielzahl von Möglichkeiten gibt, Cloud-Missbrauch zu erreichen und dann zu nutzen, um böswillige Aktionen durchzuführen. Darüber hinaus deuten neuartige Techniken wie "LLMjacking", bei denen Bedrohungsakteure den Zugang zu kompromittierten, Cloud-basierten LLM-Modellen verkaufen, darauf hin, dass Bedrohungsakteure ständig darüber nachdenken, wie sie den Missbrauch von Cloud-Diensten monetarisieren können, und prognostizieren eine Zunahme des Missbrauchs von Cloud-Diensten in der Zukunft.

Anstrengung bis zur Leistung: 3 (Mittel)

Sowohl der Missbrauch einer rechtmäßig registrierten Cloud-Infrastruktur als auch die kompromittierte Cloud-Infrastruktur der Opfer stellen Bedrohungsakteure vor moderate Schwierigkeiten. Bei der ersten Bedrohungsart müssen Angreifer herausfinden, wie sie sich anonym für größere Cloud-Plattformen registrieren und bösartige Aktionen ausführen können, ohne entdeckt zu werden, während sie gleichzeitig für die Umgebung bezahlen. Bei der letztgenannten Bedrohungsart sind Bedrohungsakteure nur dann in der Lage, die Cloud-Infrastruktur der Opfer zu missbrauchen, wenn sie Cloud-Dienste und -Systeme, die für das Erreichen ihrer übergeordneten Ziele erforderlich sind, angemessen kompromittiert haben.

Zusammenfassung der Bedrohung

Der Begriff Cloud-Missbrauch bezieht sich auf zwei übergreifende Verhaltensweisen, die Bedrohungsakteure bei der Ausrichtung auf Cloud-Umgebungen an den Tag legen:

• Missbrauch einer legitimen Cloud-Infrastruktur, die von einem Bedrohungsakteur erlangt wurde, um böswillige Aktivitäten durchzuführen
• Missbrauch einer legitimen Cloud-Infrastruktur, die einem Opfer gehört Ein Bedrohungsakteur kompromittiert wird, um böswillige Aktivitäten auszuführen

In beiden Fällen missbrauchen Bedrohungsakteure die legitime Cloud-Infrastruktur für schändliche Zwecke. Die Verhaltensweisen, die von Bedrohungsakteuren in jedem dieser Szenarien an den Tag gelegt werden, unterscheiden sich jedoch erheblich. Im ersten Beispiel missbrauchen Bedrohungsakteure diese Ressourcen hauptsächlich, um als Teil des legitimen Datenverkehrs zu erscheinen und anonym zu bleiben. Dieses Verhalten wird häufig verwendet, um Phishing-Kampagnen durchzuführen, bösartige Inhalte zu hosten und als Teil der Command-and-Control-Infrastruktur (C2) des Bedrohungsakteurs zu fungieren. Im letzteren Beispiel können Bedrohungsakteure die Cloud-Umgebung immer noch missbrauchen, um sich als legitime Entität auszugeben, aber sie können auch die Ressourcen der Umgebung kapern und die Kosten auf den Eigentümer der Umgebung abwälzen. In einem solchen Fall können zusätzliche Aktionen wie Cryptojacking und eine neuere Technik, LLMjacking, auftreten und zu überhöhten monetären Kosten führen.

Ausblick

Bedrohungsakteure werden sich mit ziemlicher Sicherheit weiterhin ihre eigene Cloud-Infrastruktur beschaffen, und zwar aus mehreren Gründen:

• Bedrohungsakteuren werden die gleichen Vorteile geboten wie legitimen Cloud-Nutzern, zusätzlich zu den anonymisierenden Faktoren, die böswillige Aktionen unterstützen (siehe Abbildung 2).
• Es ist relativ einfach, Cloud-Infrastruktur von CSPs ohne umfangreiche Prüfung durch den Anbieter zu erhalten, so dass Angreifer ohne Verdacht umfangreiche Cloud-Umgebungen erstellen können.
• Der Missbrauch legitim registrierter Cloud-Umgebungen wird oft reaktiv nach böswilligen Aktionen identifiziert, die von der Umgebung ausgehen, was darauf hindeutet, dass CSPs nicht über eine zuverlässige Methode verfügen, um Cloud-Missbrauch vor der Kompromittierung des Opfers zu erkennen.
• Bedrohungsakteure sind leicht in der Lage, von einem Cloud-Anbieter zu einem anderen zu wechseln und ihre Identitäten zu verschleiern, während sie beim Missbrauch von Cloud-Ressourcen böswillige Aktionen ausführen

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.