Google Cloud-Studie: Großes Risiko bei der Verbreitung von Anmeldeinformationen und Schlüsseln

Google Cloud-Studie: Großes Risiko bei der Verbreitung von Anmeldeinformationen und Schlüsseln

Ihre E-Mail wurde gesendet

Schlüssel, Zugangsdaten und Konten, oh mein Gott! Eine neue Google Cloud-Studie zeigt, dass es Angreifer auf die schwache Schattenseite von Unternehmen abgesehen haben: Identity Access Management.

Anmeldeinformationen sind die Achillesferse der Unternehmenssicherheit, so ein neuer Bericht des Cybersecurity Action Teams von Google Cloud, der herausfand, dass Schwachstellen in Anmeldeinformationen 60 % der Gefährdungsfaktoren bei Google Cloud-Nutzern ausmachten. Die Sicherheitsgruppe des Unternehmens sagte in ihrem neuen Threat Horizons Report, dass die Abhärtung dieser Schwachstellen durch grundlegende Beachtung von Zero-Trust-Details, einschließlich strenger Leitplanken für das Identitätsmanagement, erreicht werden kann.

Darüber hinaus berichtete das Google Cloud-Team, dass Fehlkonfigurationsprobleme 19 % der Kompromittierungsfaktoren ausmachten, die auch mit anderen Kompromittierungsfaktoren wie Anwendungsprogrammierschnittstellen oder sensiblen Benutzeroberflächen in Zusammenhang standen, die durch Snafus wie falsch konfigurierte Firewalls offengelegt wurden (Abbildung A).

Abbildung A

„Jedes Quartal sehen wir die gleichen Aktivitäten, aber die Angreifer werden bei der Umsetzung immer raffinierter“, sagte Matt Shelton, Leiter der Bedrohungsforschung und -analyse bei Google Cloud. „Wir sehen IAM weiterhin als das größte Problem und ich vermute, dass wir das auch in den nächsten Quartalen sehen werden. Gestohlene Zugangsdaten und Fehlkonfigurationen sind das, was heutzutage jeder im Visier hat“, fügte er hinzu.

Springen zu:

In dem für Unternehmensnutzer von Google Cloud konzipierten Bericht analysierte das Team anonymisierte Warnstatistiken für das erste Quartal 2023 von Chronicle, Googles Software-as-a-Security-Suite für Sicherheitsbetriebszentren, um kompromittierende Risikofaktoren zu identifizieren.

Die vorherrschenden Warnungen im ersten Quartal 2023, die fast 75 % der Warnungen ausmachten, betrafen den projektübergreifenden Missbrauch von Berechtigungen zur Generierung von Zugriffstoken. Im Großen und Ganzen handelt es sich hierbei um ein Problem der Privilegienzugriffsverwaltung, bei dem es häufig um überdimensionierte Konten geht, bei denen IT-Teams versuchen, die Betriebszeit zu erhöhen und die Komplexität zu verringern, indem sie zu viel Zugriff auf Konten gewähren, was gegen das Konzept der geringsten Privilegien verstößt.

Shelton wies darauf hin, dass übermäßig bereitgestellte Konten beim projektübergreifenden Identitätszugriff häufig vorkommen, und erklärte, dass ein Benutzer in der Regel ein Dienstkonto mit zu vielen Berechtigungen erstellt, um die Arbeit zu erleichtern. Der Angreifer stiehlt dann diese Anmeldeinformationen und versucht, beispielsweise auf ein anderes Projekt zuzugreifen oder Berechtigungen zu erweitern.

„Übermäßig bereitgestellte Konten betreffen in der Regel Dienst- oder privilegierte Administratorkonten, sodass die Folgen der gestohlenen ID schlimmer sind, als wenn es sich um ein Endbenutzerkonto handeln würde“, sagte Shelton.

Ein Beispiel für einen Fehltritt bei der Überbereitstellung ist die übermäßige Verwendung von Secure-Shell-Schlüsseln, die den Zugriff auf verschlüsselte Secure-Shell-Netzwerkprotokolle ermöglichen, mit denen Maschinen in einem ungesicherten offenen Netzwerk kommunizieren können. SSH-Schlüssel werden verwendet, um Remote-Aktionen wie Dateiübertragungen, Netzwerkverwaltung und Zugriff auf Betriebssysteme auszuführen.

„Wenn ich mich als Administrator bei einer GCP-Linux-Instanz anmelde, habe ich einen privaten Schlüssel auf meinem Endpunkt, den ein Bösewicht stehlen und zum Anmelden verwenden kann. Das ist ein Angriffsvektor, den es schon seit Jahren gibt. Wir haben uns darüber hinaus entwickelt, aber wie unser Bericht zeigt, ist es in der Branche immer noch weit verbreitet“, sagte Shelton. „Es ist ein weiterer Identitätsspeicher, den Sie im Auge behalten müssen. Niemand legt einen SSH-Schlüssel auf einem System mit niedriger Priorität ab, sondern immer auf dem Back-End-Unix-System, das sensible Daten speichert“, sagte er. (Abbildung B).

Abbildung B

Shelton sagte, eine bessere Taktik bestehe darin, den Benutzernamen und das Passwort zu verwenden, die mit dem Google IAM-Tool geliefert werden. „Das ist Null-Vertrauen. Es stellt sicher, dass Sie über ein Konto, ein Passwort mit Multi-Faktor-Authentifizierung, einen zentralen Ort, an dem Sie es deaktivieren oder wieder aktivieren können, und einen zentralen Ort zum Einsehen der Protokolle verfügen. Unsere Empfehlung lautet also: Ja, IAM ist einer der wichtigsten Kompromittierungsvektoren, aber es gibt Tools, die auf Zero-Trust-Prinzipien basieren und Ihnen beim Schutz Ihres Kontos helfen können“, sagte er.

Die Google Cloud Security-Gruppe machte wichtige Vorschläge zur Verbesserung der Identitätsmanagementhygiene:

Die Forscher identifizierten auch Fälle von Android-Anwendungen, die versuchten, die Malware-Erkennung des Google Play Store zu umgehen, bevor sie Malware herunterluden. Diese als „Versionierung“ bezeichnete Taktik beinhaltet eine Version einer App, die das Vertrauen des Play Stores gewinnt, bevor ein böswilliges Update derselben Anwendung herausgegeben wird. Im Bericht von Google Cloud wird die Malware-Variante SharkBot zitiert, eine Bank-Malware, die mithilfe des Automated Transfer Service-Protokolls Geldtransfers von kompromittierten Geräten initiiert.

Die bei Google Play erschienenen Varianten von SharkBot hatten eine eingeschränkte Funktionalität, eine Tarntechnik, die laut Shelton die Erkennung verdächtiger Apps erschwert.

„Versionierung ist eine große Sache. „Google hat viel Zeit und Mühe in die Überprüfung von Apps im Google Play Store investiert“, sagte Shelton. „Es kommt häufig vor, dass eine App im Google Play Store veröffentlicht wird. Es wird überprüft, ist völlig harmlos und enthält keinerlei Malware. Anschließend lädt [die App] mithilfe der Versionierung, nachdem sie auf einem Benutzergerät installiert wurde, beispielsweise als Spiel oder Consumer-Tool, und auf eine Website eines Drittanbieters zugreift, schädlichen Code herunter, nachdem die App festgestellt hat, dass es sich bei dem Benutzer um einen handelt „Es ist ein wertvolles Ziel und führt Böswilligkeit aus“, fügte er hinzu.

Er sagte, dies sei nicht nur ein Problem für Einzelpersonen, sondern auch für Unternehmen. Die Apps stehlen nicht nur Geld und führen Finanztransaktionen durch, sondern können auch Informationen stehlen.

„Das hält mich nachts wach, weil sich die Leute von ihren privaten Telefonen aus in Arbeitskonten einloggen und diese Informationsdiebstahler Anmeldeinformationen von diesem Telefon abgreifen und sie an einen Angreifer senden. Und das geht direkt auf die Erzählung zurück, dass gestohlene Zugangsdaten nicht nur in der Cloud, sondern auch auf Mobilgeräten von entscheidender Bedeutung sind“, sagte Shelton.

Der Bericht von Google befasste sich auch mit DevOps-Schwachstellen im kontinuierlichen Integrations-/Entwicklungsprozess und stellte fest, dass die Kompromittierung von Anmeldeinformationen und Authentifizierungstokens häufig Faktoren für Vorfälle im Quellcode sind.

„Es gab Fälle, in denen eine Kompromittierung eines Drittanbieterdienstes, der am Hosten des Codes oder des kontinuierlichen Integrations-/Continuous-Development-Prozesses beteiligt war, zu Kompromittierungen von Benutzern dieser Dienste sowie zu böswilligen Insider-Vorfällen und Fehlkonfigurationen führte“, heißt es in der Mitteilung Studie.

Shelton sagte, die Konzentration auf Zero-Trust-Protokolle und Defense-in-Depth-Prinzipien könne viel dazu beitragen, Angreifer an der Wurzel zu blockieren.

„Dieser Bericht zeigt, dass wir, genau wie wir es [on premise] schon seit Jahren tun, auch in der Cloud eine umfassende Verteidigung üben müssen – wir müssen Erkennungsstrategien einarbeiten und einen Blick auf die gesamte Bedrohungslandschaft werfen.“ Sie müssen jederzeit von Kompromissen ausgehen und eine Sicherheitsstrategie mit mehreren Ebenen entwickeln“, sagte er.

Shelton sagte auch, dass eine wichtige Erkenntnis aus dem Bericht darin besteht, dass Zero-Trust-Protokolle von entscheidender Bedeutung sind, auch wenn Angreifer immer ausgefeilter werden, insbesondere im Hinblick auf einen wichtigen Angriffsmagneten – Anmeldeinformationen und die Ausnutzung von IAM-Schwachstellen im Allgemeinen.

„Es kommt auf die Cyberhygiene an. Heutzutage muss man die Grundlagen perfekt üben“, sagte er. „Wir reden viel über raffinierte Angriffe, aber am Ende des Tages muss ein Gegner nur das Nötigste tun, um ihm beim Erreichen seiner Ziele zu helfen.“

Dies ist Ihre Anlaufstelle für die neuesten Nachrichten und Tipps zu den folgenden Themen und mehr: XaaS, AWS, Microsoft Azure, DevOps, Virtualisierung, Hybrid Cloud und Cloud-Sicherheit.