Americas

Asia

Europe

Oceania

Populäre Themen

Themen

About

Policies

Our Network

More

Apurva Venkat
von
Special Correspondent

Schlechtes Identity Management: Die Cloud ist zu oft falsch konfiguriert

Analyse
13 März 20237 Minuten
Identity and Access Management

Was nützt die Cloud, wenn sie nicht sicher ist? Reale Daten von Sysdig zeigen, dass vor allem ungenutzte Zugriffsberechtigungen ein Risiko darstellen.

Schwachstellen in Java-Paketen und zu hohe Nutzungsrechte sind die größten Risiken in Cloud-Umgebungen.

Schwachstellen in Java-Paketen und zu hohe Nutzungsrechte sind die größten Risiken in Cloud-Umgebungen.

Foto: Sergey Nivens – shutterstock.com

Fehlkonfigurationen und Schwachstellen sind nach wie vor die beiden größten Sicherheitsrisiken in der Cloud. Einem Bericht von Sysdig zufolge, entstehen solche Fehler zumeist in der Software-Lieferkette. Des Weiteren zeigt der Bericht auf, dass, obwohl Zero Trust in vielen Unternehmen die oberste Priorität hat, das Least-Privilege-Prinzip nicht durchgesetzt wird. Stattdessen werden 90 Prozent der Zugriffsrechte, die Mitarbeiter haben, von ihnen gar nicht genutzt.

Diese Zahlen stammen laut Sysdig aus der Analyse von mehr als sieben Millionen Containern, die die Kunden des Anbieters täglich nutzen. Zudem werden in der Studie Daten berücksichtigt, die aus öffentlichen Quellen stammen wie GitHub, Docker Hub und der Cloud Native Computing Foundation (CNCF).

Lesetipp: Das sind die Unterschiede zwischen IAM, IGA und PAM

Entwickler stehen unter enormen Druck

Fast 87 Prozent der Container Images wiesen zum Untersuchungszeitpunkt mindestens eine hohe oder kritische Sicherheitslücke auf. Im vergangenen Jahr waren es noch 75 Prozent. Sysdig zufolge sind sich die Unternehmen und deren CISOs der Gefahr durch die Schwachstellen bewusst. Sie kämpfen jedoch damit, diese zu beheben und gleichzeitig neue Software-Produkte möglichst schnell zu veröffentlichen.

Der Grund dafür, dass Schwachstellen trotz Update oft weiter bestehen, sind Probleme mit der Priorisierung. Wenn ein DevOps- oder Sicherheitsingenieur sich einloggt, sieht er Hunderte, wenn nicht Tausende von Images mit Schwachstellen. “Es kostet Zeit, die Liste durchzugehen und die Sicherheitslücken zu beheben. Für die meisten Entwickler ist das Schreiben von Code für neue Anwendungen das, woran sie gemessen werden. Jede Minute, die sie mit der Behebung von Schwachstellen verbringen, ist also Zeit, die sie nicht mit der Entwicklung neuer Anwendungen verbringen, die verkauft werden können”, erklärt Crystal Morin, Threat Research Engineer bei Sysdig.

Nur 15 Prozent der kritischen Schwachstellen, für die bereits ein Fix verfügbar ist, befinden sich in Paketen, die zur Laufzeit einer Anwendung geladen werden. Filtern Developer die anfälligen Pakete, die tatsächlich in Gebrauch sind, heraus, können sie ihre Bemühungen auf einen viel kleineren Teil konzentrieren und die Schwachstellen beheben, die ein tatsächliches Risiko darstellen.

Lesetipp: So motivieren Sie Softwareentwickler

Java ist das größte Risiko

Sysdig untersuchte 320.000 Sicherheitslücken in Paketen, die zur Runtime geladen wurden, um herauszufinden, welche Programmiersprachen, Dateitypen oder Bibliotheken die größten Risiken darstellen. Wie sich herausstellte, sind Java-Pakete für 61 Prozent der Schwachstellen verantwortlich. Das war für die Studienautoren überraschend, da Java-Pakete nur 24 Prozent der zur Laufzeit geladenen Pakete ausmachen. “Aus diesem Grund glauben wir, dass sowohl White Hat Hacker wie auch Cyberkriminelle sich auf Java-Pakete konzentrieren werden, um Geld zu machen”, sagt Morin. “Aufgrund der Popularität von Java widmen sich Bug-Jäger oder Teilnehmer von Bug-Bounty-Programmen eher Sicherheitslücken, die beim Programmieren mit Java entstanden sind.”

Zwar scheint es so, als seien neuere oder weniger verbreitete Pakettypen sicherer. Dies könnte laut Morin jedoch daran liegen, dass ihre Schwachstellen noch nicht entdeckt wurden oder, noch schlimmer, zwar gefunden, aber noch nicht bekannt gegeben wurden.

Lesetipp: Diese Programmiersprachen sind am beliebtesten

Shift Left und Shield Right

Um Fehler in der Entwicklung von Apps zu vermeiden, hat sich das Prinzip “Shift Left” bewährt. Dabei werden Tests, Qualitäts- und Leistungsbewertungen der Anwendungen im Entwicklungszyklus weiter nach vorne, also auf der Zeitachse nach links, geschoben, um Bedrohungen frühzeitig zu erkennen. Unternehmen sollten eine Shift-Left- und eine Shield-Right-Strategie verfolgen, schlägt Sysdig vor. Bei Letzterem liegt der Schwerpunkt auf Mechanismen zum Schutz und zur Überwachung laufender Services. “Traditionelle Sicherheitspraktiken mit Tools wie Firewalls und Intrusion Prevention Systems (IPS) reichen nicht aus. Sie weisen Lücken auf, da sie in der Regel keinen Einblick in containerisierte Workloads und den umgebenden Cloud-nativen Kontext bieten”, sagt Morin. Stattdessen solle die Arbeitsweise sicherheitsorientierter werden.

Laufzeittransparenz kann Unternehmen dabei helfen, die Shift-Left-Praxis zu verbessern. Sobald Container in Produktion sind, hilft eine Feedback-Schleife, um in der Laufzeit entdeckte Probleme mit dem zugrunde liegenden Code zu korrelieren, damit Entwickler wissen, worauf sie sich konzentrieren müssen. Statische Sicherheitstests können auch auf der Grundlage von Laufzeitinformationen durchgeführt werden, um festzustellen, welche Pakete in den Containern ausgeführt werden, in denen die Anwendung läuft. “Dies ermöglicht es den Entwicklern, Schwachstellen für nicht genutzte Pakete zurückzustellen und sich stattdessen auf die Behebung, von Schwachstellen in aktiven Umgebungen zu konzentrieren. Das Ziel eines jeden Cybersicherheitsprogramms sollte die Sicherheit über den gesamten Lebenszyklus sein”, sagt Morin.

Lesetipp: Was ist DevSecOps?

Fehlkonfigurationen gefährden die Sicherheit

Auch wenn Schwachstellen ein Grund zur Sorge sind, sind Fehlkonfigurationen immer noch die Hauptursache für Sicherheitsvorfälle in der Cloud und sollten daher einer der wichtigsten Gründe zur Besorgnis für Unternehmen sein. Bereits 2019 hatte Gartner prophezeit, dass in diesem Jahr 75 Prozent der Sicherheitsmängel auf eine unzureichende Verwaltung von Identitäten, Zugriffsrechten und Privilegien zurückzuführen sein werden, gegenüber 50 Prozent im Jahr 2020. Wie Daten von Sysdig zeigen, wurden über einen Zeitraum von 90 Tagen hinweg, nur zehn Prozent der Berechtigungen, die Nicht-Admins gewährt wurden, tatsächlich genutzt. Dass Unternehmen ihren Mitarbeitern mehr Zugriffsrechte einräumen, kann den Studienautoren zufolge daran liegen, dass durch die Verlagerung des Tagesgeschäfts in die Cloud, die digitale Nutzerpopulation zugenommen hat. In diesem Jahr wurden 58 Prozent der Identitäten in den Cloud-Umgebungen der Sysdig-Kunden als nicht-menschliche Rollen eingestuft, gegenüber 88 Prozent im Vorjahr.

Zu nicht-menschlichen Rollen in Cloud-Umgebungen können Netzwerkkomponenten wie Datenbanken, Anwendungen und Datenspeicher mit unterschiedlichsten Zugriffsrechten gehören. Obwohl ihr Schutz ebenso wichtig ist wie die Absicherung von Nutzer-Anmeldedaten, stehen die nicht-menschlichen Rollen meist nicht im Fokus von Sicherheitsteams. Dazu kommt, dass ihre enorm hohe Anzahl die Teams überfordern kann oder diese sich des Ausmaßes der Risiken gar nicht bewusst sind. Werden die nicht-humanen Komponenten nicht mehr genutzt und nicht entfernt, können Cyberkriminelle diese ausnutzen und sich mit ihnen im Netzwerk fortbewegen.

Mehr als 98 Prozent der Berechtigungen, die nicht-menschlichen Identitäten gewährt werden, wurden laut Sysdig seit mindestens 90 Tagen nicht mehr genutzt. Oftmals werden diese ungenutzten Berechtigungen verwaisten Identitäten gewährt, wie zum Beispiel abgelaufenen Testkonten oder Konten von Drittanbietern.

Lesetipp: So sollten Sie mit verwaisten Konten umgehen

Das Least-Privilege-Prinzip

Sicherheitsteams sollten nicht-menschliche Rollen so verwalten wie auch menschliche Identitäten, am besten nach dem Grundsatz des Least-Privilege-Prinzips. Außerdem sollten sie ungenutzte Testkonten nach Möglichkeit entfernen, um Zugriffsrisiken zu vermeiden. Dieser Prozess ist manuell sehr mühsam, kann aber mithilfe von Berechtigungsfiltern und automatisch generierten Regeln effizienter gestaltet werden.

Unternehmen sollten nur das Minimum an Zugriff gewähren, den ein Mitarbeiter benötigt, um seine Arbeit zu erledigen. Das Gleiche gilt für nicht-menschliche Anwendungen, Cloud-Dienste oder kommerzielle Tools. Für solche gilt in Cloud-Umgebungen das Gleiche wie für Anwendungen auf Mobiltelefonen, die Zugriffsrechte auf Kontakte, Kamera, Mikrofon und mehr verlangen. “Die Erteilung übermäßiger Zugriffsrechte und die nur unregelmäßige Überprüfung der erteilten Privilegien bieten böswilligen Akteuren zusätzliche Möglichkeiten für den Erstzugriff, seitliche Bewegungen im Netzwerk und die Ausweitung von Berechtigungen”, fasst Morin zusammen. CISOs sollten sich deswegen bemühen, die zum Teil große Diskrepanz zwischen gewährten und erforderlichen Berechtigungen zu reduzieren. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Jetzt kostenlos für den CSO-Newsletter anmelden

Apurva Venkat
von
Principal Correspondent

Apurva Venkat is principal correspondent for the India editions of CIO, CSO, and Computerworld. She has previously worked at ISMG, IDG India, Bangalore Mirror, and Business Standard, where she reported on developments in technology, businesses, startups, fintech, e-commerce, cybersecurity, civic news, and education.

Mehr von diesem Autor

Mehr anzeigen

News-Analyse

Mangelhafte Cybersicherheit im Gesundheitswesen

Von Julia Mutzbauer
07 März 20253 Minuten
CyberangriffeGesundheitswesen
Bild
News

BSI veröffentlicht neue Sicherheitsanforderungen für Datenbanksysteme

Von Tristan Fincken
07 März 20252 Minuten
Sicherheit
Bild
Feature

11 ruinöse Ransomware-Bedrohungen

Von John Leyden
06 März 20259 Minuten
CyberkriminalitätRansomware
Bild