Top 3 der größten Schwachstellen, die zu Datensicherheitsverletzungen in der Cloud führen

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Durch die Verlagerung von Workloads in die Cloud verlieren Unternehmen (und IT-Administratoren) die Kontrolle über diese Workloads und vernachlässigen viele kritische Aspekte der Cybersicherheit. Die „Internen“ der On-Premise-Welt werden in einer Public-Cloud-Infrastruktur plötzlich zu „Externen“. Über gängige Verbindungsmethoden, Protokolle und öffentliche APIs können Hacker einen ähnlichen Zugriff auf Public Clouds wie IT-Administratoren erlangen. Somit wird die ganze Welt zur „Insider-Bedrohung“. Die Sicherheit der Workloads richtet sich folglich nach den Berechtigungen: Wer kann in welchem Umfang auf die Workloads zugreifen?

Die Ursache des Problems liegt in der praktischen Nutzung und Flexibilität von Cloud-Umgebungen. Cloud-Administratoren gewähren Benutzergruppen oft umfangreiche Berechtigungen, damit sie ihre Aufgaben nahtlos wahrnehmen können. In der Praxis nehmen die meisten Benutzer nur einen kleinen Teil dieser Berechtigungen in Anspruch, weil sie für die anderen gar keinen Geschäftsbedarf haben. Dadurch entsteht eine gefährliche Sicherheitslücke: Sollten diese Benutzerzugangsdaten jemals in falsche Hände geraten, bekämen Hacker einen umfassenden Zugriff auf sensible Daten und Ressourcen. Laut dem Bericht „Managing Privileged Access in Cloud Infrastructure“ von Gartner werden bis 2023 rund 75 % aller Sicherheitsmängel in der Cloud auf eine unzureichende Verwaltung von Identitäten, Zugriffen und Berechtigungen zurückzuführen sein.

1. Mangelnde Unterscheidung zwischen GENUTZTEN und GEWÄHRTEN Berechtigungen

Achtzig Prozent aller unverhältnismäßigen Berechtigungen basieren auf Rollen. In einer Cloud-Umgebung, in der die Ressourcen „außerhalb“ des Unternehmens gehostet werden, hängt die Angriffsfläche eines Unternehmens von den Netzwerkzugriffsberechtigungen ab.

Unnötige Berechtigungen resultieren aus der Diskrepanz zwischen dem, was Benutzer für ihre Arbeit benötigen, und den ihnen gewährten Berechtigungen. Oder anders gesagt besteht eine Abweichung zwischen zugewiesenen und verwendeten Berechtigungen, aus der sich die Angriffsfläche eines Unternehmens ergibt.

Das Verständnis des Unterschieds zwischen GENUTZTEN und GEWÄHRTEN Berechtigungen zählt zu den größten blinden Flecken, die zu Datensicherheitsverletzungen führen. Deshalb ist es wichtig, diese Lücke laufend zu überwachen und zu analysieren, damit sie so gering wie möglich ausfällt und Ihre Angriffsfläche ebenfalls minimal bleibt.

2. Das Problem heißt nicht Erkennung, sondern Korrelation

Cybersicherheitsalarme werden heutzutage immer weniger ernst genommen, weil so viele Fehlalarme auftreten. Aus zahlreichen Berichten von Dritten geht hervor, dass Security Operations Center durchschnittlich ca. 10.000 Alarme pro Tag abwickeln.

Diese Alarmflut ist eine der Hauptursachen, aus denen Alarme übersehen werden. Und in dieser Flut gehen dann auch Alarme unter, die auf potenziell schädliche Aktivitäten hinweisen – was Datensicherheitsverletzungen zur Folge hat.

Die gezielte Erkennung relevanter Alarme bildet eine der größten Schwachstellen in der Cloud-Sicherheit heutiger Unternehmen. Sicherheitsteams benötigen einen einheitlichen Überblick über mehrere Cloud-Umgebungen und -Konten mit integrierter Alarmbewertung für effiziente Priorisierung.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

3. Fehlende Herstellung von Zusammenhängen

Datensicherheitsverletzungen entstehen nicht von heute auf morgen, sondern im Laufe der Zeit. Sie resultieren aus einem langwierigen „Trial-and-Error“-Prozess, bei dem der Angreifer viele kleine Schritte und Aktivitäten ausprobiert, um auf sensible Daten zuzugreifen.

Diese kleinen Schritte und Aktivitäten werden häufig als Ereignisse mit geringer oder mittlerer Priorität eingestuft und dadurch übersehen. Erschwerend kommt hinzu, dass im Durchschnitt sechs Monate vergehen, bis eine Datensicherheitsverletzung auftritt. Selbst wenn einzelne Ereignisse erkannt werden, sind sie bis zum nächsten zugehörigen Ereignis oft schon vergessen – und der Zusammenhang wird nie hergestellt.

[Das könnte Sie auch interessieren: Distribute Application Workloads Across Multiple Clouds & Data Centers]

Die Fähigkeit, einzelne Ereignisse bzw. Alarme im Laufe der Zeit zu einer „Angriffsstory“ zusammenzusetzen, gehört zu den größten Schwachstellen von Unternehmen in puncto Cloud-Sicherheit. Dabei spielt sie eine so kritische Rolle, um Datensicherheitsverletzungen zu verhindern.