Nicht nur IT-Führungskräfte sind sich des Potenzials von Cloud-Hosting bewusst. Mögliche Vorteile wie bessere Verfügbarkeit und Skalierbarkeit sind sowohl für legitime Unternehmen als auch für Cyberkriminelle von Interesse. Das Cloud-Hosting ist somit ein weiterer Aspekt der wachsenden Bedrohungslandschaft, mit der Unternehmen zu kämpfen haben.

Angreifer nutzen häufig Untergrund-Hosting-Services, um unentdeckt zu bleiben. Die Verwendung legitimer Cloud-Host-Services für ihre Zwecke ist jedoch ebenfalls nicht unüblich. Cyberkriminelle können Malware über ein kostenloses oder kompromittiertes Hosting-Konto hosten und dabei die Reputation des Hosting-Anbieters als Deckmantel nutzen, was das Blockieren ihrer böswilligen Aktivitäten erschwert.

Typische Cloud-Angriffsvektoren

Hier sind einige Beispiele für Angriffe, mit denen Bedrohungsakteure Cloud-Systeme ins Visier nehmen:

DDoS-Angriff (Distributed Denial-of-Service)

DDoS-Angriffe bombardieren ein Ziel mit Datenverkehr, um den Betrieb zu stören.

Ausnutzung von Live-Migrationen

Live-Migrationen können auf verschiedene Weise kompromittiert werden, beispielsweise indem die migrierten Systeme durch Änderungen anfälliger für Angriffe gemacht werden sowie durch Erstellen mehrerer gefälschter Migrationen zum Ausführen eines DoS-Angriffs.

Hypervisor-DoS-Angriff (Denial of Service)

Diese Art von DoS-Angriff zielt auf den Hypervisor ab. Ist er erfolgreich, kann er alle virtuellen Maschinen (VMs) beeinträchtigen, die auf einem Host ausgeführt werden.

Hypercall-Angriff

Bei einem Hypercall-Angriff kann ein Bedrohungsakteur virtuelle Maschinen über den Hypercall-Handler angreifen. Dies kann bewirken, dass schädlicher Code unter Verwendung der Zugriffsrechte des Verwalters der virtuellen Maschine ausgeführt wird.

Hyperjacking

Das Ziel dieser Angriffe besteht darin, die Kontrolle über den Hypervisor zu übernehmen. Bei einem erfolgreichen Angriff dieser Art kann ein Bedrohungsakteur VMs manipulieren und andere Schadaktionen durchführen. Diese Sicherheitsbedrohungen tragen zur Entstehung einer schwierigen Bedrohungslandschaft bei, gegen die sich Unternehmen verteidigen müssen. Für Angreifer ist es von entscheidender Bedeutung, unerkannt zu bleiben.

Zusätzlich zu diesen Angriffen setzen Bedrohungsakteure auch vermehrt Linux-Malware für Angriffe auf Cloud-Umgebungen ein, insbesondere Ransomware.

So funktioniert Malware-Hosting

Diese Sicherheitsbedrohungen tragen zur Entstehung einer schwierigen Bedrohungslandschaft bei, gegen die sich Unternehmen verteidigen müssen. Für Angreifer ist es von entscheidender Bedeutung, unerkannt zu bleiben. Sowohl Cyberkriminelle als auch gezielt vorgehende Eindringungsakteure nutzen verstärkt legitime Cloud-Services, um Malware zu verbreiten, wobei letztere diese Services auch für Command-and-Control-Aktivitäten (C&C) nutzen.

Diese Vorgehensweise verhindert zudem signaturbasierte Erkennungen, da Top-Level-Domänen von Cloud-Hostern bei vielen Netzwerk-Scan-Services normalerweise eine Vertrauensstellung haben. Durch die Nutzung legitimer Cloud-Services wie z. B. Chat-Anwendungen können Bedrohungsakteure im normalen Netzwerkverkehr „untertauchen“ und auf diese Weise einige Sicherheitskontrollen umgehen. Außerdem erlaubt die Nutzung von Cloud-Hostern für C&C-Aktivitäten das einfache Ändern oder Entfernen von Schaddaten in einer zugehörigen C&C-URL.

Wie können Sie Ihre Umgebung vor Malware-Hosting schützen?

Schulung von Mitarbeitern

Schulungen zur Stärkung des Sicherheitsbewusstseins helfen Mitarbeitern, Social-Engineering-Taktiken zu erkennen. Zudem müssen Sicherheitsteams Cloud-Technologien verstehen und wissen, welche Schwachstellen, Risiken und Bedrohungen zu Kompromittierungen führen können.

Verbesserung der Zugriffskontrolle

Ein umfassender Überblick über die gesamte Cloud-Umgebung ist die Voraussetzung für den Schutz von Cloud-Ressourcen. Unternehmen sollten mithilfe der nativen Identitäts- und Zugriffsverwaltungsservices ihrer Cloud-Plattform eine rollenbasierte, detaillierte Zugriffskontrolle für ihre Cloud-Ressourcen implementieren.

Benutzer- oder Netzwerksegmentierung zur Kontrolle der Ausbreitung von Viren

Beginnen Sie mit einer grundlegenden Segmentierung der Cloud-Workloads zwischen verschiedenen virtuellen Netzwerken und lassen Sie nur die wirklich erforderliche Kommunikation zwischen ihnen zu. Außerdem sollten Sie den bei Ihren Anwendungen eingehenden Datenverkehr mithilfe von Firewalls auf die Netzwerk- oder Anwendungsebene beschränken.

Implementierung von CNAPP-Funktionen (Cloud-Native Application Protection Platform) zur Erkennung und Reaktion auf Bedrohungen

Eine CNAPP ist eine Komplettlösung in Form einer cloudnativen Softwareplattform, mit der potenzielle Cloud-Sicherheitsbedrohungen und ‑Schwachstellen überwacht, erkannt und behoben werden können. Eine CNAPP kombiniert verschiedene Tools und Funktionen in einer einzigen Softwarelösung, um die Komplexität zu minimieren und die Abläufe von DevOps- und DevSecOps-Teams zu erleichtern. Gleichzeitig bietet sie umfassende Cloud- und Anwendungssicherheit während des gesamten Anwendungslebenszyklus der kontinuierlichen Integration und kontinuierlichen Auslieferung (CI/CD).

Die CrowdStrike Falcon®-Plattform bietet leistungsstarke CNAPP-Funktionen zum Sichern von Containern und hilft Entwicklern, Cloud-Schwachstellen schnell zu identifizieren und zu beheben.

Cloud-Bedrohungssuche

Unter Bedrohungssuche versteht man das proaktive Aufspüren von Cyberbedrohungen, die unerkannt in Ihrem Netzwerk lauern. Die Cloud-Bedrohungssuche spürt tief verborgene Bedrohungsakteure in Ihrer Umgebung auf, denen es gelungen ist, die ersten Verteidigungslinien Ihrer Cloud-Sicherheitsmaßnahmen zu überwinden.

Cloud Risk Report 2023

Erfahren Sie, auf welche Cloud-Sicherheitsbedrohungen Sie im Jahr 2023 achten sollten und wie Sie diese am besten angehen, um auch 2024 geschützt zu bleiben.

Jetzt herunterladen