So sehr wir die Cloud auch lieben, so sehr fürchten wir sie auch.
Wir lieben sie, weil die Cloud-Computing-Dienste von Amazon, Azure und Google die betriebliche Effizienz und die Kosten verändert haben und uns Geld und Zeit sparen und einen Großteil der IT-Belastung abnehmen. Wir fürchten sie aber auch, weil die Unternehmen bei der Umstellung auf die Cloud feststellen mussten, dass ihre vorhandenen Tools den neuen Sicherheitsanforderungen der Cloud-Umgebung nicht gewachsen waren.
In einer perfekten Welt wäre die Cloud-Sicherheit in der Verantwortung der Cloud-Anbieter gelegen. Das ist jedoch nicht der Fall. Die Verantwortung für die Cloud-Sicherheit sowie für die Prüfung der Wirksamkeit unserer Sicherheit gegenüber den heutigen Cyber-Bedrohungen liegt weiterhin bei uns.
Es ist der „Elefant in der Wolke“ oder – wenn Sie so wollen – das „Mammut in der Wolke“.
Dem Cloud-Sicherheitselefanten begegnen
Cloud-Umgebungen werden mehr und mehr zum Ziel von Cyberangreifern. Ein Blick in den IBM-Bericht „Cost of a Data Breach Report 2023“ genügt, um festzustellen, dass 82 % der Sicherheitsverletzungen Daten betreffen, die in der Cloud gespeichert sind – in öffentlichen, privaten oder hybriden Umgebungen. In dem Bericht wird auch festgestellt, dass 39 % der Verstöße mehrere Umgebungen betrafen, was zu überdurchschnittlich hohen Kosten von 4,75 Mio. USD pro Verstoß führte.
Ein klassisches Beispiel für die damit verbundenen Risiken ist die Datenpanne bei Capital One, bei der eine Fehlkonfiguration der Firewall mit einer Technik namens Server-Side Request Forgery (SSRF) ausgenutzt wurde, um Zugriff auf die Cloud-Datenspeicher von Capital One zu erhalten. Mit schätzungsweise 100 Millionen gefährdeten Datensätzen verdeutlicht der Verstoß die Schwachstellen von Cloud-Umgebungen und die Bedeutung einer ordnungsgemäßen Konfiguration und Zugriffskontrolle. Dies ist ein Weckruf für alle Unternehmen, der Cloud-Sicherheit und dem Datenschutz Priorität einzuräumen.
Herkömmliches Pentesting greift zu kurz, wenn es um die Cloud geht. Wir sind versucht zu sagen: „Immer das Gleiche, immer das Gleiche, wir führen einfach unseren jährlichen Pentest in der Cloud-Umgebung durch und sind damit fertig.“
Richtig?! Hmmm…denk nochmal nach.
Angesichts der Natur der Cloud ist der Pentest von gestern so bedeutungslos wie die Zeitung von gestern. Der Lebenszyklus des Native Cloud Computing ist rasant und führt neue Umgebungen und Anwendungen ein. Dieses Tempo macht es für die Sicherheit schwierig, Schritt zu halten, und führt zu einem höheren Risiko von Fehlkonfigurationen oder Berechtigungsfehlern.
Die Identitäten und Rollen von Menschen und Maschinen beim Cloud Computing fügen der auf Microservices basierenden verteilten Umgebung eine weitere Komplexitätsebene hinzu. Cloud-spezifische Sicherheitsvalidierungslösungen sind erforderlich, um diese Herausforderungen zu bewältigen.
Hallo, Cloud-native Penetrationstests
Die Notwendigkeit, Cloud-native Penetrationstests zu definieren, führte zu drei Leitprinzipien – Automatisiert, Kontinuierlich und Umfassend (ACE). Alle drei sind miteinander verknüpft:
- Automatisiert – Die einzige Möglichkeit, Millionen von möglichen Angriffen auf Anlagen, Protokolle, Nutzlasten und Identitäten effektiv abzudecken, ist die softwarebasierte Automatisierung. Manuelles Pentesting erfordert Hunderte von Red Teams, um all dies abzudecken, falls dies überhaupt möglich ist, und wer kann sich das leisten?
- Kontinuierlich -Und selbst wenn Sie das Glück haben, Dutzende von Pentestern einsetzen zu können, werden diese in der Lage sein, das gesamte Netzwerk immer wieder abzudecken und ihre Abdeckung an die Geschwindigkeit der Veränderungen in Ihren Umgebungen anzupassen? Realistischerweise ist die einzige Möglichkeit, dies zu tun, programmatisch. Im Wesentlichen sollten wir versuchen, dies in unsere DevSecOps- oder CloudOps-Prozesse einzubinden, damit alle VNETs und VPCs vor der Inbetriebnahme und danach regelmäßig getestet werden.
- Umfassend – Traditionelle Penetrationstests sind per Definition Stichproben, die nach Anomalien suchen, nach dem einen ungewöhnlichen Ereignis. In einer Cloud-Umgebung ist das Konzept „Testen Sie das goldene Abbild, dann ist alles in Ordnung“ jedoch nicht anwendbar.
Nicht voraussetzen. Prüfen.
Cloud-Sicherheit ohne Pentesting bedeutet, ein Spiel mit Annahmen zu spielen. Sie gehen davon aus, dass Ihre Sicherheitskontrollen wirksam sind. Sie gehen davon aus, dass die von Ihnen konzipierte Architektur hackersicher ist. Sie gehen davon aus, dass Ihre CIEM-Maßnahmen für die Authentifizierung und Autorisierung ausreichend sind. Sie nehmen sehr viel an.
Nehmen Sie den Wandel an und stellen Sie sich dem Elefanten in der Wolke. Proaktive Maßnahmen, einschließlich der Einführung automatisierter Penetrationstests, sind unerlässlich, um Cyberangreifern einen Schritt voraus zu sein. In dieser sich ständig weiterentwickelnden digitalen Landschaft ist Selbstzufriedenheit ein Luxus, den sich kein Unternehmen leisten kann.
Ein kurzes Wort über Pentera
Pentera ist führend bei automatisierter Sicherheitsvalidierungssoftware für alle Angriffsflächen. Jetzt hat das Unternehmen mit Pentera Cloud ein weiteres Produkt seiner Plattform angekündigt, das speziell für die Prüfung von Cloud-Umgebungen entwickelt wurde. Mit seiner automatisierten Algorithmus-Engine führt Pentera Cloud ethische Angriffe auf Cloud-Umgebungen und Konten durch.
Anschließend zeigt Pentera Cloud auf, welche Verteidigungsmaßnahmen funktionieren und welche beseitigt oder gemildert werden müssen, und gibt klare Anweisungen, wie diese durchzuführen sind. Pentera liefert Führungskräften eine Gesamtbewertung der Cloud-Resilienz, um die Verbesserung der Angriffsresilienz im Laufe der Zeit aufzuzeigen.
Zusammenfassend lässt sich sagen, dass Unternehmen auf ihrem Weg in die Cloud nicht umhin kommen, sich mit Sicherheitsfragen zu befassen. Der Elefant in der Cloud ist eine harte Realität, und durch proaktive Maßnahmen, wie die Einführung automatisierter Penetrationstest-Plattformen wie Pentera, können Unternehmen ihre Abwehrkräfte verstärken. Tausende von Sicherheitsexperten nutzen Pentera täglich, um Sicherheitslücken zu schließen und sich gegen alle Bedrohungen der Welt zu wappnen.
Pentera Cloud ist jetzt verfügbar. Klicken Sie hier, um mehr zu erfahren und sich für unser Pentera Cloud Webinar zu registrieren.
Ihr Kontakt zu uns:
Matan Katz, Regional Development
Hier direkt einen Termin buchen:
https://pentera.oramalthea.com/c/MatanKatz
Oliver Meroni, Regional Sales Manager Switzerland & Austria, Pentera
Hanspeter Karl, Area Vice President DACH, Pentera