Fehlkonfigurationen stehen weiterhin im Mittelpunkt der meisten bekannten Cloud-Sicherheitsvorfälle. Zu diesem Fazit gelangt die Forschungsabteilung Unit 42 von Palo Alto Networks in ihrer jüngsten Ausgabe des «Cloud Threat Report». In der Studie wurden mehr als 680'000 Identitäten in 18'000 Cloud-Konten und über 200 verschiedenen Unternehmen analysiert.

Dabei kristallisierten sich Konfigurationen und Nutzungsmuster heraus, die Angreifer regelrecht einladen, Cloud-Ressourcen für ihr kriminelles Tun zu missbrauchen. So zeigt die Untersuchung, dass fast alle Cloud-Identitäten übermässig freizügig sind und viele Berechtigungen gewähren, die nie genutzt werden. Unit 42 betrachtet eine Cloud-Identität als übermässig freizügig, wenn ihr Berechtigungen gewährt werden, die in den letzten 60 Tagen nicht genutzt wurden. Eine Identität kann ein menschlicher Benutzer oder ein nicht-menschlicher Benutzer sein, wie z. B. ein Dienstkonto.

Obwohl Cloud-Security-Spezialisten schon seit Jahren predigen, nur die allernotwendigsten Privilegien für Cloud-Instanzen zu gewähren, weist die Situation vor Ort ein diametral entgegengesetztes Bild auf. So waren erstaunliche 99 Prozent der Cloud-Benutzer, -Rollen, -Services und -Ressourcen mit übermässigen Berechtigungen ausgestattet, die nicht genutzt wurden. Wenn sie kompromittiert werden, können Angreifer diese ungenutzten Berechtigungen nutzen, um sich seitlich oder vertikal zu bewegen und den Angriffsradius zu erweitern. Das Entfernen dieser Berechtigungen kann das Risiko, dem jede einzelne Cloud-Ressource ausgesetzt ist, erheblich reduzieren und die Angriffsfläche der gesamten Cloud-Umgebung minimieren. Das Beste daran ist, dass eine Anpassung der Berechtigungsrichtlinien ohne Kosten und Leistungseinbussen möglich ist.

Darüber hinaus erlauben 53 Prozent der Cloud-Konten die Verwendung schwacher Passwörter und 44 Prozent erlauben die Wiederverwendung von Passwörtern. Leider scheinen Angreifer dies ebenfalls zu wissen.

Die zu grosszügig gewährten Privilegien sind oft das Ergebnis einiger schlecht geschriebener Identitäts- und Zugriffsmanagement-Richtlinien. Im Zentrum steht dabei das Identity & Access Management (IAM). Es ist die wichtigste und komplexeste Komponente, die die Authentifizierung und Autorisierung jeder Ressource in einer Cloud-Umgebung regelt. Einfach ausgedrückt: IAM ist die erste Verteidigungslinie in den meisten Cloud-Umgebungen.

Und die wird teilweise auch von Cloud-Service-Provider (CSP) nicht mit der gebotenen Sorgfalt aufrecht erhalten. Sie bieten nämlich in der Regel einen Satz integrierter Berechtigungsrichtlinien, die schnell auf eine Identität angewendet werden können, die Zugriff auf bestimmte Cloud-Ressourcen benötigt. Diese Einheitslösungen der Provider seien jedoch oft zu allgemein gehalten und gewähren zu viele unnötige Berechtigungen, schreibt Palo Alto.

Dies zeigt auch die Studie: In den integrierten CSP-Richtlinien waren nämlich doppelt so viele ungenutzte oder übermässige Berechtigungen enthalten wie in den vom Kunden erstellten Richtlinien. So wird zu oft Administratorenzugriff gewährt, eine Praxis, von denen die Experten abraten. Trotzdem gehören Administratorrichtlinien laut Studie zu den drei am häufigsten gewährten verwalteten Richtlinien.

Das hat Konsequenzen. Denn laut Studie beginnen die meisten bekannten Sicherheitsvorfälle in der Cloud mit einem falsch konfigurierten IAM oder durchgesickerten Zugangsdaten (z. B. öffentlich zugängliche Storage-Buckets und fest codierte Zugangsdaten). Die Studie zeigt, dass 65 Prozent der bekannten Cloud-Sicherheitsvorfälle auf Fehlkonfigurationen zurückzuführen sind. Dies sind auch die Angriffsvektoren, die Angreifer ständig auszunutzen versuchen.

Denn alle identifizierten Cloud-Angreifer versuchten den Experten zufolge, die Cloud-Zugangsdaten abzugreifen, wenn sie einen Server, Container oder Laptop kompromittierten. Durchgesickerte Zugangsdaten mit übermässigen Berechtigungen könnten Hackern dann den «Schlüssel zum Königreich» in die Hände spielen.

Die Forscher haben darüber hinaus in der Vergangenheit bereits einen Cloud-Angreifer identifiziert, der CSP-Anmeldedaten verwendet hat, was zeigt, dass er es nicht nur auf kompromittierte Instanzen abgesehen hat, sondern auch auf Cloud-Workloads.