Das Unternehmen hat Einbrüche in Cloud-Instanzen untersucht, nennt Ursachen und liefert daraus resultierende Handlungsempfehlungen.
Sicherheitsabteilungen des Anbieters haben 50 kürzlich kompromittierte Instanzen der Google Cloud Platform analysiert. Die Ergebnisse liegen jetzt als Bericht vor und lassen Schlüsse zu, wie man etwa die Angriffsfläche reduziert. Eine wichtige Erkenntnis: Es geht den Angreifern (noch immer) vor allem ums Geld. Einbrüche gelingen in der Regel aufgrund von Nachlässigkeiten der Nutzer. Und die Zeit bis zu einem erfolgreichen Angriff ist sehr kurz.
In die Cloud-Maschinen eindringen konnten die Angreifer in rund der Hälfte der Fälle aufgrund schwacher oder nicht vorhandener Passwörter für Benutzerkonten oder APIs, die ohne Authentifizierung genutzt wurden. Mehr als ein Viertel der Einbrüche gelang durch Sicherheitslücken in Dritthersteller-Software, die Nutzer selber installiert hatten. Fehlkonfigurationen in der Cloud-Instanz oder in Dritthersteller-Software waren noch bei einem weiteren Achtel der Fälle ursächlich.
Wurde ein System erfolgreich angegriffen, fand die Installation der Crypto-Miner zum Großteil innerhalb von weniger als 30 Sekunden statt. Dies deute auf automatisierte Skripte für Angriff und anschließende Installation, für die keine menschliche Interaktion nötig sei. Manuelle Eingriffe zum Verhindern solch eines Angriffs seien damit fast unmöglich.
Weitere Möglichkeiten zur Verbesserung der Sicherheit umfassen etwa, Dienstkonten für die Authentifizierung von Apps zu nutzen anstatt Zugangsdaten für Benutzerkonten. Auch der Einsatz von Policy Intelligence Tools kann helfen, etwa die geringstmöglichen Rechte für Dienste und Anwendungen zu konfigurieren und damit Folgen von Einbrüchen von vornherein einzudämmen.
Bemerkenswert an Googles Bericht aus der Praxis ist, dass er die Ergebnisse, zu denen etwa Palo Altos Unit42 kürzlich mit zahlreichen Honeypots im Netzgelangte, bestätigt. In dem dort simulierten Szenario führten auch schwache Passwörter zu raschen Einbrüchen in die virtuellen Maschinen. Dass diese bei anfälligen Diensten oder unsicheren Zugangsdaten teils schon in Minuten geknackt werden, ist in der Realität also tatsächlich vielfach anzutreffen.
Quelle: heise
Sicherheitsabteilungen des Anbieters haben 50 kürzlich kompromittierte Instanzen der Google Cloud Platform analysiert. Die Ergebnisse liegen jetzt als Bericht vor und lassen Schlüsse zu, wie man etwa die Angriffsfläche reduziert. Eine wichtige Erkenntnis: Es geht den Angreifern (noch immer) vor allem ums Geld. Einbrüche gelingen in der Regel aufgrund von Nachlässigkeiten der Nutzer. Und die Zeit bis zu einem erfolgreichen Angriff ist sehr kurz.
Geld scheffeln mit Crypto-Mining
Auf 86 Prozent der infiltrierten Cloud-Instanzen installierten die Einbrecher demnach Software zum Schürfen von Kryptowährungen. Auf anderen Instanzen beobachteten die Analysten, dass die Eindringlinge Youtube-Clips aufrufen ließen, um mit damit die Anzeigezähler hochzutreiben und größere Erlöse und Reichweite zu erlangen.In die Cloud-Maschinen eindringen konnten die Angreifer in rund der Hälfte der Fälle aufgrund schwacher oder nicht vorhandener Passwörter für Benutzerkonten oder APIs, die ohne Authentifizierung genutzt wurden. Mehr als ein Viertel der Einbrüche gelang durch Sicherheitslücken in Dritthersteller-Software, die Nutzer selber installiert hatten. Fehlkonfigurationen in der Cloud-Instanz oder in Dritthersteller-Software waren noch bei einem weiteren Achtel der Fälle ursächlich.
Schnell, schnell!
Der kürzeste beobachtete Zeitraum zwischen dem Online-Stellen einer Instanz und ihrer Kompromittierung betrug gerade einmal 30 Minuten. 40 Prozent der analysierten Systeme wurden in weniger als acht Stunden übernommen. Der öffentliche IP-Bereich wird permanent auf angreifbare Dienste gescannt, schließen die Sicherheitsforscher daraus: Das Auffinden einer verwundbaren Cloud-Instanz ist eine Frage des Wann, nicht des Ob.Wurde ein System erfolgreich angegriffen, fand die Installation der Crypto-Miner zum Großteil innerhalb von weniger als 30 Sekunden statt. Dies deute auf automatisierte Skripte für Angriff und anschließende Installation, für die keine menschliche Interaktion nötig sei. Manuelle Eingriffe zum Verhindern solch eines Angriffs seien damit fast unmöglich.
Systeme absichern
In ihrem Sicherheitsbericht "Threat Horizon" erläutern die Google-ExpertenGegenmaßnahmen, mit denen sich Cloud-Nutzer schützen können. An erster Stelle steht die Umsetzung der sogenannten Best Practices: Die Nutzung starker Passwörter, Dritthersteller-Software auf den aktuellen Stand bringen und etwa die Zugangsdaten nicht auf Github veröffentlichen – letzteres geschah offenbar in 4 Prozent der untersuchten Fälle.Weitere Möglichkeiten zur Verbesserung der Sicherheit umfassen etwa, Dienstkonten für die Authentifizierung von Apps zu nutzen anstatt Zugangsdaten für Benutzerkonten. Auch der Einsatz von Policy Intelligence Tools kann helfen, etwa die geringstmöglichen Rechte für Dienste und Anwendungen zu konfigurieren und damit Folgen von Einbrüchen von vornherein einzudämmen.
Bemerkenswert an Googles Bericht aus der Praxis ist, dass er die Ergebnisse, zu denen etwa Palo Altos Unit42 kürzlich mit zahlreichen Honeypots im Netzgelangte, bestätigt. In dem dort simulierten Szenario führten auch schwache Passwörter zu raschen Einbrüchen in die virtuellen Maschinen. Dass diese bei anfälligen Diensten oder unsicheren Zugangsdaten teils schon in Minuten geknackt werden, ist in der Realität also tatsächlich vielfach anzutreffen.
Quelle: heise