So stoppen Sie eine Cloud-Angriffskette mit Illumio CloudSecure
Mehr Unternehmen nutzen Cloud-Dienste als je zuvor, und das erweitert die Angriffsfläche mit alarmierender Geschwindigkeit. Es gibt viel mehr Möglichkeiten für Angreifer, in Netzwerke einzudringen und sich zu bewegen, bis sie Ihre kritischen Ressourcen erreichen oder Ransomware installieren.
Cloud-Eindringlinge können jedoch schwer zu erkennen sein. Da moderne Methoden der Cyberkriminalität keine Schadsoftware einsetzen, gibt es kein abnormales Verhalten, das die Aufmerksamkeit auf sie lenken könnte. In der Regel verwenden sie legitime Ports, um sich über das Netzwerk zum Ziel zu bewegen.
Deshalb ist es so wichtig, Zero Trust in der Cloud aufzubauen. Es verschiebt die Vertrauensgrenze so nah wie möglich an kritische Ressourcen. Gehen Sie in diesem Blogbeitrag eine echte Cloud-Angriffskette durch und erfahren Sie, wie Zero-Trust-Segmentierung mit Illumio CloudSecure Ihnen helfen kann, Angriffsketten in der Cloud zu stoppen.
Beispiel aus der Praxis: Eine erfolgreiche Cloud-Angriffskette
Die meisten Plattformen für Anwendungssicherheit schützen die Cloud, indem sie Bedrohungen erkennen und darauf reagieren. Aber diese Methode reicht nicht aus — viele Sicherheitslücken in der Cloud wurden in den letzten Jahren lange Zeit nicht entdeckt. Tatsächlich hatten 47% aller Datenschutzverletzungen im letzten Jahr ihren Ursprung in der Cloud, wie Untersuchungen von Vanson Bourne.
Es ist genauso wichtig, unentdeckte Bedrohungen zu überleben wie sich vor denen zu schützen, von denen wir wissen. Sowohl bekannte als auch unbekannte Bedrohungen müssen gestoppt werden.

Was ist passiert? Die Angriffskette
Angreifer nutzten gestohlene Zugangsdaten auf hoher Ebene, um in das Netzwerk einzudringen. Das Unternehmen verfügte über mehrere Sicherheitslösungen, aber die Angreifer schufen Hintertüren in das Netzwerk, um erfolgreich Daten zu stehlen. Sie vermieden Erkennungstools und verbreiteten keine Malware, sodass die Sicherheitslücke monatelang unentdeckt blieb.
Die Sicherheitstools des Unternehmens suchten nur nach bekannten Bedrohungen und verdächtigem Verhalten. Da das Verhalten des Angreifers legitime Mittel nutzte, um auf das Netzwerk zuzugreifen, konnten sie sich problemlos in der Umgebung oder seitlich bewegen, um auf Anwendungen zuzugreifen.
Die Netzwerkschicht verfügte über ein gewisses Maß an Segmentierung mithilfe von Sicherheitsgruppen, aber es handelte sich um breite Segmente. Sobald die Angreifer auf die ursprüngliche Anwendung zugegriffen hatten, war es für sie einfach, zu anderen Anwendungen überzugehen.
Was hätte getan werden können? Seitliche Bewegung stoppen
Es wäre für die Angreifer weitaus schwieriger gewesen, an Ressourcen zu gelangen, wenn sie nicht zwischen Anwendungen wechseln könnten. Einschränkend seitliche Bewegung hätte die Cloud-Umgebung nicht nur vor bekannten, sondern auch vor unentdeckten, unbekannten Sicherheitslücken geschützt.
Eine erfolgreiche Sicherheitsarchitektur muss sowohl vor bekannten als auch vor unbekannten Bedrohungen schützen, ohne die betriebliche Komplexität zu erhöhen.
Im obigen Beispiel schränkten nur Sicherheitsgruppen an den Cloud-Netzwerkgrenzen die laterale Bewegung ein. Das Problem mit Sicherheitsgruppen in virtuellen privaten Clouds (VPCs) oder virtuellen Netzwerken (VNets) besteht darin, dass es sich um netzwerkorientierte Lösungen handelt. Da viele App-Besitzer die Abhängigkeiten des Datenverkehrs zwischen ihren Anwendungen nicht vollständig verstehen, werden Sicherheitsgruppen allzu oft sehr breit — oder gar nicht — zum Netzwerk hinzugefügt. Dadurch kann ein breites Spektrum an Datenverkehr passieren, wodurch weit geöffnete Türen entstehen, durch die sich Angreifer leicht bewegen können.
Verlassen Sie sich auf herkömmliche Netzwerksicherheitstools funktioniert nicht in modernen Hybrid-Cloud-Architekturen. Dies liegt daran, dass Ressourcen ständig hoch und runter laufen und für eine optimale Leistung zwischen Hosts verschoben werden können. Herkömmliche Netzwerkadressierung ist keine zuverlässige Methode mehr, um eine Anwendung in der Cloud zu identifizieren.
Wie Zero-Trust-Segmentierung Cloud-Angriffsketten bekämpft
Es ist an der Zeit, Cloud-Workload- und Anwendungssicherheit von netzwerkzentrierter Sicherheit zu trennen. Sie haben sehr unterschiedliche Prioritäten.
Zero-Trust-Segmentierung (ZTS) fungiert als Backstop für Cloud-Angriffsketten. Es verwendet Segmentierungskontrollen auf Anwendungsebene, ohne sich auf die herkömmliche netzwerkorientierte Segmentierung zu verlassen.
Bei den meisten modernen Betriebssystemen sind Ports standardmäßig geöffnet und befinden sich im Listenmodus, z. B. Linux Secure Shell (SSH) und Windows-Remotedesktopprotokoll (RDP). Wenn Angreifer einen Workload kompromittieren, können sie einen dieser Ports verwenden, um eine Verbindung zu einem benachbarten Host herzustellen. Anschließend können sie sie verwenden, um Zugriff auf wichtige Ressourcen zu erhalten oder bösartige Nutzlasten zu übertragen.
Aus Sicht der Bedrohungsakteure sind diese offenen Ports unverschlossene Türen, die leicht zu passieren sind, wenn sie sich auf der Suche nach dem gewünschten Ziel im Netzwerk bewegen. ZTS verhindert diesen unnötigen seitlichen Zugriff zwischen Anwendungen. Das bedeutet, dass Angreifer auf ihren ursprünglichen Eintrittspunkt beschränkt werden und sich nicht weiter im Netzwerk ausbreiten können.
Wie Illumio CloudSecure ZTS auf die hybride Multi-Cloud ausdehnt
Mit Illumio CloudSecure, können Sie anwendungsorientiertes ZTS in großem Maßstab erstellen. CloudSecure konzentriert sich auf die individuellen Sicherheitsanforderungen jeder Anwendung und reduziert so Ihre Angriffsfläche und verhindert laterale Bewegungen.
Hier sind die drei Schritte, die CloudSecure unternimmt, um eine Cloud-Angriffskette zu stoppen, bevor sie sich auf Ihre Anwendungen ausbreitet.
1. Sehen Sie sich den gesamten Cloud-Verkehr und die Anwendungsabhängigkeiten an
Was Sie nicht sehen können, können Sie nicht durchsetzen. Deshalb ist es wichtig, Durchgängige Sichtbarkeit in den gesamten Anwendungsdatenverkehr in Ihrer gesamten hybriden Multi-Cloud-Umgebung.
Im Rahmen der Illumio ZTS-Plattform, CloudSecure zeigt den gesamten Datenverkehr zwischen allen Workloads für jede Anwendung in Ihrer Cloud-Umgebung an:

2. Definieren Sie den Zugriff mit den geringsten Rechten zwischen Anwendungen
CloudSecure verwendet ein auf Bezeichnungen basierendes Richtlinienmodell, das vorhandene Cloud-Tags den mehrdimensionalen Labels von Illumio zuordnet. Es identifiziert Workloads entlang von Grenzen, die für Geschäftsinhaber und Anwendungsinhaber sinnvoll sind, anstatt eine netzwerkorientierte Adressierung vorzunehmen. Diese Labels definieren Richtlinien auf Hosts, die zu Anwendungen gehören.
3. Implementieren Sie automatisch Cloud-Sicherheitsrichtlinien
CloudSecure implementiert diese Richtlinien dann mithilfe von Cloud-nativen Sicherheitstools wie Sicherheitsgruppen und Netzwerksicherheitsgruppen (NSGs).
Sicherheitsteams müssen keine IP-Adressen und Ports verwenden, um Richtlinien umzusetzen. CloudSecure integriert die anwendungsorientierte Richtlinie in die Syntax, die cloudnative Steuerelemente verstehen können. Dann erkennt es die erforderlichen cloudnativen Steuerelemente, für die es diese Richtlinie implementieren muss.

Die Verwendung eines labelbasierten Richtlinienmodells bedeutet, dass jede Cloud-Ressource, die einer Anwendung zugeordnet ist, das richtige Label hat.
Im obigen Beispiel für einen Cloud-Angriff hätte es den Angreifern erheblich erschwert, von einer Anwendung zur anderen zu wechseln, wenn das System in Segmente aufgeteilt worden wäre. Der Angriff wäre auf eine kleine Gruppe von Ressourcen beschränkt worden, anstatt sich schnell auf alle auszubreiten, bevor er entdeckt wurde.
Starte deine kostenlose Testversion von Illumio CloudSecure heute. Kontaktiere uns um mehr darüber zu erfahren, wie Sie Sicherheitslücken in Ihrer Hybrid-Multi-Cloud mit der Illumio ZTS Platform stoppen können.