>
Research (Insikt)

Erkennungen am Himmel: Sigma-Regeln zur Verbesserung der Cloud-Sicherheit für die Großen Drei

Veröffentlicht: 23. August 2022
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Dieser Bericht bietet einen Überblick über die Tools, die für Angriffe auf die drei großen Cloud-Anbieter Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) verwendet werden. Es enthält Details zu den Fähigkeiten dieser Angriffstools und bietet Erkennungsmöglichkeiten für verdächtiges und böswilliges Verhalten gegenüber diesen Cloud-Anbietern. Dieser Bericht richtet sich an Sicherheitsexperten, die sich auf die Erkennungstechnik konzentrieren. Zu den Quellen gehören die Recorded Future ® -Plattform und Open-Source-Forschung.

Executive Summary

Viele Organisationen migrieren ihre Daten, Ressourcen und/oder Dienste in die Cloud. Die Cloud bietet Unternehmen die Möglichkeit, Dienste zu skalieren und Funktionen bereitzustellen, die mit den lokalen Ressourcen des Unternehmens sonst nicht realisierbar wären. Mit der zunehmenden Nutzung von Cloud-Diensten wird es für Unternehmen immer wichtiger, ihre Cloud-Umgebungen angemessen zu sichern und zu überwachen. Angriffe auf die Cloud-Infrastruktur sehen anders aus und erfordern im Vergleich zu Angriffen auf die lokale Infrastruktur einen besonderen Ansatz zur Erkennung. Aus diesem Grund unterscheiden sich die Best Practices für die Sicherheit von Cloud-Infrastrukturen von anderen Best Practices, die auf herkömmliche Infrastrukturen angewendet werden können.

Zwar verfügen die drei großen Plattformen Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) alle über integrierte Sicherheitskontrollen und Protokollierungsfunktionen, doch hinsichtlich der Bedrohungserkennung und -reaktion für Cloud-Umgebungen herrscht immer noch Unklarheit. Unsere Untersuchungen liefern Einzelheiten zu den verschiedenen Arten von Angriffen, die gegen die drei großen Plattformen ausgeführt werden können, wie etwa das Löschen von Artefakten, die Ausführung von Befehlen und die Aufzählung von Cloud-Umgebungen, sowie Sigma-Regeln zum Erkennen einer Teilmenge der Angriffe, die wir im Rahmen unserer Untersuchungen emuliert haben.

Wichtige Urteile

  • Die Plattformen der „Großen Drei“ verfügen über Protokollierungsfunktionen zum Erkennen der meisten bösartigen Aktivitäten, wenn diese mit der Infrastruktur zum Sammeln, Aggregieren und Korrelieren der Protokolle kombiniert werden.
  • Die für Angriffe auf AWS und Azure entwickelten Tools sind ausgefeilter als die Tools, die auf GCP abzielen.
  • Die Erkennungstechnik für Angriffe auf die Cloud-Infrastruktur ist aufgrund der verteilten und kurzlebigen Natur der Cloud, der vielen verschiedenen Workloads, die von einer Cloud-Infrastruktur ausgeführt werden können, und der Unterschiede zwischen den Cloud-Anbietern kompliziert.
  • Möglichkeiten zum Erkennen von Angriffen auf Cloud-Dienstanbieter bestehen sowohl beim Cloud-Anbieter als auch bei den gehosteten virtuellen Maschinen für Azure und GCP.

Hintergrund

Cloud-Workloads

Es gibt viele verschiedene Möglichkeiten, wie ein Unternehmen Cloud-Ressourcen, sogenannte Cloud-Workloads, nutzen kann. Dell definiert eine Cloud-Workload als „eine bestimmte Anwendung, einen bestimmten Dienst, eine bestimmte Fähigkeit oder eine bestimmte Menge an Arbeit, die auf einer Cloud-Ressource ausgeführt werden kann“. Diese Workloads sind potenzielle Ziele für Cloud-bezogene Angriffe oder laufen Gefahr, durch solche Angriffe gefährdet zu werden.

Laut Gartner sind dies die sieben wichtigsten Workloads, die in die Cloud migriert werden sollten:

  1. Unterstützung für Mobilgeräte und Anwendungen
  2. Zusammenarbeit und Inhaltsverwaltung
  3. Videokonferenz
  4. Virtuelle Desktops und Remote-Arbeitsplatzverwaltung
  5. Scale-Out-Anwendung
  6. Notfallwiederherstellung
  7. Lösungen zur Geschäftskontinuität

Die großen Drei

Als Schwerpunkte dieser Untersuchung haben wir die Top-3- Anbieter für Cloud Infrastructure-as-a-Service (IaaS) ausgewählt: Amazon Web Services (AWS), Azure und Google Cloud Platform (GCP). Zusammen repräsentieren diese Plattformen über 62 % des globalen Cloud-IaaS-Marktes für das erste Quartal 2022, wobei AWS einen Marktanteil von 33 %, Azure von 21 % und GCP von 8 % hat.

Alle drei Plattformen verfügen über ähnliche Serviceangebote. Einem aktuellen Blogeintrag von BMC zufolge bieten AWS und Azure jedoch beide jeweils über 200 Services an, während es bei GCP über 100 sind. BMC beschreibt außerdem die allgemeinen Dienste, die jede Plattform bietet. Im Folgenden finden Sie eine Zusammenfassung ihrer Untersuchung:

  • Rechendienste (VMs, Platform-as-a-Service, Container und serverlose Funktionalität)
  • Datenbank- und Speicherdienste (relationales Datenbankmanagement, NoSQL, Objektspeicher, Dateispeicher, Archivspeicher, Data Warehouse/Data Lake)
  • Netzwerk (virtuelles Netzwerk, Lastenausgleich, Firewall, DNS, Inhaltsbereitstellung)

BMC gibt außerdem an, dass sowohl Azure als auch AWS im Vergleich zu GCP für einige der spezialisierteren Dienste wie Robotik, Endbenutzer-Computing, Spieleentwicklung, virtuelle Realität und IoT mehr Dienste anbieten.

Letztendlich hängt die Entscheidung, welche der drei großen Plattformen verwendet wird, eher vom jeweiligen Anwendungsfall ab, den das Unternehmen lösen möchte.

Die drei großen Bedrohungsanalysen

Die Sicherung der Cloud-Infrastruktur folgt grundsätzlich einem Sicherheitsmodell, das erstmals von Sounil Yu auf dem 3. jährlichen National Cybersecurity Summit (2020) vorgestellt wurde und als DIE-Triade bekannt ist. Die DIE-Triade ist eine angepasste Version der bekannten CIA-Triade (Vertraulichkeit, Integrität und Verfügbarkeit), konzentriert sich jedoch stärker auf die Infrastruktur, auf der die Ressourcen oder Daten einer Organisation gespeichert sind. Copado bietet außerdem die folgenden Definitionen für die DIE-Triade:

  • Verteilt: Sind die Systeme verteilt, um Skalierbarkeit zu ermöglichen und gleichzeitig die Abhängigkeit von einer einzelnen Zone zu verhindern?
  • Unveränderlich: Kann die Infrastruktur im Falle eines Problems entsorgt und ersetzt werden (auch bekannt als Infrastruktur als Code)?
  • Vergänglich: Wie lange dauert die Neubereitstellung des Systems, und sind die Vermögenswerte im Falle einer Sicherheitsverletzung entbehrlich?

Aufgrund der verteilten und kurzlebigen Natur der Cloud und der Vielfalt der Workloads, die von einer Cloud-Infrastruktur ausgeführt werden können, werden Bedrohungsmodellierungsangriffe auf die Cloud-Infrastruktur zunehmend komplizierter. Dies hat zur Folge, dass die Cloud-Infrastruktur von Organisation zu Organisation unterschiedlich ist und Bedrohungen, die die Cloud-Infrastruktur einer Organisation direkt betreffen, nicht unbedingt auch die Cloud-Infrastruktur einer anderen Organisation betreffen. Diese Unterschiede veranschaulichen die vielfältige Natur von Cloud-Umgebungen und helfen bei der Erklärung der Herausforderungen, die mit der Erstellung eines einheitlichen Sicherheitsmodells für Cloud-Umgebungen verbunden sind.

Mithilfe der Recorded Future Platform und OSINT-Forschung haben wir Cyber-Bedrohungen für jede dieser Plattformen ermittelt und festgestellt, dass Fehlkonfigurationen das größte Risiko für Amazon AWS-Instanzen darstellen, gefolgt vom Diebstahl von Anmeldeinformationen, da Bedrohungsakteure sich dadurch den Erstzugriff verschaffen können. Die häufigsten Fehlkonfigurationen, die zu Kompromissen führen, resultieren aus Cloud-Dienstkonfigurationen, die einen öffentlichen Zugriff auf die Umgebung ermöglichen. Microsoft Azure war jedoch von einer Vielzahl unterschiedlicher Cybersicherheitsbedrohungen betroffen, bei denen Fehlkonfigurationen keine große Rolle spielten. Und schließlich waren Google Cloud-Produkte nur in einem einzigen Cyber-Vorfall Ziel von Angriffen, und im Zusammenhang mit Konfigurationsproblemen wurden sie nur sehr selten erwähnt.

Unternehmen stehen zahlreiche Ressourcen zur Verfügung, die sie bei der Implementierung bewährter Methoden zur Sicherheit ihrer Cloud-Infrastruktur unterstützen. Solche Ressourcen sollten auf ihre Anwendbarkeit auf die Situation einer einzelnen Organisation geprüft werden. Gängige Ressourcen sind jedoch die der Cloud Security Alliance, des US- National Institute of Standards and Technology und der US Cybersecurity & Infrastructure Security Agency.

Für diese Untersuchung bestand unser Ansatz darin, gängige Tools und Frameworks zu identifizieren, die zum Angriff auf die drei großen Plattformen verwendet werden, und diese Tools dann in unseren Testumgebungen einzusetzen. Abbildung 1 unten veranschaulicht unsere Methodik zur Wolkenerkennung. Auf hoher Ebene bestand unsere Methodik darin, diese Schadtools in den von uns erstellten Testumgebungen der Cloud-Anbieter auszuführen. Wir analysierten die Protokolle der Cloud-Anbieter auf Artefakte, die auf die Verwendung dieser Tools hinweisen, und erstellten, soweit möglich, darauf basierende Sigma-Regeln.

Insikt-Group-Methode zur Cloud-Erkennung und -Entwicklung.png Abbildung 1: Methodik zur Wolkenerkennung der Insikt Group (Quelle: Recorded Future)

AWS-Bedrohungsanalyse

Angriffsfläche

AWS-Umgebungen sind häufig das Ziel von Bedrohungsakteuren aller Art mit sehr unterschiedlichen Motivationen und Angriffstechniken. Es gibt unzählige Tools, mit denen sich gängige Angriffe auf AWS-Umgebungen emulieren und Angriffsstrategien demonstrieren lassen, die von einem Bedrohungsakteur implementiert werden könnten. Wir haben eine Auswahl dieser Tools identifiziert, wobei wir uns auf die Aktualität und Breite potenzieller Angriffsarten konzentrierten, und sie zum Generieren von Protokolldaten für den AWS-Protokollierungsdienst CloudTrail verwendet. Mithilfe dieser Daten haben wir Sigma-Erkennungen für das angezeigte Verhalten erstellt, sodass Verteidiger und Bedrohungsforscher potenziell bösartige Aktivitäten in AWS-Umgebungen und die Verwendung dieser Tools besser identifizieren können.

Die Tools, die wir zum Generieren von CloudTrail-Protokolldaten verwendet haben, werden unten beschrieben.

Stratus Red-Team

Stratus Red-Team ist ein Penetrationstest- Tool von DataDog, dem Entwickler einer Cloud-basierten Protokollierungs-, Überwachungs- und Sicherheitsplattform. Stratus basiert auf der Pentesting-Suite Atomic Red Team von Red Canary. Allerdings konzentriert sich Stratus auf Cloud-Umgebungen, während Atomic Red Team zum Anvisieren von Windows-, Linux- und MacOS-Betriebssystemen und -Netzwerken verwendet wird.

Stratus enthält mehr als 30 vorgefertigte Angriffstechniken, wie in Abbildung 2 dargestellt. Mit Ausnahme von sieben dieser Techniken werden alle für verschiedene Angriffe auf AWS-Umgebungen verwendet. Diese Angriffe sind vielfältig und umfassen ATT&CK-Taktiken wie Zugriff auf Anmeldeinformationen, Umgehung der Verteidigung, Entdeckung, Ausführung, Rechteausweitung, Exfiltration, Erstzugriff und Persistenz.

Pacu

Pacu ist ein Open-Source-Exploitation-Framework, das sich auf die Durchführung von Angriffstechniken gegen AWS-Cloud-Plattformen unter Verwendung vorgefertigter Module konzentriert. Das Tool ist für den Einsatz im Red-Teaming-Bereich vorgesehen, um Schwachstellen und Fehlkonfigurationen in AWS-Umgebungen zu identifizieren. Es verfügt derzeit über 42 Module, die unter anderem Aufklärung, Entdeckung (Aufzählung), Rechteausweitung, laterale Bewegung, Persistenz, Exfiltration und Umgehung der Verteidigung durchführen. Pacu enthält außerdem eine Liste ausnutzungsspezifischer Module, die dem Benutzer die Durchführung folgender Aktionen ermöglichen:

  • Die automatische Erstellung von Identity- und Access-Management-Schlüsseln (IAM) in einer Zielumgebung
  • Lightsail SSH-Schlüsselerkennung, SSH-Schlüsselgenerierung und vorübergehende Zugriffsgewährung
  • Remotecodeausführung auf EC2-Instanzen als SYSTEM/root

Sigma-Regel-Erkennungen

AWS Sigma-Regel: Stratus-Aktivitätserkennung

Diese Regel erkennt die Zeichenfolge „stratus-red-team“, die jedes Mal in den Benutzeragenten aufgenommen wird, wenn Stratus ein Modul ausführt. Während Stratus hauptsächlich verwendet wird, um bösartige Aktivitäten zu Red-Teaming-Zwecken zu demonstrieren, ist es möglich, dass ein Bedrohungsakteur Stratus-Module ändert, um das Tool als Waffe einzusetzen. Da Stratus bei der Durchführung von Angriffen und Initialisierung der Zielumgebung auf das Infrastructure-as-Code-Tool (IaC) Terraform angewiesen ist, besteht die Möglichkeit, dass der Bedrohungsakteur den Benutzeragent unverändert lässt und der Benutzeragent weiterhin stratus-red-team enthält.

AWS Sigma-Regel: Port 22 Ingress

Das Stratus-Modul aws.exfiltration.ec2-security-group-open-port-22-ingress ermöglicht dem Benutzer, eine Sicherheitsgruppe zu erstellen, die eingehenden Zugriff auf die Umgebung über Port 22 erlaubt. Durch die Erstellung dieser Sicherheitsgruppe hätte ein Bedrohungsakteur die Möglichkeit, in der Umgebung eines Opfers Tools abzuladen oder C2-Befehle bereitzustellen. Die allgemeine Aktivität, den eingehenden Datenverkehr über Port 22 zuzulassen, kann durch die Identifizierung von Ereignissen mit dem Ereignisnamen AuthorizeSecurityGroupIngress und durch die Identifizierung von Ereignissen erkannt werden, bei denen die Anforderungsparameter toPort die Zeichenfolge 22 enthalten.

AWS Sigma-Regel: Löschen von CloudTrail-Trails

Das Stratus-Modul aws.defense-evasion.cloudtrail-delete ermöglicht Benutzern das Erstellen eines CloudTrail-Trails, um Protokolldaten aus der AWS-Umgebung zu entfernen. Diese Technik lässt sich einfach durch die Identifizierung von Ereignissen mit dem Ereignisnamen „DeleteTrail“ erkennen. Diese Ereignisse sollten jedoch genau untersucht werden, um sicherzustellen, dass die Löschung nicht rechtmäßig durchgeführt wurde.

Anmerkung des Herausgebers: Dieser Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Verwandt