Emulation von Cloud-Angriffen: Verbesserung der Cloud-nativen Sicherheit durch bedrohungsinformierte Abwehr

Geschwindigkeit und Agilität sind unerlässlich, um Cybersicherheitsziele in dieser Cloud-nativen Ära effektiv zu erreichen...
19.9.2023
Kennedy Torkura
Lesedauer: 7 Minuten
Emulation von Cloud-Angriffen: Verbesserung der Cloud-nativen Sicherheit durch bedrohungsinformierte Abwehr
Contributors
Kennedy Torkura
Kennedy Torkura
Co-Founder & CTO
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Geschwindigkeit und Agilität sind unerlässlich, um Cybersicherheitsziele in dieser Cloud-nativen Ära effektiv zu erreichen. Leistungsstarke Ingenieurteams nutzen moderne Infrastruktur und Technologie, um die Bereitstellungsgeschwindigkeit zu erhöhen und die Fähigkeit zu erhöhen, auf nachteilige Änderungen zu reagieren. Bei Cybersicherheit ist das nicht anders. Agilität ist noch wichtiger, da die Erkennung und Reaktion auf widrige Umstände oft zeitkritisch sind, insbesondere angesichts von Widrigkeiten. Dementsprechend müssen Cloud-Sicherheitsteams agile und proaktive Ansätze nutzen und diese implementieren Bedrohungsinformierte Verteidigung Mechanismen. Einer dieser Ansätze ist die Cloud-Angriffsemulation, eine neue Methode, die eine schnelle Validierung von Sicherheitszielen ermöglicht, indem gegnerisches Verhalten nachgeahmt wird.

Dieser Artikel beschreibt die Emulation von Cloud-Angriffen und ihre Vorteile und zeigt ein aktuelles Anwendungsszenario mit der AndroxGh0st-Malware.

Cloud-native Sicherheit ist schwierig

Moderne Sicherheitsteams, die mit der Sicherung der Cloud-Infrastruktur beauftragt sind, tragen oft viele Hüte, je nach beruflichen Anforderungen. Ein aktueller Forrester-Bericht ergab, dass 52% der Security Operations Center (SOCs) nicht über die erforderlichen technischen Fähigkeiten verfügen. Daher sind Systeme, die Sicherheitsaufgaben vereinfachen und die Agilität erhöhen, unerlässlich. Während die meisten Sicherheitsexperten gerne viel lernen und ein Alleskönner sein würden, besteht die Gefahr, dass Teams ausbrennen und Opfer ihrer Ambitionen werden. Ein alternativer Ansatz besteht darin, die Dienste von Cybersicherheitsspezialisten aus internen oder externen Ressourcen in Anspruch zu nehmen. Spezialisten verfügen in der Regel über fundierte Kenntnisse und Fähigkeiten in verschiedenen Bereichen der Cybersicherheit, darunter Penetrationstests, Rot-/Blau-Teaming, Erkennungstechnik, Bedrohungssuche usw. Obwohl der Ansatz der Spezialisten zur Erreichung der organisatorischen Sicherheitsziele einen immensen Mehrwert bietet, ist er keine Universallösung und bringt einige Herausforderungen mit sich. Lassen Sie uns auf zwei dieser Herausforderungen näher eingehen:

Sicherheitsexperten tragen aufgrund der Besonderheiten der Cloud-Sicherheit mehrere Hüte

Riskante Wartezeit

Aufgrund der Wartezeit, die bei der Suche nach Cybersicherheitsspezialisten eingeführt wurde, ergeben sich günstige Gelegenheiten. Angreifer könnten diese Lücke ausnutzen, um die Cloud-Infrastruktur zu gefährden. Im Gegensatz zu herkömmlichen Systemen haben moderne Sicherheitsteams nicht den Luxus, Zeit zu haben und vermeiden es, das Geschäft zu behindern. Sie zielen darauf ab, sich an der Dynamik des Unternehmens auszurichten und mit derselben Geschwindigkeit zu agieren. Daher müssen Sicherheitsteams technische Hindernisse begrenzen.

Beschränkungen der Ressourcen

Nicht alle Unternehmen sind gleich; nur einige haben das Budget, um Cybersicherheitsspezialisten einzustellen, die Sicherheitsziele unterstützen. Dies steht indirekt im Zusammenhang mit der ersten Herausforderung: Mit unzureichenden Sicherheitsbudgets neigen Unternehmen dazu, unzureichende Sicherheitsmechanismen zu implementieren, was letztlich zu leichten Ergebnissen für Angreifer wird.

Cloud-Angriffsemulation: Ein Überblick

Die Emulation von Cloud-Angriffen bietet Möglichkeiten, die oben genannten Herausforderungen zu bewältigen. Die Grundidee der Emulation von Cloud-Angriffen besteht darin, kontradiktorische Taktiken und Techniken einzusetzen, um das reale Verhalten von Angreifern gegenüber der Infrastruktur nachzuahmen. Sicherheitstools produzieren Ergebnisse aufgrund emulierter Angriffe, die dann mit den erwarteten Ergebnissen verglichen werden können, um mehrere Sicherheitsziele zu validieren, z. B. die Erkennungseffizienz und die Hypothese zur Bedrohungssuche. In ähnlicher Weise validiert dieser Ansatz mehrere Cloud-Sicherheitskontrollen, z. B. CSPM, CNAPP, CIEM und KSPM.


Die Cloud-Angriffsemulation ist eine Untergruppe der Angriffsemulation (auch Bedrohungsemulation oder Gegner-Emulation genannt), deren Schwerpunkt darauf liegt, Cloud-nativen Technologien die Vorteile der gegnerischen Abwehr zu vermitteln. Dieser Wandel ist von entscheidender Bedeutung, da herkömmliche Angriffsemulationstechniken für cloudnative Umgebungen ungeeignet sind. Darüber hinaus bietet die Einführung von Angriffsemulationsmechanismen für die Cloud-Sicherheit mehrere Vorteile, einschließlich der Überwindung der zuvor erörterten Herausforderungen.

Cloud-Angriffsemulation verleiht Sicherheitsexperten Superkräfte.

Cloud-Sicherheitsabläufe neu überdenken

Die Messung der Sicherheit ist eine Herausforderung, und noch schwieriger ist die cloudnative Sicherheit, aber für die meisten Sicherheitsteams ist dies eine unverzichtbare Aktivität. Die Basiskennzahl für die Effizienz von Sicherheitsteams ist in der Sicherheitsrichtlinie beschrieben oder als Sicherheitsziele zusammengefasst. Daher nehmen Sicherheitsteams regelmäßig Bewertungen vor, vergleichen aktuelle Ergebnisse mit den Sicherheitszielen und hoffen, eine Reihe wichtiger Fragen beantworten zu können, darunter:

  • Wie effizient sind unsere Sicherheitsziele?
  • Wie zuverlässig sind die Signale unserer Sicherheitstools?
  • Was könnte uns fehlen, d. h. unbekannte Unbekannte?
  • Sind wir sicher/unsicher?


Der einfache Weg besteht darin, sich auf das Bauchgefühl und die Signale der Sicherheitstools zu verlassen. Was aber, wenn das Bauchgefühl fehlerhaft ist und die Sicherheitstools aufgrund einer Fehlkonfiguration oder eines Kompromisses ungenau sind? Sicherheitstools sind in letzter Zeit zu beliebten Zielen geworden. Angreifer wissen, welche Auswirkungen es hat, wenn Sicherheitstools zunichte gemacht werden, wie in den letzten Jahren gezeigt wurde Azure-Speicher-Ransomware, wo die Angreifer das Sophos-Kontrollpanel durchbrachen, bevor sie zum Azure-Cloud-Konto übergingen.

Testen von Sicherheitstools — ein Muss für Cloud-native Sicherheit

Es ist schwieriger denn je, sich vollständig auf die Ergebnisse von Sicherheitstools zu verlassen; dies führt häufig zur Einführung eines falsches Sicherheitsgefühl. Beispielsweise bedeutet das Fehlen von Sicherheitswarnungen in einem SIEM nicht direkt eine solide Sicherheitslage. Das SIEM (ersetzen Sie es durch ein ausgefallenes Tool) kann aus verschiedenen Gründen fehlerhaft funktionieren, darunter Fehlkonfigurationen, Herstelleraktualisierungen und Aktionen von Angreifern. Daher ermöglicht die kontinuierliche Validierung der Sicherheitstools mithilfe der Angriffsemulation den Teams, Sicherheitstools zu testen, um die Genauigkeit zu erhöhen. Folglich ermöglichen die genauen Ergebnisse iterativer Validierungen den Teams, Folgendes zu entwickeln wahre Zuversicht in der allgemeinen Sicherheitslage bei gleichzeitiger Erfüllung der gewünschten Sicherheitsziele. Unabhängig von bestimmten Aufgabenbereichen (Erkennungsingenieure, Bedrohungsjäger, SOC-Teams usw.) ermöglicht die Cloud-Angriffsemulation Sicherheitsteams, Angriffe einzuleiten, die echte Gegner nachahmen, Ergebnisse zu sammeln und zu analysieren und objektive Entscheidungen zu treffen, anstatt unbegründete Annahmen zu treffen.


Beispiel für die Emulation eines Cloud-Angriffs: AndroxGh0st-Malware

Das Androxgh0st-Malware ist berüchtigt dafür, nach Laveral-Anwendungen zu suchen und diese nach Geheimnissen aus exponierten ENV-Dateien zu analysieren. Angreifer zielen häufig auf die.env Lavarel-Dateien ab, die häufig zum Speichern von Konfigurationsdaten wie AWS-, SendGrid- und Twilio-Anmeldeinformationen verwendet werden. AndroxGh0st verfügt über „SMTP-Cracking“ -Funktionen und kann Schlüssel generieren, um begrenzte Brute-Forcing-Angriffe gegen die AWS-Infrastruktur durchzuführen. AndroxGh0st führt nach dem Diebstahl von AWS-Anmeldeinformationen eine von zwei weiteren Aktionen aus: Missbrauch des SNS für Spam-Zwecke oder Erstellen eines LoginProfils, um den Zugriff auf das AWS-Konto zu erleichtern. Dieser Artikel bietet eine Demo von letzterem: Erstellen eines LoginProfils.

AndroxGh0st-Codeausschnitt, der seine Fähigkeit zum Analysieren von AWS-Anmeldeinformationen zeigt.

Emulieren eines Androx Gh0st LoginConsole-Angriffs

Das Verständnis des Verhaltens von Gegnern war ein entscheidender Aspekt der Menschheit; der Erfolg militärischer Kriegsführung hängt davon ab, wie viel vom Gegner verstanden wird. In ähnlicher Weise beschäftigen sich die Gegner intensiv mit Sport, um nicht blind zu werden. Im Bereich Cybersicherheit verbringen Malware-Analysten Stunden damit, bösartige Software gründlich zu untersuchen

Angriffsschritte eines typischen AndroxGh0st-Angriffs auf eine AWS-Infrastruktur

Verhalten, da dies wertvolle Erkenntnisse für die Entwicklung wirksamer Gegenmaßnahmen liefert. In ähnlicher Weise kann dieser Ansatz angewendet werden, um die Cloud-Sicherheit zu verbessern. Der Aufwand und die Ressourcen, die für die Nachahmung von Gegnern erforderlich sind, können jedoch teuer sein. Daher neigen die meisten Sicherheitsteams dazu, dies zu vermeiden. Mitigant Cloud Immunity begegnet dieser Herausforderung, indem es die Emulation von Cloud-Angriffen vereinfacht und automatisiert. Folglich können sich Cloud-Sicherheitsingenieure mit wenigen Tastenklicks auf den neuesten Stand bringen. Das folgende Beispiel zeigt, wie einfach es ist, den AndroxGh0st-Malware-Angriff in einer AWS-Cloud-Infrastruktur zu emulieren. Der Angriff wird grob in sechs Schritte wie folgt zusammengefasst:

Schritt 1: Der Angreifer stiehlt die AWS-Anmeldeinformationen aus einer ENV-Datei.

Schritt 2: Der Angreifer verwendet die gestohlenen Anmeldeinformationen, um einen neuen IAM-Benutzer zu erstellen.

Schritt 3: Durch das Anhängen einer verwalteten IAM-Richtlinie erhöht der Angreifer die Rechte des neuen IAM-Benutzers. In der Demo ist der AWS S3 Vollzugriff Die Richtlinie ist beigefügt; es könnte jedoch auch eine freizügigere Politik sein, z. B. die Administratorzugriff politik.

Mildernde Cloud-Angriffsemulation mit den Schritten 2 und 3 des AndroxGh0st-Angriffs

Schritt 4: Der Angreifer erstellt eine Login-Profil um den Zugriff auf das kompromittierte Konto über das AWS-Webbrowserportal zu ermöglichen.


Schritt 5: Der Angreifer löscht den ursprünglich kompromittierten Schlüssel. Dieser Schritt ist in der Emulation nicht implementiert, da alle während des Angriffsvorgangs erstellten Ressourcen anschließend automatisch bereinigt würden.

Schritt 6: Der letzte Angriffsschritt ist nicht eindeutig, da er von den Absichten des Angriffs abhängt. Es könnte sein, dass Sie auf der Suche nach bestimmten Zielen oder lukrativen Ressourcen seitlich auf das kompromittierte Konto zugreifen.

Emulation von abwehrenden Cloud-Angriffen, die Schritt 4 des AndroxGh0st-Angriffs zeigt


Überprüfung der Angriffserkennung

Ein entscheidendes Motiv für die Nachahmung von Angriffen ist die Schaffung von Validierungsmöglichkeiten, und Realismus spielt eine große Rolle bei der Qualität der gewonnenen Erkenntnisse. Der Prozess der Angriffsvalidierung ermöglicht es den Verteidigern, die Ergebnisse der Sicherheitskontrollen zu analysieren, indem sie sie mit dem erwarteten Verhalten vergleichen. In dieser Demo haben wir die von AndroxGh0st durchgeführten Angriffe mit folgenden Methoden validiert DataDog Cloud SIEM , ähnlich wie andere SIEMs, erfasst DataDog Cloud SIEM CloudTrail-Ereignisse aus dem geschützten AWS-Konto. Der folgende Screenshot zeigt, dass das LoginProfile-Ereignis, das im Angriffsschritt 4 ausgelöst wurde, erfasst wird, einschließlich anderer hilfreicher Informationen für Untersuchungen, z. B. Quell-IP-Adresse und MITRE ATT&CK-Taktiken, die diesem Angriff zugeordnet sind.

Validierung der Erkennungseffizienz des Angriffs auf DataDog Cloud SIEM


Es ist wichtig zu beachten, dass der Angreifer während der Kompromittierung mehrere API-Aufrufe getätigt hat. In der Abbildung unten werden 12 verschiedene CloudTrail-Ereignisse gemeldet. Diese Ereignisse sind von entscheidender Bedeutung, da Erkennungstechniker sie verwenden können, um genauere Erkennungsregeln und automatische Strategien zur Reaktion auf Vorfälle zu erstellen. Der letzte Schritt fällt in die Verantwortung eines SOC-Teams. In ähnlicher Weise ermöglichen die Ergebnisse der emulierten Angriffe den Cloud-Sicherheitsingenieuren, die Leistung anderer Tools, z. B. CSPMs, zu überprüfen.

Weitere Erkenntnisse können gewonnen werden, um Angriffe zu verstärken, z. B. hat dieser Angriff 12 CloudTrail-Ereignisse generiert

Emulieren von Cloud-Angriffen mit Mitigant Cloud Immunity

Moderne Sicherheitsteams können Agilität ermöglichen, indem sie Tools verwenden, um die Cloud-Sicherheitslage schnell zu überprüfen. Dieser Ansatz ist selten, da der Zeit- und Arbeitsaufwand erforderlich ist, um Angriffe zu konstruieren, die sicher ablaufen, Beweise für Analysen zu sammeln und die Testumgebung zu bereinigen. Mildernd Cloud-Immunität beseitigt diese Probleme mit seinem leistungsstarken Ansatz zur Emulation von Cloud-Angriffen. Sie müssen keine Zeit in die Erstellung von Angriffen, die Analyse von Angriffen, die Bereinigung der Umgebung, die Sammlung von Beweisen usw. investieren. Diese Anforderungen sind als Funktionen in einem SaaS-Modell verfügbar. Darüber hinaus sind alle Angriffe auf das MITRE ATT&CK-Framework abgestimmt und ermöglichen Bedrohungsinformierte Verteidigung.

Mildernde Cloud-Immunität implementiert über 40 Cloud-Angriffe für mehrere AWS-Services. Die Angriffe können unabhängig voneinander gestartet oder kombiniert werden, um mehrstufige Angriffsszenarien zu emulieren. Darüber hinaus sind verwaltete Angriffe so konzipiert, dass sie bestimmte Angriffe emulieren, z. B. AWS S3 Bucket-Ransomware. Die Mitigant Cloud Immunity wird auf der Grundlage der innovativen Sicherheit, Chaos, Technik Ansatz; er ermöglicht es Unternehmen, ihre Cyber-Resilienz zu beschleunigen. Sie können schnell an Bord gehen, indem Sie sich für eine registrieren Kostenlose 30-Tage-Testversion.

Sind Sie bereit, Ihre Cloud-Infrastrukturen zu sichern?
Nehmen Sie noch heute Kontakt mit dem Mitigant Team auf und schützen Sie Ihre Clouds proaktiv.

Übernehmen Sie die Kontrolle über Ihre Cloud-Sicherheitslage

Übernehmen Sie in wenigen Minuten die Kontrolle über Ihre Cloud-Sicherheit. Keine Kreditkarte erforderlich.
30-Tage kostenlos testen