Abwehr von Ransomware-Angriffen mit Security Chaos Engineering — Teil II

Im ersten Blogbeitrag dieser zweiteiligen Reihe wurden die Auswirkungen von Ransomware, bestehende Gegenmaßnahmen...
18.5.2022
Kennedy Torkura
Lesedauer: 6 Minuten
Abwehr von Ransomware-Angriffen mit Security Chaos Engineering — Teil II
Contributors
Kennedy Torkura
Kennedy Torkura
Co-Founder & CTO
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Das erster Blogbeitrag In dieser zweiteiligen Serie wurden die Auswirkungen von Ransomware, bestehende Gegenmaßnahmen und die Grenzen dieser Gegenmaßnahmen erörtert. Danach wurde Security Chaos Engineering (SCE) als effektiver Ansatz zur Überwindung der Grenzen dieser modernen Gegenmaßnahmen eingeführt. In diesem Blogbeitrag wird eingehender untersucht, wie SCE-Ansätze genutzt werden können, um die AWS-Infrastruktur gegen Ransomware-Angriffe abzuwehren. Zur Untermauerung unserer Behauptungen wird ein Anwendungsszenario für AWS S3-Ransomware bereitgestellt.

Sicherheit, Chaos, Technik

Security Chaos Engineering (SCE) ist ein aufstrebender Teilbereich der Cybersicherheit, der sich eher auf evidenzbasierte Ansätze als auf angenommene Sicherheitsstellungen konzentriert. SCE ist hervorgegangen aus Chaostechnik, eine Disziplin, die mehreren Unternehmen dabei geholfen hat, Ausfälle, Leistungs- und Verfügbarkeitsprobleme zu bewältigen. Aufgrund seiner Beziehung zum Chaos Engineering verwendet SCE Hypothesen, die entwickelt wurden, um die gewünschten Sicherheitsergebnisse zum Ausdruck zu bringen. Im Gegensatz zu herkömmlichen Cybersicherheitsansätzen werden bei den SCE-Techniken praktische Schritte unternommen, um die skizzierten Hypothesen zu belegen. Bei diesen Schritten handelt es sich um Experimente, und das Ergebnis ist für die iterativen Bemühungen zur Erhöhung der Sicherheit unerlässlich.

Die Fähigkeit, SCE-Techniken kontinuierlich und schrittweise zu implementieren, ermöglicht ein fundiertes Verständnis der Sicherheitsrisiken und gibt den Verteidigern Selbstvertrauen. Um dies zu erreichen, sind Automatisierung und eine sinnvolle Integration mit dem Zielsystem wie der Cloud-Infrastruktur erforderlich. Im Mittelpunkt von SCE steht die Überprüfung der wichtigsten Sicherheitseigenschaften: Vertraulichkeit, Verfügbarkeit und Integrität. Ein einfacher Weg, dieses Konzept zu verwirklichen, besteht darin, Sicherheitskontrollen zu evaluieren, die sicherstellen, dass die Sicherheitseigenschaften intakt sind. In der Regel lassen sich Sicherheitskontrollen in drei Kategorien einteilen: Sicherheitsmechanismen zur Erkennung, Prävention und Wiederherstellung. SCE-Techniken können genutzt werden, um Sicherheitsmechanismen in jeder dieser Kategorien zu verifizieren, wie in Abbildung 1 dargestellt.

Abbildung 1. Ein Überblick über die Schritte zur Durchführung von Security Chaos Engineering

Überprüfung der Ransomware-Bereitschaft: AWS S3-Ransomware-Angriffsszenario

Praktisch alle Cloud-Ressourcen sind anfällig für Cloud-Ransomware; das mag einige Leser überraschen. Ein Verständnis des Modells der gemeinsamen Verantwortung ist unerlässlich, um dieses Missverständnis auszuräumen. Hoffentlich wird sich ein weiterer Blogbeitrag mit diesem Modell befassen. Die Erkenntnis dabei ist, dass die Cloud-Infrastruktur genauso anfällig für Ransomware-Angriffe ist wie die Infrastruktur vor Ort. Zum Glück bietet die Cloud einzigartige Möglichkeiten, die genutzt werden könnten, um Gegenmaßnahmen gegen Ransomware zu ermöglichen. Im Großen und Ganzen hängt die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs von der Gesamtqualität der Sicherheitslage ab. Daher erfordert die Verringerung der Angriffswahrscheinlichkeit die kontinuierliche Aufrechterhaltung einer soliden Cloud-Sicherheitslage.

Abbildung 2. Schritte zur Implementierung des Bucket-Ransomware-Angriffs

Betrachten wir ein AWS S3-Ransomware-Szenario, um den Einsatz von SCE-Techniken zur Abwehr von Ransomware-Angriffen zu beschreiben. Jedes SCE-Experiment beginnt mit der Konstruktion einer Hypothese. Die Hypothese für dieses Szenario lautet - Die S3-Buckets in unserer Umgebung sind nicht anfällig für Ransomware-Angriffe. Um diese Hypothese zu beweisen, wird ein SCE-Experiment durchgeführt, das aus 7 Schritten besteht. In jedem Schritt werden ein oder mehrere Angriffe orchestriert, die Ergebnisse werden beobachtet und wichtige Schlüsse gezogen. Die Schlussfolgerungen sollten das Verständnis der identifizierten Schwächen der Gegenmaßnahmen gegen Ransomware unterstreichen. Darüber hinaus ist es wichtig, die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit zu analysieren. Die Angriffsschritte für dieses SCE-Experiment sind:

Schritt 1 (Get Steady State): Der Steady State ist der tatsächliche Zustand der Cloud-Infrastruktur vor Beginn des SCE-Experiments. Dies ist eine entscheidende Voraussetzung für das Rollback der Infrastruktur am Ende des SCE-Experiments, d. h. Reversibilität. Für die Etablierung des stationären Zustands gibt es mehrere Ansätze, z. B. Infrastructure-as-Code.

Schritt 2 (Benutzer erstellen Bob): Ein IAM-Benutzer namens Bob wird erstellt und ihm werden die für den Zugriff auf S3-Buckets erforderlichen Berechtigungen zugewiesen. Normalerweise sind die Zugriffskontrollmechanismen, z. B. CIEM (Cloud Infrastructure Entitlement Management) und Tools zur Bedrohungserkennung, z. B. AWS GuardDuty, sollten dieses Ereignis erkennen und eine Warnung auslösen oder das Ereignis sogar vollständig verhindern.

Schritt 3 (Holen Sie sich S3-Buckets): Der neu erstellte Benutzer Bob zählt die AWS S3-Buckets auf und versucht, Buckets mit sensiblen Daten zu identifizieren. Dazu müssen mehrere API-Aufrufe getätigt werden, z. B. ' aws s3api ls'. Diese API-Aufrufe sind oft laut und lösen daher Warnmeldungen aus, wenn die Cloud-Sicherheitstools gut konfiguriert sind. Aufgrund der Tatsache, dass Warnmeldungen häufig zu ermüden sind, besteht jedoch eine hohe Wahrscheinlichkeit, dass Sicherheitsteams solche Warnungen ignorieren. Sicherheitsmechanismen, die Warnmeldungen aus mehreren Quellen in Echtzeit miteinander verknüpfen, sind besser in der Lage, die Warnmeldungen zu priorisieren und darauf zu reagieren.

Schritt 4 (Kompromittieren Sie einen S3-Bucket): Bob identifiziert einen geeigneten Eimer und übernimmt den Eimer. Zuerst werden die Objekte exfiltriert, und dann wird den Besitzern der legitime Zugriff auf den Bucket entzogen. Diese Aktionen sind laut und lösen möglicherweise Sicherheitswarnungen aus. AWS Cloudtrail deckt nicht abOder Ereignisse auf Objektebene. Für die Erfassung dieser Ereignisse werden S3-Serverprotokolle benötigt.

Schritt 5 (Bucket verschlüsseln): Zu diesem Zeitpunkt verschlüsselt Bob den Inhalt des Buckets mit seinem Verschlüsselungsschlüssel, wodurch der Zugriff auf den Bucket und seinen Inhalt praktisch gesperrt wird. Dieser Schritt ist allen Ransomware-Angriffen gemeinsam. Der AWS Key Management Service kann verwendet werden, um den Verschlüsselungsschlüssel auf diese Weise von einem Konto aus bereitzustellen, auf das das Opfer nicht zugreifen kann

Schritt 6 (Ransomware anfordern): Dies ist der am meisten gefürchtete Teil. Bob kontaktiert den Besitzer des AWS-Kontos und verlangt ein Lösegeld. Bob könnte weitere Bedingungen stellen, um ein Gefühl der Dringlichkeit zu erzeugen, z. B. werden Objekte nach jeder verspäteten Stunde gelöscht. Normalerweise werden zu diesem Zeitpunkt Maßnahmen zur Reaktion auf Sicherheitsvorfälle ausgelöst, die leider nicht hilfreich sein können, wenn die erforderlichen Gegenmaßnahmen nicht ergriffen wurden. Diese Maßnahmen zur Reaktion auf Vorfälle sind größtenteils reaktiv und reduzieren bestenfalls den von den Angreifern verursachten Schaden. AWS empfiehlt mehrere proaktive Gegenmaßnahmen, die hilfreich sein könnten:

   1. Versionierung von S3-Objekten: Dies ermöglicht es, eine eindeutige Kopie jedes modifizierten Objekts aufzubewahren. Diese Kopien werden jedoch im selben Bucket aufbewahrt, also    zugänglich für einen Angreifer nach einer erfolgreichen Bucker-Kompromittierung.

   2. MFA Löschen: Durch die Konfiguration dieser Funktion können Objekte nicht gelöscht werden, ohne auf das MFA-Gerät des Bucket-Besitzers zuzugreifen. Bei dieser Funktion könnte es sich um eine handeln    Hindernis für Angreifer, aber keine Abschreckung.

   3. Objekt sperren: Wenn Sie diese Funktion aktivieren, können Objekte nicht nach einem einzigen Schreibvorgang bearbeitet werden. Der Gültigkeitszeitraum kann entweder dauerhaft sein oder    bis zu einem bestimmten Datum.

   4. AWS Backup für S3: Dies ist ein neuer AWS-Service, der die Möglichkeit bietet, AWSS3-Buckets zu sichern, für die die Versionierung aktiviert ist (Abbildung)    3). Dies ist ein großartiger Ansatz. Es kann jedoch erforderlich sein, einen ganzheitlichen Plan zu implementieren, der die Wiederherstellungsoptionen nach Ransomware berücksichtigt    angreifen.

Abbildung 3. AWS Backup unterstützt jetzt S3-Buckets als Opt-In-Funktion

Schritt 7 (Steady State wiederherstellen): Dies ist der letzte Schritt im SCE-Experiment, und alle ausgeführten Aktionen werden rückgängig gemacht und bereinigt. Der in Schritt 1 definierte stationäre Zustand wird verwendet, um einen reibungslosen Betrieb zu ermöglichen.

Bei den oben genannten Schritten handelt es sich um vereinfachte Versionen dessen, was bei einem echten Ransomware-Angriff passieren könnte. Die wichtigste Lektion hier ist, zu überprüfen, ob die erforderlichen Sicherheitsmaßnahmen bösartige Aktivitäten entweder wie vorgesehen erkennen, verhindern oder wiederherstellen.

Die Security Chaos Engineering-Plattform von Mitigant

Mitigant implementiert mehrere SCE-Techniken als Self-Service, der einfach und sicher für die Durchführung von Sicherheitsübungen am Spieltag für Sicherheitsteams verwendet werden kann. Dies reduziert den Zeit- und Arbeitsaufwand für die Implementierung von SCE-Techniken drastisch. Vor allem wird die Lernkurve für die Implementierung von SCE umgangen. Letztlich können die gewonnenen Erkenntnisse iterativ angewendet werden, um die Cloud-Sicherheitslage zu verbessern und so die Wahrscheinlichkeit erfolgreicher Ransomware-Angriffe zu verringern. Das SCE von Mitigant orientiert sich an der empfohlenen Praxis, Simulationsübungen durchzuführen, um die Reaktion auf Sicherheitsvorfälle zu überprüfen. Das AWS-Leitfaden zur Reaktion auf Vorfälle enthält einige Simulationsbeispiele, deren Implementierung schwierig sein kann. Mit Mitigant SCE sind solche Simulationsservices vollständig automatisiert und kontextualisiert, sodass sie zu Ihrer Infrastruktur passen. Darüber hinaus bietet SCE ein hervorragendes Wertversprechen, da anstelle von Simulationen realistische Angriffe eingesetzt werden.

Fazit

In diesem Artikel wurde gezeigt, wie die Techniken von Security Chaos Engineering einzigartige Möglichkeiten bieten, die Effizienz von Sicherheitskontrollen zur Erkennung, Vorbeugung und Wiederherstellung zu überprüfen. Der spezifische Anwendungsfall eines AWS S3-Ransomware-Angriffsszenarios wurde verwendet, um mehrere SCE-Techniken zu untermauern. Ausgehend von einer definierten Hypothese wird ein 7-stufiges SCE-Experiment durchgeführt, um zu überprüfen, wie effizient die Cloud-Sicherheit ist. Diese Schritte helfen bei der Identifizierung von Verstößen gegen Vertraulichkeit, Integrität und Verfügbarkeit, die zu erfolgreichen Ransomware-Angriffen führen könnten.

ERC

Sind Sie bereit, Ihre Cloud-Infrastrukturen zu sichern?
Nehmen Sie noch heute Kontakt mit dem Mitigant Team auf und schützen Sie Ihre Clouds proaktiv.

Übernehmen Sie die Kontrolle über Ihre Cloud-Sicherheitslage

Übernehmen Sie in wenigen Minuten die Kontrolle über Ihre Cloud-Sicherheit. Keine Kreditkarte erforderlich.
30-Tage kostenlos testen