Risiken für Living-off-the-Cloud-Angriffe senken

LOL-Angriffe sind inzwischen auch im Cloud-Zeitalter angekommen. Wir erklären, wie sogenannte LOC-Angriffe funktionieren und wie Sie das Risiko, selbst Opfer dieser Methode zu werden, minimieren können.

In sogenannten Living-off-the-Land-Szenarien (LOTL; besser unter dem hochironischen Akronym LOL bekannt) wird eine Cyberangriffsmethode verstanden, bei der sich die Angreifenden auf einen beliebigen Satz nativer Tools stürzen, die aus der Umgebung des Opfers selbst stammen. Es werden also Ressourcen genutzt, welche die Hackerenden vor Ort finden. In Form von Living-off-the-Cloud-Angriffen (kurz: LOC) ist diese Methode inzwischen auch in der Cloud angekommen.

Da weder eine Malware noch bösartiger Code verwendet werden, sind die Angriffe nur schwer als solche zu erkennen. Die bösartigen Aktivitäten vermischen sich mit dem regulären Datenverkehr und bleiben so oft monatelang unentdeckt.

 

Vorgehen von LOC-Angriffen

Zugang zum Netzwerk erschleichen sich LOC-Angreifende durch Phishing oder gestohlene Anmeldedaten. Beim darauf folgenden eigentlichen Living-off-the-Cloud-Angriff verbergen die Angreifenden ihre bösartigen Aktivitäten hinter den Software-as-a-Service- (SaaS) und Infrastructure-as-a-Service-Anwendungen (IaaS) des Opfers. So täuschen sie vertrauenswürdigen Cloud-Datenverkehr vor, welcher in der Regel nicht genauer geprüft wird und so bequem Firewalls und andere Verteidigungsmaßnahmen passieren kann. Erschwerend kommt hinzu, dass Cloud-Dienste in modernen Unternehmen häufig eine Schlüsselrolle spielen und eine Blockierung dieser Tools daher verheerende Auswirkungen auf die Geschäftsabläufe haben kann.

 

Risiko von LOC-Angriffen senken

Maßnahme #1: Auf ganzheitliche Systeme setzen
Sicherheitstools werden häufig in Silos und fragmentiert bereitgestellt, was es schwieriger macht, den Kontext bzw. die Telemetrie dieser Kontrollmechanismen zu verstehen. Alternativ kann eine Cloud-native (also über die Cloud direkt bereitgestellte) Single-Pass-Architektur in einer SASE (Secure Access Software Edge)-Lösung genutzt werden. Das ermöglicht einen Überblick über das gesamte Ökosystem in Echtzeit, wodurch Unternehmen jederzeit die nahtlose Kontrolle über ihre IT-Umgebung behalten.

Maßnahme #2: Zugriffsrechte beschränken
Gewähren Sie keine allgemeinen Zugriffsrechte, sondern prüfen Sie genau, wer was anfragt und in welchem Kontext diese Anfrage steht (hinsichtlich Verhaltensmuster, Gerätekennung, Uhrzeit, Standort, etc.). Konfigurieren Sie darüber hinaus (sofern möglich) auch granulare Kontrollen für Ihre Anwendungen, um beispielsweise nur geschäftliche Instanzen zuzulassen oder den Upload vertraulicher Daten zu verhindern.

Maßnahme #3: Mitarbeitende regelmäßig schulen
Machen Sie Ihren Mitarbeitenden durch regelmäßige Schulungen bewusst, wie Cloud-Dienste missbraucht werden können. Zeigen Sie ihnen, worauf sie achten müssen und wann sie besser das IT-Team hinzuziehen sollten.

Quelle: it-daily.net