Aqua Security: Cloud Native Threat Report 2023
Zahl der Angriffe auf Storage wächst stark
Aqua Security, Spezialist im Umfeld von Cloud-Native-Security, hat die diesjährige Ausgabe des „Cloud Native Threat Report“ veröffentlicht. Der Bericht fasst die Untersuchungen von Aquas Forschungs-Team Nautilus aus dem vergangenen Jahr zusammen.
Basierend auf der Analyse tatsächlicher Angriffe bietet der Report IT-Sicherheitsexperten einen Einblick in die sich verändernden Taktiken, Techniken und Verfahren der Cyber-Kriminellen, sodass sie ihre Cloud-Umgebungen besser schützen können. Der Bericht deckt drei Schlüsselbereiche ab: die Software-Supply-Chain, die aktuelle Risikolage inklusive Schwachstellen und Fehlkonfigurationen sowie den Laufzeitschutz.
Eine der wichtigsten Erkenntnisse: Die Kriminellen investieren in großem Umfang Ressourcen, um eine Entdeckung zu vermeiden sowie in kompromittierten Systemen stärker Fuß fassen zu können. Die Untersuchungen von Team Nautilus haben außerdem ergeben, dass – im Vergleich zu 2022 – ein Anstieg von dateilosen oder speicherbasierenden Angriffen zu verzeichnen ist, zu deren Durchführung vorhandene Software, Anwendungen und Protokolle ausgenutzt werden.
Tatsächlich nutzen Bedrohungsakteure viele Techniken, um ihre Kampagnen zu verschleiern. Aggregierte Honeypot-Daten, die über einen Zeitraum von sechs Monaten gesammelt wurden, zeigten, dass sich mehr als die Hälfte der Angriffe auf die Umgehung der Verteidigung konzentrierten.
Dazu gehörten Maskierungstechniken, wie beispielsweise die Ausführung von Dateien aus „/tmp“, oder auch verschleierte Dateien oder Informationen, wie etwa das dynamische Laden von Code. Diese Ergebnisse verdeutlichen die entscheidende Bedeutung der Laufzeitsicherheit.
Der Bericht stellt insbesondere verschiedene Bereiche in der Cloud-Software-Supply-Chain dar, die kompromittiert werden können und eine erhebliche Bedrohung für Unternehmen bilden.
In einem konkreten Anwendungsfall demonstriert Nautilus die Auswirkungen von Fehlkonfigurationen in der Software-Supply-Chain (MEHR). Fehlkonfigurationen sind ein Risiko für Unternehmen jeder Größe, weil selbst geringfügige Fehlkonfigurationen schwerwiegende Auswirkungen haben können.
„Bedrohungsakteure konzentrieren sich immer stärker auf agentenlose Lösungen und sind zunehmend erfolgreich darin, diese zu umgehen“, kommentiert Assaf Morag, leitender Bedrohungsforscher bei Aqua Nautilus. „Der überzeugendste Beweis dafür war unsere Entdeckung von HeadCrab, der extrem ausgeklügelten, Redis-basierenden Malware, die mehr als 1.200 Server kompromittiert hat. Wenn es um Laufzeitsicherheit geht, kann nur agentenbasierendes Scanning derartige Angriffe erkennen. Denn solche Angriffe sind darauf ausgelegt, volumenbasierende Scanning-Technologien zu umgehen. Dies ist umso wichtiger, da sich die Umgehungstechniken ständig weiterentwickeln.“
Lesen Sie mehr zum Thema
