Neue Studie: Individuelle Konfiguration schützt Cloud-Server

Für eine Security-Studie hat Sophos zehn Cloud-Server-Honeypots aufgesetzt. Keine 40 Minuten hat es im Durchschnitt gedauert, bis der erste Angriff auf einen der zehn Honeypots erfolgte. Insgesamt zählte Sophos 13 Angriffsversuche pro Minute auf jeweils einen Honeypot pro Minute. Als Dreh- und Angelpunkt für ein hohes Sicherheitsniveau empfiehlt der Anbieter eine angepasste Konfiguration und starke Passwörter.

Cloud-Plattformen sind ein wichtiger Bestandteil moderner IT-Umgebungen, ermöglichen ortsunabhängigen Datenzugriff, steigern die Kosteneffizienz, vereinfachen Geschäftsprozesse und vieles mehr. Weltweit speichern immer mehr Unternehmen wie auch Verbraucher ihre Daten in der Cloud. Diese vor dem Zugriff von Cyberkriminellen zu schützen ist daher ein grundlegendes Anliegen für die Verantwortlichen der IT-Security. Um herauszufinden, wie stark Cloud-Server potenziellen Hackerangriffen ausgesetzt sind, hat der Security-Lösungsanbieter Sophos bei der 30-tägigen Studie Exposed: Cyberattacks on Cloud Honeypots anhand von zehn Honeypots untersucht.

Hierfür wurden in zehn der weltweit beliebtesten Amazon Web Services (AWS) Datenzentren in Frankfurt, London, Paris, Mumbai, Ohio, Sao Paolo, Singapur, Sidney Kalifornien und Irland Cloud-Honeypots eingerichtet. Die Studienergebnisse zeigen unter anderem, dass Hacker-Angriffsversuche zahlreich und schnell erfolgten und die Angreifer höchstwahrscheinlich automatisiert vorgingen.

Mit Honeypots Fernzugriff simulieren

Die eingerichteten Honeypots simulierten den Secure Shell (SSH) -Dienst, um SSH-Anmeldeversuche zu messen. SSH ist ein Fernzugriffsdienst, der nicht nur von Servern verwendet wird, sondern auch in häuslichen Umgebungen mit so unterschiedlichen Geräten wie Webcams oder NAS-Geräten genutzt wird. Auf diesen Systemen können berechtigte Benutzer über SSH eine Verbindung herstellen, um das Gerät aus der Ferne zu konfigurieren oder auf Dateien zuzugreifen.

Wenn ein Angreifer die Anmeldeaufforderung auf einem IoT-Gerät hinter sich gelassen hat, erhält er nicht nur die gleichen Zugriffsrechte wie der Besitzer, sondern erlangt häufig sogar mehr Kontrolle als er eigentlich beabsichtigt hatte. Ähnlich wie dies auch bei realen Installationen immer noch sehr oft der Fall ist, haben die Sophos-Experten auch bei der Konfiguration der Honeypots dabei werkseitig vorinstallierte Standardbenutzernamen und -kennwörter beibehalten.

Über fünf Millionen versuchte Angriffe auf Honeypots

Die Untersuchung zeigt, dass Geräte, die nicht die erforderliche Konfiguration erhalten haben (einschließlich der Änderung von werkseitig installierten Standardkennwörtern auf vielen Geräten), einem Hacker einen relativ einfachen Zugriff auf diese Geräte gestatten. Während des 30-tägigen Testzeitraums wurden so insgesamt mehr als fünf Millionen Angriffsversuche auf das globale Honeypot-Netz gezählt. Am häufigsten traf es dabei Ohio mit rund 950.000 Versuchen, gefolgt von Mumbai, Sidney, Irland und Paris mit Angriffsraten zwischen knapp 680.000 und 613.000 und Kalifornien mit ca. 573.000 Versuchen. Frankfurt verzeichnete knapp 440.00 Angriffsversuche und London und Singapur kamen mit nur rund 314.000 beziehungsweise 313.000 Attacken davon.

Erste Angriffsversuche innerhalb von Minuten

Erstaunlich war auch die Schnelligkeit, mit der die Hacker ihre potenziellen Ziele ausmachten und erste Angriffe starteten. So wurde bereits 52 Sekunden nach Freischaltung der Honeypot in Sao Paolo, Brasilien, attackiert. Paris und Sydney waren bei der Erst-Attacke 17 beziehungsweise 18 Minuten am Netz, Frankfurt ereilte es nach einer guten Stunde und in Irland dauerte es mit gut 100 Minuten am längsten, bis ein erster Angriffsversuch erfolgte. Weltweit waren die Honeypot-Cloud-Server durchschnittlich jeweils 13 Mal pro Minute und 757 Mal in der Stunde das Ziel versuchter Attacken.

Darauf, dass Werkskonfigurationen eben nicht geändert werden, spekulieren dabei offenbar auch die Hacker – sie verwendeten bei den meisten Anmeldeversuchen Standard-Benutzernamen und beliebte, häufig verwendete, schwache Kennwörter. Die Zahlenreihe 123456 etwa wurde weltweit am häufigsten als Kennwort für einen Anmeldeversuch benutzt.

Standard sollte nicht als Standard herhalten

Sophos gibt im Report Empfehlungen, um eine bessere Sicherheit zu gewährleisten und die automatisierten Angriffsversuche der Cyberkriminellen zu durchbrechen. "Die Geschwindigkeit und das Ausmaß der Angriffe zeigen einmal mehr, wie beharrlich und entschlossen Cyberkriminelle sind, um Cloud-Plattformen anzugreifen", erklärt Michael Veit, Security-Evangelist bei Sophos. "Unsere wichtigste Empfehlung ist daher immer eine starke Authentisierung per Zertifikat oder per Multifaktor-Authentisierung und zeitbasiertem Einmalkennwort. Die Cloud ist ein elementarer Bestandteil des modernen IT-Alltags und daraus nicht mehr wegzudenken. Die einzigen zugelassenen Standards dürfen deshalb nur die Sorgfalt bei der Konfiguration und eine schlagkräftige IT-Sicherheitsstrategie sein."

Hier einige wichtige Tipps für die IT-Sicherheit:

  1. Verwenden Sie auf SSH-Servern die schlüsselbasierte Authentifizierung und nicht nur ein Kennwort.
  2. Verwenden Sie fail2ban auf Linux-Servern, um die Anzahl der Anmeldeversuche zu begrenzen.
  3. Verwenden Sie eine leistungsfähige Linux-AV-Lösung, wie Sophos Antivirus for Linux.
  4. Setzen Sie eine KI-gestützte Cloud-Security-Lösung mit Compliance-Automatisierung, wie Sophos Cloud Optix ein, die mithilfe von KI das Bedrohungsrisiko unterschiedlicher Cloud-Umgebungen auswertet und reduziert.

Was ist ein Honeypot – Definition

Der Begriff Honeypot ist aus der Tierwelt entliehen und basiert auf der Anziehungskraft eines Honigtopfs auf Bienen. Unter einem Honeypot im Zusammenhang mit IT-Security ist ein System gemeint, das ein tatsächliches "Angriffsziel", wie etwa einen Cloud-Server imitiert, um Angreifer anzulocken. Das ermöglicht es Forschern, cyberkriminelles Verhalten zu beobachten. (sg)

  • Sophos bietet mit Cloud Optix eine KI-basierte Sicherheitslösung für Public Cloud Security, hier die Alarmmeldungen. Bild: Sophos
  • Sophos bietet mit Cloud Optix eine KI-basierte Sicherheitslösung für Public Cloud Security, hier das Reporting. Bild: Sophos
  • Sophos bietet mit Cloud Optix eine KI-basierte Sicherheitslösung für Public Cloud Security, hier die Visualisierung der Netzwerk-Topologie. Bild: Sophos
  • Michael Veit, Security-Evangelist bei Sophos: "Die Geschwindigkeit und das Ausmaß der Angriffe zeigen einmal mehr, wie beharrlich und entschlossen Cyberkriminelle sind, um Cloud-Plattformen anzugreifen". Bild: Sophos
0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

CAPTCHA
Diese Frage stellt fest, ob du ein Mensch bist.

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags