Oktober 28, 2022
Von Thyaga Vasudevan - Vizepräsident für Produktmanagement, Skyhigh Security
Der kürzlich von SOCRadar aufgedeckte Microsoft-Sicherheitsverstoß mit dem Namen "BlueBleed" wirft ein Licht auf die Risiken falsch konfigurierter Cloud-Storage-Buckets und zeigt, dass Unternehmen sich nicht vollständig darauf verlassen können, dass Cloud-Service-Anbieter (CSPs) die Verantwortung für die Sicherheit übernehmen und diese gewährleisten. Laut dem Verizon 2022 Data Breach Investigations Report sind Fehlkonfigurationen nach wie vor eine der häufigsten Ursachen für Sicherheitsverletzungen. Demnach waren sie die Ursache für 13 % der Sicherheitsverletzungen im vergangenen Jahr. Da Fehlkonfigurationen auf menschliches Versagen zurückzuführen sind, sollte man davon ausgehen, dass kein CSP vollkommen sicher ist.
Was geschah
In seiner Antwort vom 19. Oktober teilte das Microsoft Security Response Center (MSRC) mit, dass es zu einer "unbeabsichtigten Fehlkonfiguration" gekommen sei, die zu einem "potenziell unauthentifizierten Zugriff" auf Kundendaten geführt habe, die laut der Organisation "Namen, E-Mail-Adressen, E-Mail-Inhalte, Firmennamen und Telefonnummern sowie möglicherweise angehängte Dateien mit Bezug auf Geschäfte zwischen einem Kunden und Microsoft oder einem autorisierten Microsoft-Partner" enthielten. Das MSRC machte keine weiteren Angaben über die Anzahl der betroffenen Unternehmen und spielte den Vorfall offenbar herunter.
Wie SOCRadar am nächsten Tag in einem Nachtrag zu dem ursprünglichen Beitrag berichtet, betraf der Verstoß sechs große Cloud-Buckets mit sensiblen Daten von 150.000 Unternehmen in 123 Ländern. Der größte dieser falsch konfigurierten Buckets enthielt 2,4 TB Daten, die zu 65.000 Unternehmen in 111 Ländern gehörten.
Am 20. Oktober berichtete der bekannte Cybersicherheitsforscher Kevin Beaumont, dass der Microsoft-Eimer seit Monaten von Diensten wie Grayhat Warfare öffentlich indiziert und lesbar war. Er behauptete, die offizielle Erklärung von MSRC zeige, dass das Unternehmen "keine Ahnung hat, wie Cybersicherheit in der realen Welt funktioniert" und dass das offensichtliche Versäumnis, die Aufsichtsbehörden zu benachrichtigen, und die Weigerung, den Kunden mitzuteilen, welche Daten entwendet wurden, die "Kennzeichen einer großen verpfuschten Reaktion" sind.
Ein Artikel von The Hacker News vom 21. Oktober berichtet: "Es gibt keine Beweise dafür, dass Bedrohungsakteure vor der Veröffentlichung unrechtmäßig auf die Informationen zugegriffen haben", weist aber darauf hin, dass solche Lecks für bösartige Zwecke ausgenutzt werden könnten.
Warum es wichtig ist
Die durchgesickerten Daten könnten einige sensible Informationen über die Infrastruktur und die Netzwerkkonfiguration der Kunden und potenziellen Kunden von Microsoft enthalten. Hacker, die nach Schwachstellen in den Infrastrukturen der betroffenen Unternehmen suchen, könnten diese Daten möglicherweise als wertvoll erachten und sie nutzen, um deren Netzwerke auszunutzen.
Was Sie dagegen tun können
Machen Sie sich zunächst bewusst, dass CSPs das Potenzial haben, die Angriffsfläche Ihres Unternehmens zu vergrößern. Sie sollten Ihr Service Level Agreement (SLA) mit Ihrem CSP sorgfältig überprüfen, um zu verstehen, wer für was verantwortlich ist und um die Verantwortlichkeiten jeder Partei zu klären. Dies wird in der Regel in einem Shared Responsibility Model festgehalten, einem Rahmenwerk für Sicherheit und Compliance, das die Sicherheitsverantwortlichkeiten für jeden Aspekt der Cloud-Umgebung aufschlüsselt. Dazu gehören Hardware, Infrastruktur, Endpunkte, Daten, Konfigurationen, Einstellungen, Betriebssysteme, Netzwerkkontrollen und Zugriffsrechte. In der Praxis spielen sowohl der CSP als auch der Kunde eine Rolle bei der Gewährleistung der Sicherheit, aber es gibt bestimmte Vermögenswerte, über die eine Partei die direkte Kontrolle und die volle Verantwortung hat, da die andere Partei keinen Einblick in diese Vermögenswerte hat. Dieses gemeinsame Sicherheitsmodell ist komplex, bietet aber die Vorteile von Effizienz, verbessertem Schutz und Fachwissen.
Die Sicherheitsaufgaben und -funktionen variieren je nach Cloud-Service-Bereitstellungsmodell: Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) oder Infrastructure-as-a-Service (IaaS). IaaS- und PaaS-Umgebungen bieten Kunden zwar eine größere Auswahl und Flexibilität, bergen aber auch größere Sicherheitsrisiken, wenn sie nicht richtig konfiguriert sind.
Laut dem Cloud-Native: The Infrastructure-as-a-Service Adoption and Risk Report, bleiben 99% der IaaS-Fehlkonfigurationen unbemerkt. Security Service Edge (SSE) hilft Sicherheitsexperten, riskante Konfigurationen zu erkennen, bevor sie in der Produktion zu einer Bedrohung werden. Durch das Aufzeigen von Sicherheitsfunden, bevor sie zu Sicherheitsvorfällen werden, kann SSE auch dazu beitragen, die Einhaltung gesetzlicher Vorschriften zu verbessern und die Wahrscheinlichkeit von Datenverlusten, Missbrauch oder Geldstrafen im Zusammenhang mit unsachgemäßen Sicherheitskontrollen zu verringern.
Die Zeit wird zeigen, was aus dem BlueBleed-Leck wird. Wenn Sie nicht riskieren wollen, von solchen Lücken betroffen zu sein, kann die Skyhigh Security Service Edge Technologie von Skyhigh helfen. Die einzigartigen datenbezogenen CSPM-Funktionen von Skyhigh ermöglichen es Kunden, Fehlkonfigurationen zu erkennen und helfen dabei, die kritischen Bereiche in der Public Cloud-Infrastruktur aufzuzeigen, die sensible Daten enthalten und am anfälligsten für Datenlecks sind.
Zurück zu Blogs