Fachartikel

Seite 2 - Was Cloud Penetration Testing ausmacht

Absprachen vertraglich festhalten
Allgemein gesprochen sollte der Cloud-Service-Provider jederzeit über die Aktion informiert werden, und darüber, welche Bereiche auf welche Weise betroffen sind, egal welches Deployment- und Servicemodell der Kunde einsetzt. Dabei ist zu bedenken, dass es meist einige Zeit in Anspruch nimmt, bis der Cloud-Service-Provider sich ebenfalls vorbereitet hat. Es bedarf also genügend Vorlauf. Das Abkommen zwischen dem Sicherheitsexperten und dem Auftraggeber sollte darüber hinaus folgende Paragrafen auf jeden Fall umfassen:

  • Bestätigung der Erlaubnis aller beteiligten – auch dritten – Parteien, die von dem Test betroffen sind.
  • Zeitraum und genauer Rahmen des Tests, sowie Definition, was außerhalb dieses Rahmens liegt.
  • Genaue Adresse des Auftraggebers.
  • Kontaktdaten der Ansprechpartner und Verantwortlichen.
  • Involvierte Datensätze (Personenbezogene Daten, Buchhaltung et cetera).
Zusätzlich seien die zehn größten Gefahren für Cloudsysteme genannt, die von der Cloud Security Alliance gelistet und als verpflichtend für Penetration Testings festgelegt sind:

  • Datendiebstahl (Sensible Informationen, wie Gesundheitsdaten, Buchhaltung)
  • Unzureichendes Identity and Access Management (IAM)
  • Unsichere Schnittstellen und APIs
  • Schwachstellen im Betriebssystem
  • Infiltration von Nutzerkonten oder Diensten und Anwendungen
  • Abtrünnige Mitarbeiter
  • Unkontrollierter Abfluss von Daten
  • Mangelnde Sorgfalt beim Umgang mit Daten, Passwörtern und dergleichen
  • Missbrauch der Clouddienste für andere Zwecke, als die vom Unternehmen autorisierten
  • Schwachstellen in der zugrundeliegenden IT-Infrastruktur der Cloud (Shared Technology)
Besonderheit des Cloud Penetration Testing
Konkret geht ein Cloud-Penetration-Test in sechs Schritten vonstatten:

  • Abkommen zwischen dem Tester und Auftraggeber
  • Aufdecken und Darstellen der Bedrohungen (STRIDE, PASTA et cetera)
  • Identifizierung der Schwachstellen
  • Ausnutzung der Schwachstellen
  • Bericht über die Ergebnisse und Empfehlungen zur Verbesserung der Sicherheit
  • Abschlussbericht und Absprache der nächsten Testrunde.


Bild 2: Beim Cloud Penetration Testing geht der Tester nach einer bestimmten Methodologie vor.

Grundsätzlich unterscheidet sich der Test einer On-Premises-Umgebung nicht von dem einer Cloudumgebung. Letzterer betont lediglich die genaue Ausarbeitung der rechtlichen und vertraglichen Rahmenbedingungen. Jedoch konzentriert sich der Cloudtest mehr darauf, die speziellen Bedürfnisse eines Kunden zu verstehen, das Deployment- und Servicemodell der Cloudanbindung zu identifizieren, alle rechtlichen Regeln vorab zu bestimmen und eine genaue Liste aller Verantwortlichkeiten der beteiligten Parteien auszuarbeiten.

Solche Stichpunkte passend zu erstellen hängt natürlich vom jeweiligen Ziel des Penetrationstests ab. Meistens dient für Web- und Mobilanwendungen, die in einer Cloud aufgesetzt werden, die OWASP-Liste als Grundlage. Im Falle von Finanzdiensten kämen PCI-DSS-Prinzipien und CSA-Playbooks zum Einsatz. Daneben bieten die Großen am Markt wie Google, Amazon oder Microsoft eigene Anleitungen mit Best Practices an.

Fazit
Clouddienste sind mittlerweile mehr als nur eine neue Technologie. Sie sind fest im Alltag verankert. Doch gerade weil ihre Nutzung so beliebt geworden ist, müssen IT-Verantwortliche auch die Absicherung kontinuierlich auf dem aktuellen Stand des Wissens und der Technik halten. Hier hilft regelmäßiges Cloud Penetration Testing durch unabhängige Experten, die Sicherheitslücken zu finden und zu schließen. Dabei ist es egal, ob es sich bei der Cloudumgebung um IaaS, PaaS oder SaaS handelt, denn das Vorgehen ist stets gleich: Aufgrund des Konzepts der geteilten Verantwortung müssen die Reichweite des Tests, der rechtliche Rahmen, eine genehmigte Haftungserklärung und die beteiligten Parteien stets vor Beginn genau bestimmt und vertraglich festgelegt werden. Auf diese Weise lassen sich gesetzliche Konflikte oder ungewollte Zwischenfälle vermeiden. Erst danach sollte der Test innerhalb des abgesteckten Spielfeldes stattfinden.


<< Vorherige Seite Seite 2 von 2
14.10.2020/ln/Hassan Moradi, Head of Cyber Security Technical Assessment bei TÜV SÜD

Nachrichten

Fünf Mythen zu Ransomware [27.10.2020]

Angriffe mit Ransomware sind weltweit auf dem Vormarsch und werden auch künftig nicht nachlassen. Einem Bericht zufolge ist die Zahl der Lösegeld-Angriffe weltweit im Vergleich zum Vorjahreszeitraum um 50 Prozent gestiegen. Immer noch halten sich jedoch Mythen, die Unternehmen bei Lösegeldforderungen falsche Entscheidungen treffen lassen. [mehr]

Hochentwickelte Malware in der Mache [26.10.2020]

Avira hat eine neue Variante des Mirai-Botnets identifiziert – die neue Version wurde nach dem japanischen Schwert Katana benannt. Obwohl sich das Katana-Botnet derzeit noch in Entwicklung befindet, verfügt es bereits über Module wie Layer 7-DDoS, unterschiedliche Verschlüsselungen je nach Ursprungsort, schnelle Selbstreplikation und eine gesicherte Verbindung zum Command-and-Control-Server. [mehr]

Tipps & Tools

Vorschau November 2020: Server- und Storage-Virtualisierung [26.10.2020]

Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie es in Zukunft weitergehen könnte. Dabei beleuchten wir auch die Unterschiede zu Containern und befassen uns mit Software-defined Storage und hyperkonvergenten Systemen. In den Tests werfen wir unter anderem einen Blick auf das Private-Cloud-Angebot von IONOS. [mehr]

VMworld 2020: VMware kündigt neue Partnerschaften an [6.10.2020]

Auf der VMworld 2020 im Oktober stellte VMware neue Produkte vor und kündigte Partnerschaften mit NVIDIA und GitLab an. Die Zusammenarbeit mit NVIDIA umfasst unter anderem eine neue Architektur für Rechenzentren, Cloud und Edge, die auf NVIDIA Data Processing Units setzt. VMware gab außerdem Updates des Tanzu-Supports für VMware Cloud on AWS, Azure VMware Solution und Oracle Cloud VMware Solution bekannt. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen