Cloud-Automatisierung als Waffe – Cloud automation as a weapon

Ein Großteil der Magie der Cloud ist auf ihre inhärente Programmierbarkeit zurückzuführen. Automatisierung und API-basierte Interaktion ermöglichen unglaublich schnelle und wiederholbare Vorgänge. Das ist auch den Bösewichten nicht entgangen. Angreifer in der Cloud arbeiten mit anderen Zeitskalen als vor Ort.

Gezielte oder opportunistische Angriffe sind sogar noch schneller, dank der Automatisierung als Waffe. Opportunistische Angriffe benötigen durchschnittlich weniger als zwei Minuten, um öffentlich zugängliche Anmeldeinformationen zu finden und 21 Minuten von der Entdeckung der Anmeldeinformationen bis zum Beginn des Angriffs.

Gezielte Cloud-Angriffe erfolgen im Durchschnitt innerhalb von 10 Minuten nach der Entdeckung von Zugangsdaten (davon 5 Minuten Verweildauer), und es dauert nur Stunden, bis ein Angreifer ein geeignetes Ziel gefunden hat.

Die wichtigsten Ergebnisse

Cloud-Automatisierung als Waffe. Cloud-Angriffe erfolgen schnell. Aufklärung und Entdeckung sind sogar noch schneller. Die Automatisierung dieser Techniken ermöglicht Angreifern, sofort zu handeln, wenn sie eine Lücke im Zielsystem entdecken. Ein Aufklärungsalarm ist der erste Hinweis darauf, dass etwas nicht in Ordnung ist; ein Entdeckungsalarm bedeutet wiederum, dass das IT-Team zu spät kommt.

10 Minuten bis zum Schaden. Cloud-Angreifer sind schnell und opportunistisch und benötigen nur 10 Minuten, um einen Angriff zu initiieren. Nach Angaben von Mandiant beträgt die durchschnittliche Verweildauer in Unternehmen 16 Tage, was die Geschwindigkeit der Cloud unterstreicht.

Eine 90 Prozent sichere Lieferkette ist nicht sicher genug. 10 Prozent aller fortschrittlichen Bedrohungen für die Lieferkette sind für Standardtools unsichtbar. Mit Hilfe von Umgehungstechniken können Angreifer bösartigen Code verstecken, bis das Image bereitgestellt wird. Die Identifizierung dieser Art von Malware erfordert eine Laufzeitanalyse.

65 Prozent der Cloud-Angriffe zielen auf Telekommunikationsunternehmen und Finanzdienstleister.Telekommunikations- und Finanzunternehmen sind reich an wertvollen Informationen und bieten die Möglichkeit, schnelles Geld zu verdienen. Beide Branchen sind attraktive Ziele für Betrugsversuche.

Stimmen zum Global Cloud Threat Report 2023

„Die Realität ist, dass Angreifer gut darin sind, die Cloud auszunutzen. Sie sind nicht nur in der Lage, Skripte für die Aufklärung und die automatische Bereitstellung von Kryptowährungen und anderer Malware zu erstellen, sondern sie nutzen Tools, die die Macht der Cloud für gute Zwecke einsetzen, und verwandeln sie in Waffen. Ein Beispiel dafür ist der Missbrauch von Infrastructure-as-Code zur Umgehung von Schutzrichtlinien“, so Michael Clark, Director of Threat Research bei Sysdig.

„Cloud-native Angreifer sind ‚Everything-as-code‘-Experten und Automatisierungsfans, was die Zeit bis zum Eintreffen in den Zielsystemen erheblich verkürzt und den potenziellen Explosionsradius vergrößert. Mit Open-Source-Detection-as-Code-Ansätzen wie Falco können Blue Teams in der Cloud die Nase vorn haben“, so Alessandro Brucato, Threat Research Engineer bei Sysdig.

Much of the magic of the cloud is due to its inherent programmability. Automation and API-based interaction enable incredibly fast and repeatable operations. This has not escaped the attention of the bad guys. Attackers in the cloud operate on different time scales than on-premises.

Targeted or opportunistic attacks are even faster, thanks to automation as a weapon. Opportunistic attacks take less than two minutes on average to find publicly available credentials and 21 minutes from credential discovery to attack initiation.

Targeted cloud attacks occur on average within 10 minutes of credential discovery (including 5 minutes of dwell time), and it takes only hours for an attacker to find a suitable target.

Key findings

Cloud automation as a weapon. Cloud attacks happen quickly. Reconnaissance and detection are even faster. Automating these techniques allows attackers to act immediately when they discover a gap in the target system. A reconnaissance alert is the first indication that something is wrong; a discovery alert, in turn, means the IT team is too late.

10 minutes to damage. Cloud attackers are fast and opportunistic, taking only 10 minutes to initiate an attack. According to Mandiant, the average enterprise dwell time is 16 days, underscoring the speed of the cloud.

A 90 percent secure supply chain is not secure enough. 10 percent of all advanced supply chain threats are invisible to standard tools. Evasion techniques allow attackers to hide malicious code until the image is deployed. Identifying this type of malware requires runtime analysis.

65 percent of cloud attacks target telecommunications companies and financial services firms.Telecommunications and financial companies are rich in valuable information and offer the opportunity to make quick money. Both industries are attractive targets for fraud attempts.

Voices on the Global Cloud Threat Report 2023

„The reality is that attackers are good at exploiting the cloud. Not only are they able to create scripts for reconnaissance and automated delivery of cryptocurrencies and other malware, but they are using tools that leverage the power of the cloud for good, turning it into weapons. One example of this is the misuse of infrastructure-as-code to circumvent protection policies,“ said Michael Clark, director of threat research at Sysdig.

„Cloud-native attackers are ‚everything-as-code‘ experts and automation fans, which significantly reduces the time it takes to reach target systems and increases the potential explosive radius. With open source detection-as-code approaches like Falco, blue teams can stay ahead of the curve in the cloud,“ said Alessandro Brucato, Threat Research Engineer at Sysdig.