Hacker greifen die Cloud an – Hackers attack the cloud

Der Bericht basiert auf Erkenntnissen der X-Force Threat Intelligence, Penetrationstests, Reaktionen auf Vorfälle, Red Hat Insights und Daten, die von Cybersixgill, einem Mitverfasser des Berichts, zwischen Juni 2022 und Juni 2023 zur Verfügung gestellt wurden:

– Anmeldedaten, die durchschnittlich 10 US-Dollar kosten – Mehr als 35 % der Sicherheitsvorfälle in der Cloud sind darauf zurückzuführen, dass Angreifer gültige, kompromittierte Anmeldedaten verwenden. Mit einem Anteil von fast 90 % an den auf Dark-Web-Marktplätzen zum Verkauf angebotenen Objekten ist die Beliebtheit von Anmeldedaten bei Cyberkriminellen offensichtlich: Sie kosten durchschnittlich 10 US-Dollar pro Angebot. Microsoft Outlook Cloud Zugangsdaten wurden über 5 Millionen Mal auf illegalen Marktplätzen angeboten – der mit Abstand beliebteste Marktzugang.

• „Ungepflegte“ Clouds – X-Force beobachtete einen Anstieg von fast 200 % bei neuen Cloud-bezogenen Schwachstellen (Common Vulnerabilities Exposures, CVEs) im Vergleich zum Vorjahr und verfolgt nun fast 3.900 Cloud-bezogene Sicherheitslücken, eine Zahl, die sich seit 2019 verdoppelt hat. Angreifer können ihre Ziele erheblich einfacher angreifen, indem sie viele dieser Schwachstellen ausnutzen. Mehr als 40 % der neuen Cloud CVEs ermöglichen es, entweder Informationen zu erhalten oder sich Zugang zu verschaffen, was darauf hindeutet, dass sich Angreifer über diese Einstiegspunkte eine starke Position verschaffen können.
• Trübe Aussichten für Europa – Vierundsechzig Prozent der Cloud-bezogenen Vorfälle, auf die X-Force im Berichtszeitraum reagierte, betrafen europäische Unternehmen. Tatsächlich wurden 87 % aller von Red Hat Insights beobachteten Malware in europäischen Unternehmen identifiziert, was deren Attraktivität für Angreifer verdeutlicht. Es ist möglich, dass die zunehmenden Spannungen in der Region und die steigende Verbreitung von Backdoors – über die im X-Force Threat Intelligence Index 2023berichtet wurde – dazu geführt haben, dass europäische Cloud-Umgebungen ganz oben auf der Liste der beobachteten Ziele stehen.

 Anmeldedaten eignen sich nicht mehr zur glaubwürdigen Authentifizierung

Angreifer setzen weiterhin auf eine unzureichende Sorgfalt im Umgang mit Anmeldedaten in Unternehmen, um ihre Angriffe auszuführen. X-Force-Einsätze zeigen, dass Anmeldedaten mit überprivilegiertem Zugriff häufig im Klartext auf Endpunkten offengelegt werden, was Angreifern die Möglichkeit bietet, einen Angelpunkt zu etablieren, um tiefer in die Umgebung vorzudringen oder auf hochsensible Informationen zuzugreifen. Bei 33 % der von X-Force Red im Berichtszeitraum durchgeführten Angriffssimulationen in Cloud-Umgebungen wurden Anmeldedaten im Klartext auf Benutzerendpunkten gefunden. Dieser Aufwärtstrend bei der Verwendung von Anmeldeinformationen als ersten Angriffsvektor – 36 % der Cloud-Vorfälle im Jahr 2023 gegenüber 9 % im Jahr 2022 – unterstreicht die Notwendigkeit für Unternehmen, über menschenbasierte Authentifizierungen hinauszugehen und technologische Leitplanken zur Sicherung der Benutzeridentität und des Zugriffsmanagements in den Vordergrund zu stellen.

Da der Zugriff auf immer mehr Daten in immer mehr Umgebungen erforderlich ist, stellt menschliches Versagen weiterhin eine Sicherheitsherausforderung dar. Der wachsende Bedarf an einem dynamischeren und anpassungsfähigeren Identitäts- und Zugriffsmanagement wird heutzutage durch fortschrittliche KI-Funktionen auf dem Markt gedeckt. IBM Security Verify-Kunden sehen zum Beispiel erhebliche Verbesserungen, indem sie sich auf intuitivere Authentifizierungsprozesse stützen, um die Risikobewertung auf der Grundlage von Anmeldemustern, Gerätestandort, Verhaltensanalysen und anderem Kontext zu berechnen und dann den Anmeldeprozess und die Verifizierung automatisch entsprechend anzupassen.

Unternehmen unterschätzen ihre Angriffsoberfläche – Belastungstests sind der Schlüssel zu ihrer Sicherheit

Die Fähigkeit, den gesamten Umfang der Angriffsoberfläche eines Unternehmens zu verwalten, ist der Schlüssel zum Aufbau von Cyber-Resilienz. Unternehmen sind jedoch oft stärker gefährdet, als ihnen bewusst ist, und unterschätzen die potenziellen Ziele in ihrer Umgebung, die Angreifern dienen können. Schatten-IT und unüberschaubare Schwachstellen machen es für Unternehmen immer schwieriger zu erkennen, wo sie am meisten gefährdet sind.

Dem X-Force-Bericht zufolge könnten fast 60 % der neu aufgedeckten Schwachstellen, wenn sie ausgenutzt werden, es Angreifern ermöglichen, Informationen zu erlangen oder sich entweder Zugang oder Rechte zu verschaffen, die eine laterale Bewegung durch das Netzwerk ermöglichen. Von der Bereitstellung von Informationen darüber, wie Umgebungen eingerichtet sind, bis hin zur nicht autorisierten Authentifizierung, die ihnen zusätzliche Berechtigungen einräumen kann, ist es für Unternehmen entscheidend zu wissen, welche Risiken sie priorisieren müssen – insbesondere, wenn sie mit begrenzten Ressourcen arbeiten. Um Unternehmen bei der Bewältigung dieser Herausforderung zu helfen, setzt X-Force Red KI für die Risikobewertung von Sicherheitslücken ein und nutzt die von Hackern entwickelte automatische Ranking-Engine, um die Erkenntnisse auf der Grundlage von Sicherheitslücken und wichtigen Risikofaktoren wie Vermögenswert und Anfälligkeit anzureichern und zu priorisieren.

Da sich Unternehmen darauf konzentrieren, ihre Cloud-Risikostruktur besser zu verstehen, ist es wichtig, dass sie dieses Wissen mit der Reaktionsbereitschaft kombinieren, indem sie Simulationsübungen mit Cloud-basierten Szenarien durchführen, um eine effektive Reaktion auf Cloud-basierte Vorfälle zu trainieren und zu üben. Auf diese Weise erhalten sie nicht nur Einblicke in die Angriffswege und -ziele, die ein Angreifer verfolgen könnte, sondern können auch besser messen, inwieweit sie in der Lage sind, auf einen solchen Angriff zu reagieren und mögliche Auswirkungen einzudämmen.

The report is based on findings from X-Force Threat Intelligence, penetration testing, incident response, Red Hat Insights and data provided by Cybersixgill, a co-author of the report, between June 2022 and June 2023:

– Credentials costing an average of $10 – More than 35% of cloud security incidents are due to attackers using valid, compromised credentials. Accounting for nearly 90% of items offered for sale on dark web marketplaces, the popularity of credentials with cybercriminals is obvious: they cost an average of $10 per offer. Microsoft Outlook cloud credentials were offered over 5 million times on illicit marketplaces – by far the most popular market access.

– „Unmaintained“ Clouds – X-Force observed a nearly 200% increase in new cloud-related vulnerabilities (Common Vulnerabilities Exposures, CVEs) year-over-year and now tracks nearly 3,900 cloud-related vulnerabilities, a number that has doubled since 2019. Attackers can attack their targets significantly easier by exploiting many of these vulnerabilities. More than 40% of new cloud CVEs allow people to either obtain information or gain access, suggesting that attackers can gain a strong position through these entry points.

– Bleak outlook for Europe – Sixty-four percent of the cloud-related incidents X-Force responded to during the reporting period involved European enterprises. In fact, 87% of all malware observed by Red Hat Insights was identified in European enterprises, highlighting their attractiveness to attackers. It’s possible that rising tensions in the region and the increasing prevalence of backdoors – reported in the X-Force Threat Intelligence Index 2023 – have led to European cloud environments being high on the list of observed targets.

Credentials no longer lend themselves to credible authentication

Attackers continue to rely on insufficient care with enterprise credentials to carry out their attacks. X-Force deployments show that credentials with over-privileged access are often exposed in clear text on endpoints, providing attackers with an opportunity to establish a linchpin to penetrate deeper into the environment or access highly sensitive information. In 33% of the attack simulations conducted by X-Force Red in cloud environments during the reporting period, credentials were found in clear text on user endpoints. This uptick in the use of credentials as the first attack vector – 36% of cloud incidents in 2023 versus 9% in 2022 – underscores the need for organizations to move beyond human-based authentication and prioritize technology guardrails to secure user identity and access management.

As access to more data is required in more environments, human error continues to pose a security challenge. The growing need for more dynamic and adaptive identity and access management is being met by advanced AI capabilities in the market today. IBM Security Verify customers, for example, are seeing significant improvements by relying on more intuitive authentication processes to calculate risk scores based on logon patterns, device location, behavioral analytics and other context, and then automatically adjust the logon process and verification accordingly.

Enterprises underestimate their attack surface – stress testing is key to security

The ability to manage the full scope of an organization’s attack surface is key to building cyber resilience. However, organizations are often more at risk than they realize and underestimate the potential targets in their environment that can serve attackers. Shadow IT and unmanageable vulnerabilities make it increasingly difficult for organizations to identify where they are most at risk.

According to the X-Force report, nearly 60% of newly disclosed vulnerabilities, if exploited, could allow attackers to gain information or either access or privileges that allow lateral movement through the network. From providing information on how environments are set up to unauthorized authentication that can grant them additional privileges, it’s critical for organizations to know which risks to prioritize – especially when working with limited resources. To help enterprises address this challenge, X-Force Red leverages AI for vulnerability risk assessment and leverages the automated ranking engine developed by hackers to enrich and prioritize insights based on vulnerabilities and key risk factors such as asset value and vulnerability.

As organizations focus on better understanding their cloud risk structure, it is important that they combine this knowledge with response readiness by conducting simulation exercises with cloud-based scenarios to train and practice effective response to cloud-based incidents. In this way, they not only gain insight into the attack paths and targets an attacker might pursue, but also better measure their ability to respond to such an attack and mitigate any potential impact.