Amazon S3 ist zu einem Ransomware-Ziel geworden, aber Administratoren können neben anderen Schutzverfahren auch Maßnahmen zur Konfiguration und Ereignisprotokollierung ergreifen.
Amazon S3 ist de facto der Referenzdienst für die Speicherung von Objekten in der Cloud. Leider nutzen so viele Unternehmen S3 und speichern so viele Daten darin, dass es jetzt auch ein beliebtes Ziel für Hacker ist.
Während berühmte Datenlecks und Datenschutzverletzungen seit Jahren für Schlagzeilen sorgen, haben sich die Bedrohungen zu ausgeklügelten Ransomware-Angriffen entwickelt, bei denen sich böswillige Akteure nicht nur Zugang zu umfangreichen Cloud-Datenspeichern verschaffen, sondern diese auch verschlüsseln, um sie als Geiseln zu nehmen. Sobald ein Hacker ein Verwaltungskonto für einen Cloud-Speicher mit grundlegenden Einstellungen kompromittiert hat, kann es ein Leichtes sein, alle gespeicherten Daten zu verschlüsseln und sie herunterzuladen oder zu löschen. Die gute Nachricht ist, dass es möglich ist, die S3-Sicherheit zu erhöhen, um Daten vor Ransomware-Angriffen zu schützen.
Datenverluste durch öffentlichen Zugriff
Die ersten Anwender von S3 waren davon ausgegangen, dass alle Daten, die in einem beliebig definierten S3-Bucket, dem grundlegenden Container für gespeicherte Objekte, abgelegt werden, vor neugierigen Blicken verborgen bleiben. Sie begründeten dies damit, dass der globale Objektnamensraum zu groß und die Namensgebung und die Pfade zu Buckets und Objekten zu undurchsichtig seien.
Viele Jahre lang waren S3-Buckets jedoch standardmäßig öffentlich sichtbar, wenn jemand die externe URL des Buckets kannte oder erraten konnte. Unternehmen können sich also nicht in Sicherheit wähnen, weil Hacker mit globaler Reichweite Millionen von potenziellen Bucket-Links pro Sekunde durchsuchen und nach öffentlichen URLs suchen.
Amazon empfiehlt nun als Best Practice, dass alle Buckets den öffentlichen Zugriff bewusst blockieren und nur bei Bedarf einen breiteren Zugriff auf bestimmte Daten ermöglichen. Tatsächlich hat Amazon vor kurzem die Standardeinstellungen für den öffentlichen Zugriff und den Besitz von Objekten geändert. Alle neu erstellten S3-Buckets sind standardmäßig als völlig privat gesperrt. S3-Administratoren müssen jedoch weiterhin sicherstellen, dass die Zugriffsberechtigungen für bestehende Buckets entsprechend eingestellt sind.
S3 vor Ransomware-Angriffen schützen
Um Daten in S3 zu löschen oder zu verschlüsseln, versuchen Hacker zunächst, ein Administratorkonto zu kompromittieren. In der Vergangenheit haben viele AWS-Kunden nur eine einzige Cloud-Administratoridentität erstellt, die von den Unternehmen oft intern für die Entwicklung, die Datensicherung und die Nutzung der Produktions-Cloudverwendet wurde. Dadurch wurde unbeabsichtigt eine einzige große Sicherheitslücke geschaffen, die bis heute bestehen kann.
Es ist durchaus möglich für Unternehmen, die S3-Sicherheit zu erhöhen, um Daten vor Ransomware-Angriffen zu schützen.
Wenn ein Hacker eine zentrale AWS-Administratoridentität kompromittiert, werden alle gespeicherten Daten wirklich angreifbar. Der erste Schritt besteht darin, sicherzustellen, dass es mehrere Admin-Rollen und isolierte Bucket-Berechtigungen gibt, damit zum Beispiel Entwickler-Storage-Identitäten nicht auf Produktions- oder Backup-Speicher-Buckets zugreifen können.
Konfigurieren Sie vorrangig separate, dedizierte Buckets für kritische Vorgänge. Administratoren sollten essenzielle Primärspeicher-Buckets mit Versionierung (zum Beispiel Objektversionierung) und Multifaktor-Anforderungsfunktionen (unter anderem MFA-Löschung) konfigurieren, um eine sofortige Wiederherstellung zu ermöglichen. Administratoren sollten Sekundärspeicherobjekten feste Unveränderbarkeitsdaten zuweisen, zum Beispiel Object Lock. Beide Ansätze können Daten vor böswilligen Aktivitäten schützen, selbst wenn Hacker die Anmeldedaten von Administratoren kompromittieren.
Wer war wann wo?
Bei einem Unternehmensspeicher, der Millionen oder Milliarden von Objekten umfasst, kann es unmöglich erscheinen, die Objekteinstellungen zu überprüfen und zu konfigurieren. Die gute Nachricht ist, dass Amazon eine integrierte Speicherkonsole zur Verwaltung von Konfigurationsproblemen über alle Buckets hinweg anbietet: S3 Storage Lens. Dieses kostenlose Dashboard bietet eine 15-minütige Granularität für Unternehmen, Konten und Buckets jeder Größe. Mit Storage Lens können Verschlüsselung, Replikation, Speicherkosten, Objektversionierung und andere Einstellungen schnell überprüft werden.
Unternehmen sollten auch die AWS CloudTrail-Ereignisprotokollierung aktivieren, um einen umfassenden Prüfpfad für alle Speicheraktivitäten zu erhalten. Speicherprotokolle sind von unschätzbarem Wert für die Verhinderung von Datenverlusten sowie für die forensische Analyse im Falle von böswilligen Aktivitäten. Darüber hinaus bietet Amazon einen kostengünstigen GuardDuty-Service an, der automatisch CloudTrail-Protokolle und andere Daten analysiert, um proaktiv alle Arten von Hacking-Versuchen in der gesamten AWS-Umgebung zu erkennen. Schalten Sie GuardDuty ein, wenn es keine anderen Maßnahmen zur Überwachung der Unternehmenssicherheit gibt.
Andere Speicherverwaltung
Wenn Sie S3-Konfigurationen überarbeiten, sollten Sie zusätzliche Verschlüsselung mit privaten Schlüsseln für Schlüssel-Buckets einrichten, Objekte über AWS-Zonen hinweg replizieren, um die Ausfallsicherheit zu erhöhen, ungenutzte oder verwaiste Objekte und ganze Buckets regelmäßig löschen und intelligente, abgestufte S3-Speichereinstellungen verwenden, um die Kosten zu kontrollieren.
All diese Maßnahmen verbessern auch das Sicherheitsprofil und erschweren es Hackern, Daten als Geiseln zu nehmen.
Wachsam bleiben
Wenn Administratoren S3 direkt sperren, können andere Ransomware-Eintrittspunkte in den Speicher immer noch kompromittierte Webdienste, beschädigte Datenbanken und Drittanbieterdienste umfassen.
Erwarten Sie beispielsweise raffiniertere Angriffe, bei denen Hacker versuchen, bösartigen Code in vorgelagerte Repositories einzuschleusen oder Maschinen-Images zu ersetzen, um in die Rechenumgebung einzudringen und an wichtige Daten zu gelangen.
