Ein klassischer Penetrationstest (Pentest) hat das Ziel, Schwachstellen in Anwendungen und Systemen zu identifizieren, die in der Regel auf einzelne Server betrieben werden. Beim Cloud Computing und dem Betriebsmodell Cloud liegen dagegen Anwendungen und Systeme jedoch in den meisten Fällen stark verteilt auf den verschiedensten Cloud-Services vor. Diese Gegebenheit wird beim klassischen Pentest oft nicht berücksichtigt und führt dazu, dass eine Vielzahl vorhandener Schwachstellen bei der Durchführung des Pentests nicht aufgedeckt werden kann. Neben den Testverfahren klassischer Pentests müssen deshalb beim Testen von Cloud-Umgebungen, die z.B. bei Amazon Web Services (AWS) oder Microsoft Azure betrieben werden, auch spezielle, Cloud-spezifische Testverfahren eingesetzt werden.
Bei klassischen Pentests wird beim Testen in der Regel nach der Betrachtungsweise Black-Box oder Grey-Box vorgegangen, d.h. der Tester erhält keine oder nur eingeschränkte Informationen über die zu testende Anwendung oder das zu testende System. Da jedoch in Cloud-Umgebungen meist viele und auch unterschiedliche Cloud-Services verwendet werden, steigt die Komplexität dieser Umgebungen stark an und die potenzielle Angriffsfläche für mögliche Angreifer nimmt zu. Eine eingeschränkte Sichtweise beim Testen mindert daher im Bereich Cloud Security das zuverlässige Aufdecken vorhandener Schwachstellen in einem angemessen Zeitrahmen. Bei einem Cloud-Pentest sollte deshalb vorzugsweise die Betrachtungsweise White-Box gewählt werden, denn im Vergleich zu den Betrachtungsweisen Black-Box und Grey-Box erhält der Tester bei dieser Betrachtungsweise umfangreiche Informationen und einen Zugang zur testenden Cloud-Umgebung. Durch diese Vorgehensweise besteht bei diesen komplexen Umgebungen ein deutlich geringeres Risiko, dass Schwachstellen unentdeckt bleiben, die Angreifern die Möglichkeiten zum Verursachen von Schäden bieten.
Cyberangriffe die zur Kategorie „Lateral Movement“ gehören, nehmen in der Cloud einen ganz besonderen Stellenwert ein. Um Daten austauschen zu können, müssen Cloud-Services in Cloud-Umgebungen untereinander kommunizieren können und benötigen dazu entsprechende Zugriffberechtigungen. Ein Angreifer kann sich dieses besonders zunutze machen, in dem er Schwachstellen einzelner, weniger kritischer und weniger abgesicherter Services ausnutzt, um sich Zugang zu kritischen Services zu beschaffen. Er bewegt sich dazu so lange „seitwärts“ von Service zu Service, bis er sein gewünschtes Ziel erreicht hat, z.B. einen Service zur Verwaltung sensibler Daten.
Um effektiv Schwachstellen in Cloud-Umgeben aufzudecken ist es deshalb besonders wichtig, eine Cloud-Umgebung immer im Gesamtkontext mit all ihren verwendeten Services zu betrachten. Denn auch von weniger kritischen Cloud-Services kann ein hohes Risiko ausgehen, dass im schlimmsten Fall mit einer vollständigen Übernahme einer Cloud-Umgebung mit all ihren Daten einhergehen kann.
Der folgende Artikel gibt weiterführende Informationen über Schwachstellen, die in Cloud-Umgebungen besonders häufig anzutreffen sind. Um bei Verwendung der Cloud vor Cyberangriffen gewappnet zu sein, sollten diese Schwachstellen im Rahmen eines Penetrationstests unbedingt auf Vorhandensein und Ausnutzbarkeit mit überprüft werden.
https://www.element76.de/2024/03/15/top-5-schwachstellen-in-cloud-umgebungen/