Alle Datensynchronisationsdienste basieren auf einem Synchronization-Token, und der ist angreifbar (Bild/Quelle: Imperva)Die neue Cyber-Angriffsform »Man in the Cloud« (MITC) macht in Hacker-Kreisen die Runde. Wie der aktuelle »Hacker Intelligence Initiative Report« (HII Report) vom IT-Security-Unternehmen Imperva zeigt, kapern Hacker damit unentdeckt Datensynchronisationsdienste wie Google Drive, Microsoft OneDrive und Dropbox. Die Cloud-Services sollen sich dadurch in verheerende Angriffswerkzeuge verwandeln lassen. Diese neue Form des Cyberangriffs benötigt laut dem Imperva-Report keinen speziellen Zugriff auf den Namen oder das Passwort des jeweiligen Anwenders.

»Unsere Recherchen haben gezeigt, wie einfach Cyberkriminelle Accounts von Cloud-Synchronisationsdiensten vereinnahmen können, und wie schwierig es hingegen ist, dies zu entdecken und sich von diesem Angriff zu erholen«, erklärt Amichai Shulman, CTO von Imperva. »Seitdem wir Belege für MITC im Netz gefunden haben, sind Organisationen, die sich auf den Schutz vor schädlicher Code-Erkennung oder Command-and-Control-Kommunikation (C&C) verlassen, einem ernsten Risiko ausgesetzt, da die MITC-Angriffe über die Enterprise-File-Sync-and-Share-Infrastruktur (EFSS) für C&C und Exfiltration im Unternehmensnetzwerk erfolgen.«

Anzeige

Imperva: Mobilgeräte können Angriff nicht erkennen, sondern nur Kontrollinstanzen im Rechenzentrum

Durch die verbreitete Nutzung von Mobilgeräten, Tablets, VPNs, Remote-Desktop-Steuerung und SaaS-Anwendungen befinden sich immer mehr Daten in der Cloud, und somit außerhalb der Firmengrenzen. Imperva rät, dass Unternehmen in Betracht ziehen sollten, sich mithilfe eines Zwei-Phasen-Ansatzes vor MITC-Angriffen zu schützen. Dafür ist die Installation eines »Cloud Access Security Brokers« (CASB) zunächst notwendig, der den Zugriff und Gebrauch von unternehmenseigenen Cloud-Diensten überwacht. Zudem empfiehlt Imperva den Einsatz von Kontrollinstanzen wie »Data Activity Monitoring« (DAM) und »File Activity Monitoring« (FAM) für Geschäftsdaten, um ungewöhnliche und missbräuchliche Zugriffe auf unternehmenskritische Daten aufzudecken.

Die Ergebnisse des Reports zeigen auch, dass mobile Endgeräte nicht in der Lage sind, diese Bedrohung zu entdecken und abzuschwächen, da kein schädlicher Code an diesem Backend bestehen bleibt. Außerdem sind auch keine ungewöhnlichen, nach außen führenden Datenkanäle im Netzwerk zu beobachten. Letztendlich können sich Unternehmen nur durch die Aufdeckung missbräuchlicher Zugriffsstrukturen auf diese Daten gegen diese neue Art von Angriffen schützen.