Nachdem das Hackerkollektiv ShinyHunters die „übermäßig permissiven“ Gastbenutzerkonfigurationen von Salesforce ausgenutzt hatte, um auf Daten von bis zu 400 Organisationen zuzugreifen, wie können Unternehmen ihre Widerstandsfähigkeit stärken?
Von Kate O'Flaherty
Im März veröffentlichte Salesforce eine Warnung an Kunden, dass ShinyHunters Hackerkollektiv nutzte Fehlkonfigurationen auf öffentlich zugänglichen Experience Cloud-Websites aus, um auf sensible Daten zuzugreifen und Unternehmen zu erpressen.
Die Angreifer nutzten offenbar eine modifizierte Version eines Open-Source-Tools als Waffe. AuraInspector, ursprünglich von Mandiant entwickelt, um Massenscans durchzuführen und Konfigurationslücken zu finden, um bis zu 400 Organisationen anzugreifen.
Als Teil des Salesforce Aura-Frameworks zur Identifizierung von Sicherheitsfehlkonfigurationen in Experience Cloud-Sites haben Angreifer eine Version des Tools entwickelt, die „über die reine Identifizierung hinausgeht und tatsächlich Daten extrahieren kann“, warnte Salesforce in einer Mitteilung. beratend.
„Das ist die Vorgehensweise moderner Angreifer“, sagt Dean Garvey-North, CTO bei Microlise. „Sie verwenden legitime Tools, zielen auf Konfigurationsschwächen statt auf Plattform-Schwachstellen ab und operieren im Internetmaßstab.“
Da Angreifer Kunden mit „zu laxen Gastbenutzereinstellungen“ ausnutzten, trug Salesforce – zumindest aus rechtlicher Sicht – keine Schuld an dem Vorfall. Dieser Vorfall ist ein Paradebeispiel dafür, wie Cloud-Konfigurationen, die Offenlegung von Identitätsdaten und Modelle der geteilten Verantwortung neue und oft missverstandene Risikobereiche schaffen.
Wie können Organisationen die Gefährdung verringern und die Resilienz in Cloud-basierten Umgebungen stärken, in denen das Risiko oft in der Lücke zwischen Plattformfähigkeit und Kundenkonfiguration liegt?
Fehlkonfigurationen
Wie der Salesforce-Vorfall zeigt, sind Fehlkonfigurationen, insbesondere im Zusammenhang mit Gastzugriffen und Identitätsberechtigungen, weiterhin eine beständige Quelle für Datenlecks.
Fehlkonfigurationen bestehen weiterhin, weil Unternehmen häufig Benutzerfreundlichkeit und schnelle digitale Bereitstellung gegenüber Sicherheit priorisieren. Dies gewährt unbeabsichtigt nicht authentifizierten externen Benutzern „umfassende interne Datenberechtigungen“, anstatt die Sicherheit streng zu gewährleisten. Zugriffsmodell nach dem Prinzip der minimalen Berechtigungen, sagt Dray Agha, leitender Manager für Sicherheitsoperationen bei Huntress.
Benutzerfreundlichkeit und Sicherheit stehen „systembedingt im Widerspruch zueinander“, und Konfigurationsentscheidungen, die bei der Implementierung getroffen werden, werden selten nachträglich überprüft, so Garvey-North von Microlise. „Salesforce Experience Cloud-Portale verwenden ein spezielles Gastbenutzerprofil, das es nicht authentifizierten Besuchern ermöglicht, öffentliche Seiten anzuzeigen oder Formulare abzusenden, ohne sich anmelden zu müssen. Wenn dieses Profil mit übermäßigen Berechtigungen falsch konfiguriert ist, können Daten, die nicht für die Öffentlichkeit bestimmt sind, direkt und ohne Anmeldung abgefragt werden.“
Das Problem ist struktureller Natur, sagt Garvey-North. „Plattformen werden mit recht permissiven Standardeinstellungen ausgeliefert, um die Einarbeitung neuer Kunden zu erleichtern. Implementierungsteams optimieren die Systeme, damit alles funktioniert. Sicherheitsüberprüfungen erfolgen punktuell.“
Die Cloud-Konfiguration ist jedoch nicht statisch: „Jedes neue Portal, jede Integration und jede neue Funktion stellt ein potenzielles neues Sicherheitsrisiko dar“, betont Garvey-North. „Ohne kontinuierliche Konfigurationsüberwachung verlassen Sie sich im Grunde darauf, dass sich seit Ihrem letzten Audit nichts geändert hat.“
Wer ist schuld?
Salesforce ist ein Beispiel dafür, wie Funktionen, die auf Benutzerfreundlichkeit ausgelegt sind, wie öffentliche Portale, APIs und Gastzugriff, neue und oft unterschätzte Sicherheitsrisiken mit sich bringen.
„Diese Funktionen verändern oft traditionelle Sicherheitsannahmen“, sagt Dana Simberkoff, Chief Risk, Privacy and Information Security Officer bei AvePoint. „Benutzerfreundliches Design verlagert das Risiko oft unbemerkt von der Plattform auf den Kunden.“
Dann kann es schwierig sein, die Verantwortlichkeiten zwischen Cloud-Anbietern und Kunden zu klären – insbesondere dann, wenn die Vorfälle auf Konfigurationsprobleme und nicht auf Schwachstellen der Kernplattform zurückzuführen sind.
Die Angreifer behaupteten, eine „Salesforce-Beschränkung“ habe den Vorfall ermöglicht. Salesforce selbst hat jedoch klargestellt: Es handele sich nicht um eine Plattform-Schwachstelle, sondern um ein Problem mit der Konfiguration der Gastbenutzerberechtigungen durch die Kunden, so Garvey-North.
Cloud-Anbieter Die Plattform muss gesichert sein, doch die Kunden sind für deren Konfiguration verantwortlich – einschließlich Identität, Berechtigungen und Datensicherheit. „Genau hier scheitern die meisten Unternehmen“, sagt Stew Parkin, globaler CTO von Assured Data Protection. „Sie verlassen sich letztendlich auf punktuelle Prüfungen in Umgebungen, die sich ständig verändern.“
„Das Modell der geteilten Verantwortung ist in der Theorie gut etabliert, wird aber in der Praxis immer wieder missverstanden“, ergänzt Garvey-North von Microlise. „Cloud-Anbieter sichern die Infrastruktur und die Plattform. Kunden sind dafür verantwortlich, was sie darauf speichern, wie sie den Zugriff konfigurieren und wie sie die Plattform im Laufe der Zeit verwalten. Die Lücke – und der Bereich, in dem die meisten Sicherheitslücken auftreten – liegt in der Konfigurationsebene.“
Automatisierungsermöglichende Angriffe
Gleichzeitig werden Angreifer immer leistungsfähiger und nutzen Automatisierung und legitime Tools, um Schwachstellen in Hunderten von Organisationen gleichzeitig zu identifizieren und auszunutzen. CTO von Mandiant bestätigt Shiny Hunters nutzte AuraInspector, um Schwachstellenscans in Salesforce-Umgebungen in großem Umfang zu automatisieren.
„Wenn Sicherheitsexperten über Cloud-Risiken nachdenken, neigen sie immer noch dazu, in Kategorien einzelner Vorfälle zu denken“, sagt Garvey-North.
Angreifer denken jedoch in Bezug auf die Angriffsfläche. „Jedes Fehlkonfigurationsmuster, das in Tausenden von Organisationen existiert, ist nur eine einzige automatisierte Kampagne von einer massenhaften Ausnutzung entfernt“, sagt Garvey-North.
Gleichzeitig verstärken Taktiken wie inszenierte Leaks und Vishing-Kampagnen die Auswirkungen solcher Vorfälle.
ShinyHunters setzte eine öffentliche Frist und warnte, dass die gestohlenen Daten veröffentlicht würden, falls die Opfer den Erpressungsforderungen nicht nachkämen.
Die Gruppe führte parallel Vishing-Operationen durch, indem sie sich als IT-Mitarbeiter ausgab und Angestellte auf Webseiten zum Sammeln von Anmeldeinformationen leitete, um Single Sign-On-Anmeldeinformationen zu erfassen. Multi-Faktor-Authentifizierung (MFA)-Codes. Die Kombination ist Absicht, sagt Garvey-North: „Daten durch Fehlkonfiguration stehlen, Zugangsdaten durch Social Engineering erlangen und dann beides zur Erpressung nutzen.“
Dies geschieht in einer Zeit steigender regulatorischer Anforderungen an Datenschutz, Zugriffskontrolle und Verantwortlichkeit. Angesichts der zunehmenden Verbreitung von Datenschutzgesetzen in vielen Ländern und der steigenden Zahl von Sammelklagen ist die Verhinderung des Datenverlusts oft der Hauptgrund für die Zahlung von Schutzgeldern.
„Obwohl es natürlich nicht empfehlenswert ist, ist es oft günstiger, für die Verhinderung der Veröffentlichung der Daten zu zahlen, als die Strafen und Anwaltskosten zu tragen, die durch eine Offenlegung entstehen“, sagt Tony Gee, leitender Cybersicherheitsberater bei 3B Data Security.
Überbrückung der Sichtbarkeitslücke
Vorfälle wie die Angriffe auf Salesforce verdeutlichen eine anhaltende Herausforderung: Organisationen sind zunehmend auf Cloud-Plattformen angewiesen, doch die Verantwortung für die Sicherheit ist verteilt und nicht immer klar definiert.
Unternehmen müssen sich von der Annahme verabschieden, dass die Sicherheit von Cloud-Plattformen ausreichend ist, und stattdessen einen kontinuierlicheren, systembasierten Ansatz für Konfigurationsmanagement, Identitätsgovernance und -sicherung verfolgen.
„Traditionelle Sicherheitsmaßnahmen stützen sich stark auf statische, punktuelle Prüfungen, die die subtilen, kontinuierlichen Konfigurationsabweichungen und API-Schwachstellen, die die Risiken moderner Cloud-Umgebungen kennzeichnen, völlig außer Acht lassen“, sagt Agha von Huntress.
„Dadurch entsteht eine gefährliche Sichtbarkeitslücke, in der legitime Funktionen stillschweigend missbraucht werden“, warnt er.
Vor diesem Hintergrund sollten Verantwortliche für Sicherheit und Compliance einige praktische Schritte unternehmen, um die Transparenz und Kontrolle über Identitäts-, Zugriffs- und Konfigurationseinstellungen zu verbessern.
Laut Agha müssen Führungskräfte zu einer standardmäßig auf Datenschutz basierenden Sicherheitsstrategie übergehen, indem sie die Berechtigungen externer Gastprofile aktiv überprüfen, den Zugriff auf nicht authentifizierte öffentliche APIs deaktivieren, es sei denn, dies ist unbedingt erforderlich, und eine kontinuierliche Überwachung der Ereignisprotokolle implementieren, um ungewöhnliche Datenabfragen zu erkennen.
„Seien Sie äußerst neugierig auf die genutzte Infrastruktur und gehen Sie davon aus, dass der Anbieter keine standardmäßige Sicherheit implementiert hat“, rät er. „Untersuchen Sie die in der Konfiguration von Drittanbieter-Tools verfügbaren Sicherheitsoptionen.“
Eine wichtige Schutzmaßnahme ist laut Gee von 3B Data Security eine sorgfältige Lieferantenprüfung und ein kontinuierliches Risikomanagement für Drittanbieter. Er empfiehlt, beim Datenaustausch das Prinzip der minimalen Berechtigungen anzuwenden und nur die unbedingt notwendigen Daten mit Dritten zu teilen.
Garvey-North von Microlise rät, Anbietern die gleichen Fragen zu stellen, die man auch an die eigene Infrastruktur stellen würde: „Welche Sicherheitskonfigurationen haben Sie standardmäßig, wie erkennen Sie anomale Zugriffe auf Plattformebene und wie sieht Ihr Offenlegungsprozess aus, wenn etwas schiefgeht?“
Gleichzeitig ist ein robuster Reaktionsprozess laut Gee unerlässlich, um das Risiko von Bußgeldern und Klagen zu minimieren. „Eine hohe Cybersicherheitsresistenz hat sich als entscheidender Faktor für die Höhe des Bußgeldes erwiesen. Untätigkeit und das Vertrauen auf die Hochglanzwerbung Dritter sind keine gültige Verteidigung und führen oft zu höheren Bußgeldern und leicht zu gewinnenden Sammelklagen.“
Gleichzeitig werden Rahmenwerke wie ISO 27001 Hilfe wird durch die Verpflichtung zu strengen, fortlaufenden Risikobewertungen und systematischen Zugriffskontrollrichtlinien geleistet. Dies trägt dazu bei, die Cloud-Sicherheit von einer einmaligen „Einrichten und Vergessen“-Maßnahme in einen „kontinuierlich gesteuerten Prozess zu verwandeln, der komplexe Umgebungen mit robusten Standards in Einklang bringt“, sagt Agha.
Der wahre Mehrwert von ISO 27001 in komplexen digitalen Umgebungen liegt laut Garvey-North in der Schaffung organisatorischer Klarheit: Wer ist für welche Kontrollmaßnahmen verantwortlich, wie sieht ein akzeptables Risiko aus und wie werden Vorfälle eskaliert und analysiert? „Diese Governance-Struktur bildet das Bindeglied zwischen Ihren Sicherheits-Engineering-Fähigkeiten und Ihrer Risikobereitschaft auf Vorstandsebene. Ohne sie verfügen Sie über Werkzeuge ohne Verantwortlichkeit.“
Erweitern Sie Ihr Wissen
Podcast: Phishing-Fallen – Folge 10: Die großen Cybersicherheitsfragen für Unternehmen
Webinar: Die Leistungsfähigkeit von ISO 27017 und 27018: Sicherung Ihrer Cloud-Umgebung
