>_AYSOLI SECURITY HUB
THREAT AREA

Serverless & Microservices

Serverless-Funktionen (Lambda, Azure Functions) reduzieren den Wartungsaufwand, verlagern aber den Fokus der Sicherheit komplett auf die Applikations- und IAM-Ebene.

Deine Strategie

Jede Funktion sollte nur die Berechtigungen haben, die sie absolut benötigt (Micro-Segmentation auf IAM-Ebene). Eine "God-Role" für alle Funktionen ist ein kritisches Risiko.

Best Practices

  • Identität: Nutze mTLS für die Kommunikation zwischen Microservices.
  • Validierung: Validiere jeden Event-Trigger gegen ein striktes Schema.
  • Scanning: Scanne den Code deiner Funktionen und deren Abhängigkeiten kontinuierlich auf Schwachstellen.

STRIDE-LM Design-Risiken

SpoofingS-API-01

Identity Spoofing (API)

Angreifer gibt sich als legitimer Partner-Dienst aus.

TamperingT-API-01

API Parameter Tampering

Manipulation von Request-Parametern zur Umgehung von Geschäftslogik.

RepudiationR-API-01

API Log Manipulation

Verschleierung von böswilligen API-Aktivitäten.

Information DisclosureI-API-01

Excessive Data Exposure

API gibt mehr Daten zurück als für den Client notwendig sind.

Denial of ServiceD-API-01

Insecure Resource Consumption

Überlastung der API durch fehlende Rate-Limits (DoS).

Elevation of PrivilegeE-API-01

Broken Function Level Authorization

Zugriff auf administrative API-Endpunkte durch reguläre Partner.

Lateral MovementL-API-01

Cloud-Pivot via API

Nutzung der API-Server-Identität zum Zugriff auf interne Cloud-Ressourcen.

Monitoring GapsM-API-01

Hidden API Abuse

Missbrauch von undokumentierten oder "Schatten"-APIs.

MITRE ATT&CK® Techniken

Reconnaissance
T1592

Gather Victim Digital Network Information

ATT&CK

Sammeln von Informationen über die Ziel-Infrastruktur.

Mitigiert durch
API Asset InventoryGrundschutzMittel
CIS: 1.1OWASP: API9
API Security Audit (Logging)Erweiterter SchutzMittel
CIS: 8.5NIST: PR.PT-1
Initial Access
T1190

Exploit Public-Facing Application

ATT&CK

Ausnutzen von Schwachstellen in Internet-exponierten Diensten.

Mitigiert durch
Infrastructure as Code (IaC) ScanningErweiterter SchutzMittel
CIS: 1.1NIST: PR.IP-1
Mutual TLS (mTLS)Erweiterter SchutzHoch
CIS: 6.3NIST: PR.DS-2
Strict Schema ValidationGrundschutzMittel
CIS: 16.11OWASP: API6
API Security Audit (Logging)Erweiterter SchutzMittel
CIS: 8.5NIST: PR.PT-1
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Privilege Escalation
T1548

Abuse Elevation Control Mechanism

ATT&CK

Umgehung von Mechanismen zur Rechteausweitung (z.B. UAC).

Mitigiert durch
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Credential Access
T1557

Adversary-in-the-Middle

ATT&CK

Abfangen von Kommunikation zwischen zwei Parteien.

Mitigiert durch
JWT Signature VerificationGrundschutzMittel
NIST: PR.AC-1OWASP: API2
Mutual TLS (mTLS)Erweiterter SchutzHoch
CIS: 6.3NIST: PR.DS-2
T1528

Steal Application Access Token

ATT&CK

Diebstahl von Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
JWT Signature VerificationGrundschutzMittel
NIST: PR.AC-1OWASP: API2
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Infrastructure as Code (IaC) ScanningErweiterter SchutzMittel
CIS: 1.1NIST: PR.IP-1
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
T1110

Brute Force

ATT&CK

Versuche, durch systematisches Ausprobieren Zugriff auf Konten oder API-Keys zu erhalten.

Mitigiert durch
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
API Security Audit (Logging)Erweiterter SchutzMittel
CIS: 8.5NIST: PR.PT-1
Command & Control
T1071-001

Application Layer Protocol

ATT&CK

Missbrauch legitimer Web-Protokolle (HTTP/S) für C2-Kommunikation.

Mitigiert durch
Egress Filtering (SSRF Protection)Erweiterter SchutzMittel
CIS: 12.2OWASP: A10:2021
Exfiltration
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
API Security Audit (Logging)Erweiterter SchutzMittel
CIS: 8.5NIST: PR.PT-1

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
Serverless & Microservices | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub