>_AYSOLI SECURITY HUB
THREAT AREA

Cloud Storage & Data Lake

Grosse Datenmengen in der Cloud sind ein Magnet für Angreifer. Eine einzige Fehlkonfiguration (Public Bucket) kann zum Desaster führen.

Deine Strategie

Implementiere eine "Default Deny" Policy für alle Speicher-Ressourcen. Nutze automatisierte Tools, die kontinuierlich nach öffentlich zugänglichen Buckets suchen.

Best Practices

  • Verschlüsselung: Nutze Customer Managed Keys (CMK) für maximale Kontrolle über die Datenverschlüsselung (At Rest).
  • Zugriff: Nutze SAS-Tokens oder temporäre IAM-Rollen statt permanenter Keys.
  • Logging: Aktiviere Data Access Logging und speichere diese Logs in einem unauffindbaren, immutablen Speicher.

STRIDE-LM Design-Risiken

SpoofingS-CLD-01

Cloud Identity Spoofing

Übernahme von Cloud-Identitäten durch geleakte IAM-Keys.

TamperingT-CLD-01

Cloud Misconfiguration

Unbeabsichtigte Freigabe von Ressourcen durch Fehlkonfiguration.

RepudiationR-CLD-01

Cloud Logging Bypass

Deaktivierung oder Umgehung von Cloud-Audit-Diensten.

Information DisclosureI-CLD-01

Metadata Service Abuse

Auslesen von Instanz-Metadaten zur Erlangung von Cloud-Credentials.

Denial of ServiceD-CLD-01

Denial of Wallet

Erzeugung massiver Kosten durch Ressourcen-Exploitation.

Elevation of PrivilegeE-CLD-01

IAM Role Escalation

Ausnutzung von übermässigen IAM-Rechten zur Rechteausweitung.

Lateral MovementL-CLD-01

Cross-Tenant Lateral Movement

Springen zwischen verschiedenen Cloud-Tenants oder Subscriptions.

Monitoring GapsM-CLD-01

Shadow Cloud Assets

Entstehung von unkontrollierten Ressourcen durch "Wildwuchs".

MITRE ATT&CK® Techniken

Initial Access
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
IAM Permissions BoundariesErweiterter SchutzMittel
CIS: 6.2NIST: PR.AC-1
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Credential Access
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
Discovery
T1526

Cloud Service Discovery

ATT&CK

Identifizierung von Cloud-Ressourcen und Berechtigungen.

Mitigiert durch
API Asset InventoryGrundschutzMittel
CIS: 1.1OWASP: API9
T1580

Shadow IT Asset Discovery

ATT&CK

Finden von unmanaged Ressourcen im Netzwerk.

Mitigiert durch
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
IAM Permissions BoundariesErweiterter SchutzMittel
CIS: 6.2NIST: PR.AC-1
API Asset InventoryGrundschutzMittel
CIS: 1.1OWASP: API9
Collection
T1530

Data from Cloud Storage Object

ATT&CK

Abgreifen von Daten aus Cloud-Speichern (S3, Blobs).

Mitigiert durch
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Exfiltration
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Immutable Audit LogsErweiterter SchutzMittel
CIS: 8.2NIST: PR.PT-1
T1567

Exfiltration Over Web Service

ATT&CK

Abfluss von Daten über legitime Web-Schnittstellen.

Mitigiert durch
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Impact
T1531

Account Access Removal

ATT&CK

Entfernen des Zugriffs für legitime Benutzer.

Mitigiert durch
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Cloud Resource LockingGrundschutzNiedrig
CIS: 5.1NIST: PR.IP-1
MFA for Deletion OperationsErweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
T1485

Data Destruction

ATT&CK

Unwiederbringliches Löschen von Unternehmensdaten.

Mitigiert durch
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Immutable Audit LogsErweiterter SchutzMittel
CIS: 8.2NIST: PR.PT-1
Cloud Resource LockingGrundschutzNiedrig
CIS: 5.1NIST: PR.IP-1
MFA for Deletion OperationsErweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
T1565

Inplace Modification

ATT&CK

Manipulation von bestehendem Code oder Daten am Speicherort.

Mitigiert durch
Immutable Audit LogsErweiterter SchutzMittel
CIS: 8.2NIST: PR.PT-1
T1490

Inhibit System Recovery

ATT&CK

Löschen von Backups und Shadow Copies zur Verhinderung der Wiederherstellung.

Mitigiert durch
Cloud Resource LockingGrundschutzNiedrig
CIS: 5.1NIST: PR.IP-1
MFA for Deletion OperationsErweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch