Tabelle 1. Kritische Bedeutung bestimmter Cloud-Ressourcen.<\/span><\/p>\n Besonders erw\u00e4hnenswert ist, dass Angreifer h\u00e4ufig auf serverlose IAM-Tokens abzielten, was zu einer Remote-Nutzung der Befehlszeile f\u00fchrte. Diese sind von Bedeutung, da sie genutzt werden k\u00f6nnen, um Zugriff auf die gr\u00f6\u00dfere Cloud-Umgebung eines Unternehmens zu erhalten. Im Rahmen der Zunahme von Cloud-Warnungen gab es dreimal so viele Ereignisse f\u00fcr den Fernzugriff auf die Befehlszeile unter Verwendung von IAM-Tokens (Identity Access and Management) und Anmeldeinformationen, die von serverlosen Cloud-Funktionen verwendet werden.<\/p>\n Wir haben auch andere Aufw\u00e4rtstrends bei der Alarmierung festgestellt:<\/p>\n Die Identit\u00e4t ist der Schutzwall der Cloud-Infrastruktur. Angreifer haben es auf IAM-Token und Anmeldeinformationen abgesehen, da sie die Schl\u00fcssel zum Cloud-K\u00f6nigreich enthalten und es Angreifern erm\u00f6glichen, sich im Netzwerk zu bewegen, ihre Berechtigungen zu erweitern und weitere b\u00f6sartige Operationen durchzuf\u00fchren. Die steigende Zahl der Zugriffsversuche und die Nutzung sensibler Konten bei IAM-Diensten bedeutet, dass Angreifer auf der ganzen Welt auf Cloud-Ressourcen setzen.<\/p>\n Angreifer haben es auf Cloud-Speicherdienste abgesehen, da diese oft sensible Daten enthalten. Die Zahl der verd\u00e4chtigen Downloads von Cloud-Speicherobjekten und der Exporte von Image-Snapshots ist deutlich gestiegen. Verd\u00e4chtige Alarme zum Herunterladen von Cloud-Speicherobjekten werden ausgel\u00f6st, wenn eine einzelne IAM-basierte Identit\u00e4t innerhalb eines engen Zeitfensters eine gro\u00dfe Anzahl von Speicherobjekten herunterl\u00e4dt. Dies kann auf b\u00f6sartige Operationen wie Ransomware oder Erpressung hindeuten. Image-Snapshots sind das Ziel von Angreifern, da Snapshots sensible Daten \u00fcber die Cloud-Infrastruktur und Anmeldeinformationen enthalten k\u00f6nnen, die es dem Angreifer erm\u00f6glichen k\u00f6nnten, die Berechtigungen zu erweitern und sich innerhalb der Cloud-Umgebung des Opfers zu bewegen.<\/p>\n Diese Beispiele verdeutlichen die unmittelbare Notwendigkeit, Cloud-Umgebungen zu sch\u00fctzen, und zwar nicht nur mit grundlegenden Tools f\u00fcr das Cloud Security Posture Management (CSPM), sondern in Zusammenarbeit mit Werkzeugen, die b\u00f6sartige Laufzeitoperationen erkennen und verhindern, sobald sie auftreten.<\/p>\n Durch den Einsatz der Laufzeit-Cloud-Sicherheitswerkzeuge von Cortex Cloud\u2013 auch Cloud Detection and Response (CDR<\/a>) genannt \u2013 k\u00f6nnen Sicherheitsteams b\u00f6sartige Ereignisse in Cloud-Umgebungen identifizieren und verhindern.<\/p>\n Wenn Sie glauben, dass Sie kompromittiert worden sein k\u00f6nnten oder eine dringende Angelegenheit haben, kontaktieren Sie das Unit 42 Incident Response Team<\/a>.<\/p>\n In einem neuen Unit 42 Beitrag<\/a> haben wir Details einer Ransomware- und Erpressungskampagne ver\u00f6ffentlicht, die direkt auf exponierte Umgebungsvariablen-Dateien abzielte. Der Bedrohungsakteur der Kampagne erbeutete erfolgreich \u00fcber 90.000 Anmeldeinformationen von 110.000 anvisierten Domains. Noch besorgniserregender ist, dass sie auch fast 1.200 Anmeldeinformationen f\u00fcr Cloud IAM erbeutet haben. Diese Anmeldeinformationen erm\u00f6glichten es dem Bedrohungsakteur, erfolgreich Erpressungsangriffe gegen mehrere Organisationen durchzuf\u00fchren.<\/p>\n Diese Operation bietet die Gelegenheit, die Sicherheitsmechanismen zu er\u00f6rtern, die zum Schutz von Unternehmen eingesetzt werden. Insbesondere k\u00f6nnen wir so feststellen, wie sich Sicherheitsl\u00f6sungen f\u00fcr das Posture Management und die Laufzeit\u00fcberwachung nahtlos einsetzen lassen. Auf diese Weise k\u00f6nnen Unternehmen einen Cloud-Sicherheitsschutz aufbauen, der robust genug ist, um diesen neuen Wellen von Angreifern zu begegnen.<\/p>\n Bei der Untersuchung f\u00fcr diesen Artikel haben wir festgestellt, dass die durchschnittliche Gesamtzahl der Cloud-Warnungen, die ein Unternehmen erf\u00e4hrt, im Jahr 2024 um 388% anstieg. Diese Warnungen stammen sowohl aus dem Posture Management als auch aus der Laufzeit\u00fcberwachung.<\/p>\n Obwohl Warnungen mit dem Schweregrad \"informativ\" die Mehrheit der Warnungen ausmachten, ist es \u00e4u\u00dferst wichtig hervorzuheben, dass die gr\u00f6\u00dfte Ver\u00e4nderung bei der Zahl der Warnungen mit hohem Schweregrad zu verzeichnen war. Die Zahl der Warnmeldungen in dieser Kategorie ist im Jahr 2024 um 235% gestiegen. Warnungen mit mittlerem und niedrigem Schweregrad nahmen ebenfalls um 21% bzw. 10% zu.<\/p>\n Die Ver\u00e4nderungen, die wir bei der Zahl der Warnungen beobachtet haben, richten sich nach unserem 2024 State of Cloud-Native Security Report,<\/a> in dem festgestellt wurde, dass 71 % der Unternehmen die erh\u00f6hte Gef\u00e4hrdung durch Schwachstellen auf beschleunigte Implementierungen zur\u00fcckf\u00fchren. Dar\u00fcber hinaus berichten 45% dieser Unternehmen von einem Anstieg der Angriffe durch Advanced Persistent Threats (APT) im letzten Jahr.<\/p>\n Ein Beispiel daf\u00fcr sind die j\u00fcngsten Untersuchungen von Microsoft zu Storm-2077<\/a>, einer in China ans\u00e4ssigen Gruppe von Cloud-Bedrohungsakteuren (CTAG), die komplexe Techniken zum Sammeln von Anmeldeinformationen in der Cloud einsetzt, um Zugang zu Cloud-Umgebungen von Opfern zu erhalten und zu bewahren. Es wird schnell deutlich, dass sowohl das Cloud Posture Management als auch die \u00dcberwachung der Laufzeitsicherheit als eine Einheit funktionieren m\u00fcssen, um einen angemessenen Schutz vor der n\u00e4chsten Phase der Bedrohungen in Cloud-Umgebungen zu gew\u00e4hrleisten. Der folgende Abschnitt Hintergrund<\/a> liefert zus\u00e4tzliche Informationen \u00fcber Posture Management und Erkennungen der Laufzeit\u00fcberwachung.<\/p>\n Eine Schl\u00fcsselaufgabe f\u00fcr Cloud-Sicherheitsteams besteht darin, eine Cloud-Sicherheitsplattform zu entwickeln und einzusetzen, die die Erkennungsm\u00f6glichkeiten verbessert. So k\u00f6nnen Administratoren nicht nur Fehlkonfigurationen und Schwachstellen erkennen, sondern auch die Laufzeitereignisse in Cloud-Umgebungen sammeln und analysieren. Eine solche Plattform bietet Verteidigern einen besseren \u00dcberblick und erm\u00f6glicht eine schnellere Reaktionszeit bei der Bearbeitung von Alarmen.<\/p>\n W\u00e4hrend die F\u00e4higkeit, b\u00f6sartige oder verd\u00e4chtige Cloud-Ereignisse zu identifizieren und zu erkennen, in der gesamten Branche zugenommen hat, ist auch die Komplexit\u00e4t der offensiven Cloud-Operationen von Bedrohungsakteuren gestiegen. Im Januar 2024 gab es beispielsweise in der durchschnittlichen Cloud-Umgebung nur zwei Warnmeldungen f\u00fcr die Remotenutzung der Befehlszeile eines IAM-Tokens f\u00fcr eine serverlose Funktion. Dies blieb das ganze Jahr \u00fcber unver\u00e4ndert. Im Dezember 2024 jedoch wurden in der durchschnittlichen Cloud-Umgebung mehr als 200 solcher Warnungen ausgegeben \u2013 ein beunruhigendes Signal f\u00fcr eine erh\u00f6hte Aktivit\u00e4t. Wie im Artikel Leaked Environment Variables Allow Large-Scale Extortion Operation in Cloud Environments<\/a> beschrieben, ist diese Laufzeitoperation genau das, was w\u00e4hrend des b\u00f6sartigen Erpressungsvorfalls passiert ist.<\/p>\n Weitere Belege f\u00fcr diesen Trend sind die folgenden:<\/p>\n Diese beiden Warnmeldungen deuten stark darauf hin, dass das Hauptziel von CTAGs darin besteht, ein Cloud IAM-Token oder Anmeldeinformationen zu finden, zu sammeln und zu verwenden. Dies deutet auch darauf hin, dass Angreifer diese Token oder Anmeldeinformationen f\u00fcr potenziell b\u00f6sartige Operationen verwenden werden.<\/p>\n Werkzeuge f\u00fcr das Cloud Security Posture Management (CSPM<\/a>) bilden die Grundlage der Cloud-Sicherheit. Ihr Betrieb ist auf die \u00dcberwachung von Steuerelementen zentriert, um sicherzustellen, dass Cloud-Umgebungen sichere Konfigurationen beibehalten und frei von Schwachstellen und Fehlkonfigurationen sind.<\/p>\n Die \u00dcberwachung des Posture Managements basiert traditionell auf einer zeitabh\u00e4ngigen Sicherheits\u00fcberpr\u00fcfung der Ressourcen und Konfigurationen einer Cloud-Umgebung. Warnungen werden ausgel\u00f6st, wenn eine neue oder ge\u00e4nderte Cloud-Ressource ein potenzielles Sicherheitsrisiko darzustellen scheint.<\/p>\n So wird beispielsweise ein Alarm ausgel\u00f6st, wenn eine IAM-Richtlinie zu freiz\u00fcgig ist und den Zugriff auf andere Cloud-Ressourcen erlaubt. Es wird auch ausgel\u00f6st, wenn eine Cloud Compute-Instanz oder eine serverlose Funktion Schwachstellen oder Fehlkonfigurationen enth\u00e4lt.<\/p>\n Posture Management Scans werden routinem\u00e4\u00dfig durchgef\u00fchrt, oft st\u00fcndlich oder t\u00e4glich. Einige Werkzeuge f\u00fcr die Sicherheit von CSPM erm\u00f6glichen auch die \u00dcberwachung der Audit-Protokolle von Cloud-Plattformen, was bei der Erkennung verd\u00e4chtiger Aktivit\u00e4ten innerhalb einer Cloud-Service-Plattform (CSP) hilfreich sein kann. Es ist von entscheidender Bedeutung, dass Unternehmen ihre CSPM-Plattform so konfigurieren, dass sie die Audit-Protokolle ihrer cloudbasierten Software-as-a-Service (SaaS)-Anwendungen von Drittanbietern erfasst, um Transparenz zu gew\u00e4hrleisten.<\/p>\n CDR Werkzeuge bieten eine Laufzeit\u00fcberwachung, indem sie Vorg\u00e4nge, die w\u00e4hrend eines bestimmten Ereignisses auftreten, sammeln, identifizieren und sogar verhindern. Durch das Sammeln der Protokolle von Cloud-Computing-Instanzen, CSP-Protokollierungsressourcen und Cloud-SaaS-Anwendungen von Drittanbietern k\u00f6nnen CDR-Sicherheitswerkzeuge b\u00f6sartige Cloud-Ereignisse erkennen, melden und verhindern.<\/p>\n Beispiele f\u00fcr diese Vorg\u00e4nge sind die Ausf\u00fchrung einer API-Anfrage gegen eine Cloud-Plattform oder eine Cloud-Anwendung wie z.B.:<\/p>\n Im Gegensatz zu Werkzeugen f\u00fcr das Posture Management \u00fcberwachen Laufzeit\u00fcberwachungswerkzeuge die Cloud-Umgebung kontinuierlich und ben\u00f6tigen h\u00e4ufig einen speziellen Agenten, um die Cloud-Ressourcen im Blick zu behalten. Wenn ein Agent installiert ist, erm\u00f6glichen Sicherheitswerkzeuge zur \u00dcberwachung der Cloud-Laufzeit die Erkennung \u2013 und sogar die Verhinderung \u2013 von b\u00f6sartigen Cloud-Operationen, sobald sie auftreten.<\/p>\n Wir haben einen deutlichen Anstieg der Zahl der Alarme im Jahr 2024 beobachtet, der mit dem Anstieg der Angriffe auf Cloud-Umgebungen korreliert.<\/p>\n Die Zahl der schwerwiegenden Cloud-Warnungen stieg im Jahr 2024 um 235%. Der gr\u00f6\u00dfte Anstieg in einem einzelnen Monat (281%) war im Mai zu verzeichnen, und den st\u00e4rksten Anstieg dieser Meldungen (204%, 247% und 122%) stellten wir im August, Oktober und Dezember fest, wie in Abbildung 1 dargestellt.<\/p>\n Abbildung 1. Trends bei schwerwiegenden Alarmen f\u00fcr 2024.<\/em><\/span><\/p>\n Ein genauerer Blick auf die Top 10 der h\u00e4ufigsten t\u00e4glichen Alarme mit hohem Schweregrad zeigt eine hohe Zahl von Alarmen, die sich ausschlie\u00dflich auf laufzeitbezogene Ereignisse beziehen. Diese Alarme werden durch ein einzelnes Ereignis oder eine Folge von miteinander verbundenen Ereignissen ausgel\u00f6st. Dies erforderte eine nahezu Echtzeit-Analyse oder in einigen F\u00e4llen eine Echtzeit-Analyse zur Erkennung.<\/p>\n Tabelle 2 unten zeigt, dass die Remote-Befehlszeilennutzung der serverlosen IAM-Tokens ein Ereignis ist, das eine Echtzeit-Protokollanalyse erfordert, um es zu erkennen und m\u00f6glicherweise zu verhindern. Der h\u00e4ufigste Alarm mit hohem Schweregrad, \"L\u00f6schschutz f\u00fcr Cloud-Speicher deaktiviert\", kann hingegen mit einem CSPM Werkzeug erkannt und mitigiert werden.<\/p>\n\n
<\/a>Cloud-Angriffe in gro\u00dfem Ma\u00dfstab<\/h2>\n
<\/a>Was diese Trending Alerts bedeuten<\/h3>\n
\n
<\/a>Hintergrund<\/h2>\n
\n
\n
<\/a>Trends bei Warnmeldungen mit hohem Schweregrad<\/h2>\n
![\"Chart\"](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/chart.png\")
<\/strong><\/p>\n<\/a>Top 10 der schwerwiegenden Alarme<\/h3>\n
![\"Chart\"](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/chart-1.png\")
<\/p>\n