Metadaten, also Daten über gesammelte und erstellte Daten, sind nicht nur eine wichtige Informationsquelle für die IT-Sicherheit – sie sind auch ein potenzielles Einfallstor für Cyberkriminelle, wie Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point kommentiert.
Die vom Amazon-Web-Services-Metadatenservice IMDS (Instance-Metadata-Service) gesammelten Metadaten beinhalten empfindliche Informationen, wie den Host-Namen, Ereignisse und Sicherheitsgruppen. Sie enthalten auch zwei Typen von AWS-Credentials: IAM und Identity-Credentials:
- IAM – Eine der sensibelsten Kategorien, über welche mit einer Instanz verbundene IAM-Rollen, ausgelesen werden können – einschließlich des Tokens, das der Instanz von STS (Security-Token-Service) zugewiesen wurde.
- Identity-Credentials – Laut offizieller Dokumentation sind diese Anmeldedaten, die AWS zur Identifizierung einer Instanz gegenüber dem Rest der Amazon-EC2-Infrastruktur (Elastic-Compute-Cloud) verwendet, nur für den internen Gebrauch bestimmt. Entsprechend sensibel sind sie.
Zudem können über IMDS auch Nutzer-Daten betrachtet werden – in manchen Fällen können sogar direkt Nutzer-Credentials, also Benutzername und Kennwort, direkt ausgelesen werden. Sollten diese Daten Kriminellen in die Hände fallen, so wäre die Integrität der gesamten Unternehmenssicherheit in Gefahr. Entsprechend wichtig ist es also, die Meta-Daten, die von AWS generiert und aufgezeichnet werden, zu sichern – oder den Zugang zu selbigen stark zu beschränken. Dies funktioniert in fünf Schritten:
1. IMDS nur bei Bedarf gebrauchen
Sollte die IT-Sicherheit und die Server-Verwaltung keinen Nutzen aus den gesammelten Meta-Daten ziehen können, so sollte IMDS abgeschaltet werden. Dadurch wird verhindert, dass die Daten in die falschen Hände gelangen. Sollte doch Bedarf bestehen, die Meta-Daten auszulesen, so darf der Zugang zu Ihnen nur dem Fachpersonal geöffnet werden.
2. Umstellung auf IMDSv2
IMDSv2 ist eine neue Version des Meta-Daten-Services von AWS, welche gegen bekannten Server-Attacken, wie Server-Side-Request-Forgery (SSRF), abgesichert ist.
3. Zugang zu IMDS beschränken
Der Zugang zu IMDS selbst sollte nur einer klar begrenzten Zahl von Nutzern gewährt werden, die auch wirklich Bedarf an den gesammelten Daten haben. Somit werden die Einfallstore des Service stark gemindert und die Angriffsfläche verkleinert.
4. Rollen für Anwendungen begrenzen
Nicht jede Anwendung benötigt hochrangige EC2-Rollen und Kompetenzen – entsprechend selektiv sollten diese vergeben werden.
5. Immer auf dem neuesten Stand bleiben
Anwendungen und Services müssen konstant auf dem neusten Stand der Technik durch Patches der Hersteller gehalten werden, um die Angriffsfläche so klein wie möglich zu halten.
Metadaten von Servern sind ein Nebenprodukt von Diensten, Zugängen und des Datenverkehrs, der über Server abgewickelt wird. Diese empfindlichen Informationen können jedoch schnell zum Daten-Spickzettel für Cyber-Kriminelle werden, die ein Einfallstor in das Firmennetzwerk suchen. Die Generierung von und der Zugang zu den eigenen Metadaten muss darum entsprechend überwacht, gesichert und beschränkt sein.
#CheckPoint