Cloud-Datenexfiltration
Was ist Cloud-Datenexfiltration?
Cloud-DatenexfiltrationUnbefugtes Kopieren oder Verlagern von Daten aus einem Cloud-Konto heraus, oft ueber Object-Storage-APIs, Snapshots, Replikation oder angreifer-eigene Konten.
Cloud-Datenexfiltration ist die Phase einer Intrusion, in der Angreifer Daten aus kompromittierten Cloud-Diensten zu eigener Infrastruktur ausschleusen. Typische Techniken sind S3 GetObject und Sync, Freigabe von EBS- oder RDS-Snapshots an Angreiferkonten ueber SharePermission, Cross-Account-Replikation, BigQuery- und Athena-Exporte, oeffentliche Bucket-Freigaben und Signed URLs mit langer Gueltigkeit. Egress kann in legitimen Diensten wie Object Versioning oder Backup-Tools versteckt werden. Verteidigung kombiniert minimales IAM, Deny-Regeln fuer Cross-Account-Sharing, VPC-Endpoints mit SCPs, Verschluesselung mit kundenverwalteten Schluesseln, Anomalie-Erkennung und DLP-Scans gespeicherter Daten.
● Beispiele
- 01
Ein Angreifer nutzt gestohlene IAM-Credentials, um aws s3 sync gegen einen sensiblen Bucket auszufuehren.
- 02
Freigabe eines RDS-Snapshots an ein externes AWS-Konto, um Kundentabellen zu exportieren.
● Häufige Fragen
Was ist Cloud-Datenexfiltration?
Unbefugtes Kopieren oder Verlagern von Daten aus einem Cloud-Konto heraus, oft ueber Object-Storage-APIs, Snapshots, Replikation oder angreifer-eigene Konten. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Cloud-Datenexfiltration?
Unbefugtes Kopieren oder Verlagern von Daten aus einem Cloud-Konto heraus, oft ueber Object-Storage-APIs, Snapshots, Replikation oder angreifer-eigene Konten.
Wie funktioniert Cloud-Datenexfiltration?
Cloud-Datenexfiltration ist die Phase einer Intrusion, in der Angreifer Daten aus kompromittierten Cloud-Diensten zu eigener Infrastruktur ausschleusen. Typische Techniken sind S3 GetObject und Sync, Freigabe von EBS- oder RDS-Snapshots an Angreiferkonten ueber SharePermission, Cross-Account-Replikation, BigQuery- und Athena-Exporte, oeffentliche Bucket-Freigaben und Signed URLs mit langer Gueltigkeit. Egress kann in legitimen Diensten wie Object Versioning oder Backup-Tools versteckt werden. Verteidigung kombiniert minimales IAM, Deny-Regeln fuer Cross-Account-Sharing, VPC-Endpoints mit SCPs, Verschluesselung mit kundenverwalteten Schluesseln, Anomalie-Erkennung und DLP-Scans gespeicherter Daten.
Wie schützt man sich gegen Cloud-Datenexfiltration?
Schutzmaßnahmen gegen Cloud-Datenexfiltration kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cloud-Datenexfiltration?
Übliche alternative Bezeichnungen: Cloud-Egress, Bucket-Exfiltration.
● Verwandte Begriffe
- cloud-security№ 190
Cloud-Token-Diebstahl
Diebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren.
- cloud-security№ 186
Cloud-Key-Leak
Versehentliches Veroeffentlichen langlebiger Cloud-Zugangsschluessel in oeffentlichen Repositories, Container-Images, Logs oder Client-Code, oft binnen Minuten ausgenutzt.
- cloud-security№ 505
IAM-Privilege-Escalation
Missbrauch bestehender Cloud-IAM-Berechtigungen, um hoehere Rechte zu erlangen, oft durch Policy-Bearbeitung, Rollenuebernahme oder Selbsterteilung administrativer Rechte.
- cloud-security№ 187
Cloud-Metadata-SSRF
Server-Side-Request-Forgery-Angriff, der eine verwundbare Anwendung dazu bringt, den Instance-Metadata-Service des Cloud-Anbieters abzufragen und temporaere Zugangsdaten zu stehlen.
● Siehe auch
- № 211Container Escape
- № 079AWS-IMDSv1-Angriff
- № 598Kubernetes-Cluster-Angriff
- № 255CSPM-Finding