Simple Science

Hochmoderne Wissenschaft einfach erklärt

# Computerwissenschaften# Kryptographie und Sicherheit# Software-Entwicklung

Verbesserung der IAM-Sicherheit mit Greybox-Tests

Eine neue Methode verbessert die Sicherheit von Cloud-IAM und sorgt gleichzeitig für Privatsphäre.

― 6 min Lesedauer

IAM-Sicherheit neuIAM-Sicherheit neuerfundenSchwachstellen effektiv an.Ein neuer Ansatz für IAM-Tests geht die
Inhaltsverzeichnis

Identity und Access Management (IAM) ist ein System, das in der Cloud-Nutzung eingesetzt wird, um zu verwalten, wer auf Ressourcen zugreifen kann und welche Aktionen damit durchgeführt werden können. IAM richtig einzurichten, ist entscheidend, um die Sicherheit in Cloud-Umgebungen zu gewährleisten. Wenn IAM nicht korrekt konfiguriert ist, kann das zu Sicherheitsverletzungen führen, bei denen unbefugte Nutzer Zugriff auf sensible Informationen erhalten, was potenziell erhebliche finanzielle Schäden verursachen kann.

Die Risiken von IAM-Fehlkonfigurationen

Wenn IAM falsch konfiguriert ist, öffnet das die Tür für Angreifer, die diese Schwächen ausnutzen. Eine häufige Art von Angriff ist die Privilegieneskalation. Bei diesen Angriffen erhalten unbefugte Personen höhere Berechtigungen, als ihnen zustehen, wodurch sie auf sensible Ressourcen zugreifen oder eingeschränkte Aktionen durchführen können. Das kann zu schweren Datenlecks führen, einschliesslich der Offenlegung von persönlichen Informationen oder finanziellen Details.

Im Jahr 2019 ereignete sich ein bekannter Vorfall, bei dem durch eine IAM-Fehlkonfiguration 100 Millionen Kreditkartendaten aus einer Finanzinstitution geleakt wurden, was die realen Auswirkungen von IAM-Problemen verdeutlicht.

Aktuelle Methoden zur Erkennung von IAM-Problemen

Um diese Risiken zu bekämpfen, wurden mehrere Sicherheitsdienste entwickelt, um IAM-Fehlkonfigurationen zu identifizieren. Diese Dienste lassen sich in zwei Hauptkategorien einteilen:

  1. Native Sicherheitsdienste der Cloud-Anbieter: Diese Dienste bieten grundlegende Sicherheitsüberprüfungen für IAM-Setups.
  2. Drittanbieter-Cloud-Sicherheitsdienste: Diese Dienste, die von Startups und Open-Source-Organisationen entwickelt wurden, bieten spezialisiertere Sicherheitsmassnahmen an.

Die meisten aktuellen Drittanbietersicherheitswerkzeuge nutzen eine Methode, die als Whitebox-Penetrationstest bekannt ist. Dieser Ansatz erfordert vollen Zugriff auf die IAM-Konfigurationen eines Kunden, was datenschutzrechtliche Bedenken aufwerfen kann. Oft zögern Kunden, vollständige Details ihrer Konfigurationen zu teilen, da sie die Gefahr laufen, sensible Informationen offenzulegen. Daher müssen sie möglicherweise ihre Konfigurationen anonymisieren, was zeitaufwendig sein kann und die Effektivität der Sicherheitstests beeinträchtigen könnte.

Ein neuer Ansatz: Greybox-Penetrationstests

Um die Einschränkungen von Whitebox-Tests zu überwinden, wurde eine neue Testform namens Greybox-Penetrationstest vorgeschlagen. Greybox-Tests ermöglichen es Sicherheitsdiensten, IAM-Sicherheitsanfälligkeiten zu erkennen, während nur begrenzter Zugriff auf die IAM-Konfigurationen erforderlich ist.

Diese Methode beinhaltet das Versenden von Anfragen, um spezifische Informationen zu potenziellen Privilegieneskalationen zu sammeln. Kunden können entscheiden, welche Teile ihrer IAM-Konfigurationen abgefragt werden können, und eine maximale Anzahl an Anfragen festlegen, um die Informationsfreigabe zu begrenzen.

Schlüsselaspekte des neuen Ansatzes

  1. Abstraktes IAM-Modell: Ein vereinfachtes Modell wird erstellt, um IAM-Konfigurationen nur mit Teilinformationen zu analysieren. Dieses Modell hilft, potenzielle Sicherheitsrisiken zu identifizieren, ohne vollständigen Zugriff zu benötigen.

  2. Verstärkendes Lernen mit Graph Neural Networks: Diese Technik wird verwendet, um effizient zu bestimmen, welche Anfragen gesendet werden sollen. Durch das Lernen aus vorherigen Anfragen wird das System besser darin, Sicherheitsanfälligkeiten zu finden, während insgesamt weniger Anfragen gesendet werden.

  3. Aufgabengenerierung: Ein Tool wird entwickelt, um eine Vielzahl von IAM-Privilegieneskalationsszenarien zur Schulung und Bewertung zu erstellen. Dieses Tool generiert Aufgaben, die verschiedene IAM-Konfigurationen repräsentieren, um einen robusten Testprozess zu gewährleisten.

So funktioniert das neue System

Das System beginnt damit, dass Kunden definieren, welche Teile ihrer IAM-Informationen zugänglich sind. Dann werden Anfragen intelligent basierend auf den verfügbaren Informationen und dem festgelegten Anfragenbudget generiert.

Abfragemechanismus

Der Greybox-Penetrationstestansatz bewertet kontinuierlich, welche Entitäts- oder Berechtigungsinformationen wesentlich sind, um Sicherheitsanfälligkeiten zu erkennen. Durch Wiederholung definierter Anfragen verfeinert das System sein Verständnis der IAM-Konfiguration und aktualisiert seine Modelle entsprechend.

Graphdarstellung

IAM-Konfigurationen werden als Graphen dargestellt. In diesem Graphen repräsentieren Knoten Entitäten (wie Nutzer oder Rollen) und Kanten stellen Berechtigungsflüsse dar (wie Berechtigungen zwischen Entitäten vergeben werden). Diese visuelle Darstellung hilft dem System, komplexe Beziehungen innerhalb des IAM-Setups intuitiver zu verstehen.

Lernen und Verbesserung

Durch verstärkendes Lernen lernt das System, welche Aktionen (Anfragen) zur effizientesten Erkennung von Privilegieneskalationen führen. Es kann seine Strategien basierend auf vorherigen Erfolgen und Misserfolgen anpassen, um die Anzahl der benötigten Anfragen zu minimieren und die Erkennungsgenauigkeit zu maximieren.

Experimentelle Einrichtung

Um zu bewerten, wie gut diese neue Greybox-Penetrationstestmethode funktioniert, wurden verschiedene Szenarien und Aufgaben generiert. Diese Aufgaben simulieren verschiedene IAM-Konfigurationen, sodass das System gegen eine Reihe möglicher realer Situationen geschult und getestet werden kann.

Es wurden zwei Testsets erstellt – eines mit 500 Aufgaben, basierend auf dem neuen Aufgabengenerator, und ein anderes mit 31 Aufgaben aus einer bestehenden Datenbank von IAM-Privilegieneskalationen. Dieses diverse Set von Aufgaben bietet ein umfassendes Verständnis dafür, wie das System unter verschiedenen Bedingungen performt.

Leistungskennzahlen

Um die Effektivität der neuen Methode zu verstehen, werden zwei Hauptkennzahlen verwendet:

  1. Falsch-Negativ-Rate: Diese misst, wie viele tatsächliche Probleme vom System nicht erkannt wurden.
  2. Durchschnittliche Abfragerate: Diese misst, wie viele Anfragen benötigt wurden, um Probleme zu erkennen.

Niedrigere Falsch-Negativ-Raten weisen auf ein effektiveres Erkennungssystem hin, während eine niedrigere durchschnittliche Abfragerate auf bessere Effizienz hindeutet.

Ergebnisse und Einblicke

Die neue Greybox-Penetrationstestmethode zeigte vielversprechende Ergebnisse im Vergleich zu bestehenden Tools:

Falsch-Negative

  • Traditionelle Methoden erkannten nur einen Bruchteil der Privilegieneskalationsaufgaben und liessen oft über 90 % unentdeckt.
  • Im Gegensatz dazu erzielte die neue Methode deutlich niedrigere Falsch-Negativ-Raten und identifizierte eine viel grössere Anzahl von Angriffen.

Abfrageeffizienz

  • Das neue System identifizierte nicht nur mehr Bedrohungen, sondern tat dies auch, während insgesamt weniger Anfragen gesendet wurden. Dies verbesserte die Effizienz des Testprozesses und machte ihn praktischer für den Einsatz in der realen Welt.

Anwendung in der Praxis

Die Effektivität dieses Systems wurde weiter verifiziert, indem es gegen einen öffentlich verfügbaren Aufgabenpool getestet wurde. In diesem Fall erkannte die Greybox-Methode alle potenziellen Eskalationsaufgaben mit einem Budget von zwei Anfragen und demonstrierte damit ihre Fähigkeiten in einer eingeschränkten Umgebung.

Fazit

Dieser neue Ansatz zur Erkennung von IAM-Privilegieneskalationen stellt einen bedeutenden Fortschritt in der Cloud-Sicherheit dar. Indem er es den Kunden ermöglicht, zu kontrollieren, wie viel ihrer IAM-Informationen geteilt werden, und intelligent verwaltet, wie Anfragen gesendet werden, adressiert diese Methode grosse Bedenken bezüglich der Privatsphäre, während sie dennoch robuste Sicherheitsüberprüfungen bietet.

Da sich die Landschaft des Cloud-Computings weiterhin entwickelt, bleibt die Aufrechterhaltung sicherer IAM-Praktiken oberste Priorität. Die Fähigkeit, IAM-Fehlkonfigurationen effektiv zu identifizieren und zu mildern, könnte Organisationen vor potenziell verheerenden Sicherheitsverletzungen und finanziellen Verlusten bewahren.

Durch Methoden wie Greybox-Penetrationstests können Unternehmen ihre Cloud-Sicherheit verbessern und gleichzeitig die Privatsphäre der Nutzer respektieren und unnötige Risiken minimieren. Dieser doppelte Fokus auf Sicherheit und Sicherheit wird umso wichtiger, je mehr auf Cloud-Dienste zurückgegriffen wird.

Originalquelle

Titel: Interactive Greybox Penetration Testing for Cloud Access Control using IAM Modeling and Deep Reinforcement Learning

Zusammenfassung: Identity and Access Management (IAM) is an access control service in cloud platforms. To securely manage cloud resources, customers need to configure IAM to specify the access control rules for their cloud organizations. However, incorrectly configured IAM can be exploited to cause a security attack such as privilege escalation (PE), leading to severe economic loss. To detect such PEs due to IAM misconfigurations, third-party cloud security services are commonly used. The state-of-the-art services apply whitebox penetration testing techniques, which require access to complete IAM configurations. However, the configurations can contain sensitive information. To prevent the disclosure of such information, customers need to manually anonymize the configuration. In this paper, we propose a precise greybox penetration testing approach called TAC for third-party services to detect IAM PEs. To mitigate the dual challenges of labor-intensive anonymization and potentially sensitive information disclosures, TAC interacts with customers by selectively querying only the essential information needed. Our key insight is that only a small fraction of information in the IAM configuration is relevant to the IAM PE detection. We first propose IAM modeling, enabling TAC to detect a broad class of IAM PEs based on the partial information collected from queries. To improve the efficiency and applicability of TAC, we aim to minimize interactions with customers by applying Reinforcement Learning (RL) with Graph Neural Networks (GNNs), allowing TAC to learn to make as few queries as possible. Experimental results on both synthetic and real-world tasks show that, compared to state-of-the-art whitebox approaches, TAC detects IAM PEs with competitively low false negative rates, employing a limited number of queries.

Autoren: Yang Hu, Wenxi Wang, Sarfraz Khurshid, Mohit Tiwari

Letzte Aktualisierung: 2024-06-08 00:00:00

Sprache: English

Quell-URL: https://arxiv.org/abs/2304.14540

Quell-PDF: https://arxiv.org/pdf/2304.14540

Lizenz: https://creativecommons.org/licenses/by/4.0/

Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.

Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.

Referenzierte Themen

Mehr von den Autoren

Ähnliche Artikel