Investigation of Cloud Workload Security: Development and Evaluation of Micro-Attacks to Assess the Threat Detection Capabilities of Microsoft Azure

Abstract

Cloud Computing ist eine vielversprechende Technologie, die zahlreiche Vorteile bietet, aber auch die Risikolandschaft in Bezug auf Sicherheit und Datenschutz verändert. In dieser Arbeit wird die Sicherheit von Cloud-Workloads mithilfe des Angriffs-Emulations-Tools Atomic Red Team (ART) untersucht. Konkret wird die Bedrohungserkennungsfähigkeit von Microsoft Azure mithilfe eines risikobasierten Sicherheitstestansatzes bewertet. Die Durchführung dieser Sicherheitstests auf einer Cloud-Infrastruktur, die den Best Practices entspricht, liefert Erkenntnisse bezüglich der Bedrohungserkennungssysteme von Azure und deren Optimierungsmöglichkeiten. Im Rahmen dieser Arbeit wird die Fähigkeit von ART bewertet, die drei relevantesten Bedrohungen abzudecken; ferner wird untersucht, wie neue Mikroangriffe entwickelt werden können, um die Fähigkeiten von ART in diesem Bereich zu verbessern. Diese Arbeit trägt dazu bei, die Lücke in der Literatur zu Cloud-Sicherheitstests und zur Bewertung von Cloud-Intrusion Detection Systems (IDSs) zu schließen. Die Ergebnisse dieser Arbeit sind zum einen die entwickelten Methodiken: eine risikobasierte Methodik für Sicherheitstests und eine weitere zur Identifikation von Angriffsszenarien für die Umsetzung neuer Mikroangriffe. Zum anderen werden konkrete Erkenntnisse zur Sicherheit von Cloud-Workloads präsentiert. Dazu gehören die Bedrohungslandschaft, eine Rangliste der relevantesten Bedrohungen, eine Evaluierung von ART, die Erkennungsrate eines Best-Practices-Angriffserkennungssystems in Azure, sowie der Effekt, den das Einfügen neuer Mikroangriffe auf die Abdeckungsmetrik hat. Die Arbeit kommt zu dem Schluss, dass ART noch nicht in der Lage ist, genügend Angriffsszenarien für umfassende Sicherheitstests bereitzustellen. Durch vier neue Mikroangriffe wurde die Sammlung der Angriffe in ART erweitert, wodurch sich die Testabdeckung verbesserte.

Cloud computing is a promising technology that offers numerous benefits, but it also alters the risk landscape in terms of security and privacy. This study investigates the security of cloud workloads using the adversary emulation tool Atomic Red Team (ART). Specifically, the threat detection capabilities of Microsoft Azure are evaluated using a risk-based security testing approach. By applying this methodology to a cloud infrastructure that follows best practices, the research provides insights into Azure’s threat detection environment and identifies optimization possibilities. The thesis assesses the suitability of ART for addressing the top three threats and explores how new micro-attacks can be developed to enhance ART’s capabilities in this regard. The thesis contributes to filling a gap in the literature on cloud security testing and the evaluation of cloud Intrusion Detection Systems (IDSs). Its contribution lies in both the development of methodologies and its technical findings. One methodology serves for performing risk-based security testing, another for identifying suitable attack scenarios for the realization of new micro-attacks. The technical results regarding the security of cloud workloads include: the threat landscape, a threat ranking, an evaluation of ART, the threat detection rate in a best-practices threat detection setup in Azure, and the effect of adding new micro-attacks on the coverage metrics. The thesis concludes that ART is not yet capable of providing a sufficient number of attack scenarios for comprehensive security testing. To address this limitation, four new micro-attacks have been developed to extend the set of attacks within ART and to enhance the test coverage rate.