Archiv der Kategorie: Hacking

Cloud-Sicherheit: Schlüsselkonzepte, Bedrohungen und Lösungen

Unternehmen sind gerade dabei, ihre digitale Transformation auf den Weg zu bringen. Dabei setzen sie auf Vielfalt der heutzutage verfügbaren Cloud-basierten Technologien. Für Chief Security Officer (CSO) und Cloud-IT-Teams kann sich die Verwaltung der Cloud-Computing-Sicherheit für eine bestimmte Installation zuweilen schwierig gestalten, und das gerade wegen der Benutzerfreundlichkeit, Flexibilität und Konfigurierbarkeit von Cloud-Diensten. Administratoren müssen ein Verständnis dafür entwickeln, wie ihre Unternehmen die Cloud nutzen, um die passenden Sicherheitsrichtlinien und -standards zusammen mit durchsetzungsfähigen Rollen und Verantwortlichkeiten festlegen zu können.

Herkömmliche netzwerkbasierte Sicherheitstechnologien und -mechanismen lassen sich nicht einfach nahtlos in die Cloud migrieren. Gleichzeitig aber sind die Sicherheitsprobleme, vor denen ein Netzwerkadministrator steht, meist gleich: Wie lässt sich ein unbefugter Zugriff auf das Netzwerk verhindern und Datenverluste vermeiden? Wie kann die Verfügbarkeit sichergestellt werden? Wie lässt sich die Kommunikation verschlüsseln oder Teilnehmer in der Cloud authentifizieren? Und schliesslich wie kann das Sicherheits-Team Bedrohungen leicht erkennen und Schwachstellen in  Anwendungen aufdecken?

Geteilte Verantwortlichkeiten

Eigentlich hat Amazon die Konzepte „Sicherheit der Cloud“ versus „Sicherheit in der Cloud“ eingeführt, um die gemeinsame Verantwortung von Anbietern und Kunden für die Sicherheit und Compliance in der Cloud zu klären. Anbieter sind hauptsächlich für den Schutz der Infrastruktur verantwortlich, in der alle in der Cloud angebotenen Services ausgeführt werden. Des Weiteren bestimmt eine gestaffelte Skala je nach dem gekauften Cloud-Service die direkten Verantwortlichkeiten des Kunden.

Praktisch bestimmen die verschiedenen Cloud Service-Modelle — Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) – welche Komponenten (von der physischen Infrastruktur, die die Cloud hostet, bis zu den Daten, die in der Cloud erstellt, verarbeitet und gespeichert werden) in der Verantwortung des Betreibers und welche in der des Kunden liegen, und wer demzufolge für die Sicherheit zu sorgen hat.

In einem PaaS-Modell wie Google App Engine, Microsoft Azure PaaS oder Amazon Web Services Lambda, kaufen Entwickler die Ressourcen für das Erzeugen, Testen und Ablaufen von Software. Daher sind sie als Nutzer generell für Anwendungen und Daten verantwortlich, während der Anbieter für den Schutz der Container-Infrastruktur und des Betriebssystems sorgen muss – mit einem unterschiedlichen Mass an Verantwortung, je nach der erworbenen spezifischen Dienstleistung.

Bild 1. „Sicherheit der Cloud“ versus „Sicherheit in der Cloud“

Die Sicherheit der Cloud gehört zum Angebot des Cloud Providers. Dies wird durch vertragliche Vereinbarungen und Verpflichtungen, einschließlich Service-Level-Agreements (SLAs) zwischen dem Verkäufer und dem Kunden, sichergestellt. Leistungskennzahlen wie Betriebszeit oder Latenzzeit sowie Erwartungen hinsichtlich der Lösung eventuell auftretender Probleme, dokumentierter Sicherheitsfunktionen und unter Umständen sogar Strafen für mangelnde Leistung können in der Regel von beiden Parteien durch die Festlegung akzeptabler Standards gemanagt werden.

Die wichtigsten Herausforderungen für die Sicherheit

Unternehmen migrieren möglicherweise einige Bereiche in die Cloud, indem sie diese vollständig in der Cloud (auch bekannt als „cloud-nativ“) starten oder setzen ihre ausgereifte Cloud-basierte Sicherheitsstrategie um. Unabhängig davon, in welcher Phase sich ein Unternehmen auf seinem Weg in die Cloud befindet, sollten Cloud-Administratoren in der Lage sein, Sicherheitsoperationen durchzuführen, wie z.B. das Management von Schwachstellen, die Identifizierung wichtiger Netzwerkvorfälle, Incident Response aufzusetzen sowie Bedrohungsinformationen zu sammeln und entsprechende  Maßnahmen festzulegen – und das alles unter Einhaltung der relevanten Industriestandards.

Verwalten der Komplexität

Cloud-Implementierungen greifen nicht auf dieselbe Sicherheitsinfrastruktur zu wie On-Premises-Netzwerke. Die Heterogenität der Dienste in der Cloud macht es schwierig, kohärente Sicherheitslösungen zu finden. Cloud-Administratoren müssen jederzeit versuchen, eine hybride Umgebung zu sichern. Die Komplexität der Aufgabe ergibt sich aus der Tatsache, dass die Risiken bei Cloud Computing je nach der spezifischen Cloud-Bereitstellungsstrategie variieren. Dies wiederum hängt von den spezifischen Bedürfnissen der Cloud-Benutzer und ihrer Risikobereitschaft bzw. der Höhe des Risikos ab, welches sie zu übernehmen bereit sind. Aus diesem Grund ist Risikobewertung wichtig, und zwar nicht lediglich gemäss der veröffentlichten Best Practices oder der Einhaltung von Vorschriften entsprechend. Compliance-Richtlinien dienen jedoch als Grundlage oder Rahmen, der dazu beitragen kann, die richtigen Fragen zu den Risiken zu stellen.

Übersicht erhalten

Infolge der Möglichkeit, Cloud-Dienste einfach zu abonnieren, geht der Wechsel innerhalb der Unternehmen immer schneller, und Kaufentscheidungen liegen plötzlich nicht mehr im Zuständigkeitsbereich der IT-Abteilung. Dennoch bleibt die IT-Abteilung weiterhin für die Sicherheit von Anwendungen, die mit Hilfe der Cloud entwickelt wurden, verantwortlich. Die Herausforderung besteht darin, wie sichergestellt werden kann, dass die IT-Abteilung jede Interaktion in der Cloud einsehen und sichern kann, und der Wechsel und Entwicklung trotzdem effizient bleiben.

Sicherheitsrisiken und Bedrohungen in der Cloud

Die Trend Micro-Untersuchung der bekanntesten Sicherheitsfallen in Cloud-Implementierungen ergab, dass Fehlkonfigurationen die größte Schwäche für Cloud-Sicherheit darstellen. Das bedeutet, dass Cloud-Anwender beim Aufsetzen ihrer Cloud-Instanzen häufig wichtige Einstellungen übersehen oder diese unsicher ändern.

Bedrohungsakteure nutzen diese Fehlkonfiguration für verschiedene bösartige Aktivitäten aus – von allgemeinen bis zu sehr gezielten Angriffen auf eine bestimmte Organisation als Sprungbrett in ein anderes Netzwerk. Auch über gestohlene Login-Daten, bösartige Container und Schwachstellen in einem der Software Stacks können sich Cyberkriminelle Zutritt zu Cloud-Implementierungen verschaffen. Zu den Cloud-basierten Angriffen auf Unternehmen zählen auch folgende:

  • Cryptojacking: Bedrohungsakteure stehlen Unternehmen Cloud-Computing-Ressourcen, um nicht autorisiertes Kryptowährungs-Mining zu betreiben. Für den aufkommenden Netzwerkverkehr wird das Unternehmen zur Kasse gebeten.
  • E-Skimming: Dabei verschaffen sich Kriminelle Zugang zu den Webanwendungen eines Unternehmens, um bösartigen Code einzuschleusen, der finanzielle Informationen der Site-Besucher sammelt und damit schliesslich dem Ruf des Unternehmens schadet.
  • Nicht autorisierter Zugang: Dies führt zu Datenveränderungen, -diebstahl oder -exfiltrierung. Der Zweck dieser Aktionen kann der Diebstahl von Betriebsgeheimnissen sein oder Zugang zu Kundendatenbanken, um die dort geklauten Informationen im Untergrund zu verkaufen.

Die zu sichernden Bereiche in der Cloud

Bei der Festlegung der Anforderungen an ihre Cloud, sollten Cloud Builder bereits von Anfang an Sicherheit mit berücksichtigen. So lassen sich die Bedrohungen und Risiken vermeiden. Durch die Absicherung jedes der folgenden Bereiche, sofern relevant, können IT-Teams aktuelle und zukünftige Cloud-Implementierungen sicher steuern.

Netzwerk (Traffic Inspection, Virtual Patching)

Ein kritischer Teil des Sicherheitspuzzles, die Netzwerkverkehrs-Inspektion, kann die Verteidigungslinie gegen Zero-Day-Angriffe und Exploits für bekannte Schwachstellen bilden sowie über virtuelles Patching schützen. Eine Firewall in der Cloud unterscheidet sich nur geringfügig von einer herkömmlichen, da die Hauptherausforderung bei der Ausführung darin besteht, die Firewall so zu implementieren, dass Netzwerkverbindungen oder vorhandene Anwendungen nicht unterbrochen werden, unabhängig davon, ob es sich um eine virtuelle private Cloud oder ein Cloud-Netzwerk handelt.

Bild 2. Netzwerksicherheit in der Cloud muss den gesamten Unternehmensverkehr „sehen“ können, unabhängig von dessen Quelle.

Cloud-Instanz (Workload-Sicherheit zur Laufzeit)

Die Begriffe in der Sicherheit und die Paradigmen ändern sich, um dem Verständnis der zu schützenden Komponenten Rechnung zu tragen. In der Cloud bezeichnet das Konzept der Workload eine Einheit von Fähigkeiten oder das Arbeitsaufkommen, das in einer Cloud-Instanz ausgeführt wird. Der Schutz von Workloads vor Exploits, Malware und unbefugten Änderungen stellt eine Herausforderung dar, da sie in Server-, Cloud- oder Container-Umgebungen ausgeführt werden. Workloads werden nach Bedarf dynamisch gestartet, aber jede Instanz sollte sowohl für den Cloud-Administrator sichtbar sein als auch durch eine Sicherheitsrichtlinie geregelt werden.

Bild 3. Workloads sollten auf Bedrohungen überwacht werden, unabhängig von ihrer Art oder dem Ursprung.

DevOps (Container-Sicherheit)

Der Container hat sich in den letzten Jahren zur zentralen Software-Einheit in Cloud-Services entwickelt. Durch die Verwendung von Containern wird sichergestellt, dass Software unabhängig von der tatsächlichen Computing-Umgebung zuverlässig ablaufen kann. Deren Replikation kann kompliziert werden, wenn beispielsweise bestimmte Codes, Werkzeuge, Systembibliotheken oder sogar Softwareversionen auf eine bestimmte Art und Weise da sein müssen.

Bild 4. Container bestehen aus verschiedenen Code Stacks und Komponenten und sollten nach Malware und Schwachstellen gescannt werden.

Insbesondere für Entwickler und Operations-Teams wird die Integration der Sicherheit während der Softwareentwicklung immer wichtiger, da zunehmend Cloud-first App-Entwicklung eingesetzt wird. Das bedeutet, dass Container auf Malware, Schwachstellen (auch in Softwareabhängigkeiten), Geheimnisse oder Schlüssel und sogar auf Compliance-Verletzungen gescannt werden müssen. Je früher diese Sicherheitsüberprüfungen während des Builds stattfinden, — am besten im Continuous-Integration-and-Continuous-Deployment-Workflow (CI/CD) — desto besser.

Applikationen (Serverlos, APIs, Web Apps)

Auf einigen serverlosen oder Container-Plattformen lässt sich traditionelle Sicherheit nicht einsetzen. Dennoch müssen einfache und komplexe Anwendungen selbst genauso gut gesichert werden wie die anderen Bereiche. Für viele Unternehmen stellt die schnelle und effiziente Programmierung und Bereitstellung neuer Anwendungen einen wichtigen Treiber für ihren Weg in die Cloud dar. Aber diese Anwendungen sind auch möglicher Eintrittspunkt für Laufzeitbedrohungen wie das Einschleusen von Code, automatisierte Angriffe und Befehlsausführung aus der Ferne. Finden Angriffe statt, so müssen Cloud-Administratoren auf die Details zugreifen können.

Dateispeicher

Unternehmen betrachten die Cloud hauptsächlich oder teilweise als Möglichkeit, Storage von den On-Premise-Servern dahin auszulagern. Cloud-Speicher für Dateien oder Objekte können zur Quelle für Infektionen werden, wenn aus irgendeinem Grund eine bekannte bösartige Datei hochgeladen wurde. Deshalb sollte Scanning für jede Art von Datei, unabhängig von deren Grösse, verfügbar sein und zwar idealerweise bevor sie gespeichert wird. Nur so lässt sich das Risiko minimieren, dass andere Nutzer auf eine bösartige Datei zugreifen und sie ausführen können.

Compliance und Governance

Datenschutzregularien wie die europäische Datenschutz-Grundverordnung (DSGVO), Industriestandards wie der Payment Card Industry Data Security Standard (PCI-DSS) und Gesetze wie Health Insurance Portability and Accountability Act (HIPAA) haben direkte Auswirkungen auf Unternehmen, die Daten vor allem in der Cloud verarbeiten und speichern. Cloud-Administratoren müssen die Compliance-Anforderungen mit den Vorteilen der Agilität der Cloud abgleichen. Dabei muss Sicherheitstechnologie Unternehmen die Gewissheit geben, dass ihre Installationen den besten Sicherheitspraktiken entsprechen; andernfalls können die Geldstrafen, die sich aus unbeabsichtigten Verstössen ergeben können, die Kosteneinsparungen leicht zunichtemachen.

Cloud-Sicherheitstechnologien

Bei so vielen „beweglichen“ Teilen muss ein Unternehmen, das über eine Cloud-Sicherheitsstrategie nachdenkt, darauf achten, die notwendigen Sicherheitstechnologien zu straffen, vom Schutz vor Malware und Intrusion Prevention bis hin zu Schwachstellenmanagement und Endpoint Detection and Response. Die Gesamtsicherheitslösung muss die Anzahl der Tools, Dashboards und Fenster, die als Grundlage für die IT-Analyse dienen, klein halten. Gleichzeitig muss sie in der Lage sein, die abstrakten Netzwerkgrenzen des ganzen Cloud-Betriebs des Unternehmens überzeugend zu visualisieren — unabhängig davon, ob eine Aktivität, wie z.B. die On-the-Fly-Tool-Entwicklung durch einen der Entwickler, von der IT bewilligt wurde oder nicht.

Trend MicroTM Hybrid Cloud Security kann beispielsweise DevOps-Teams dabei unterstützen, sicher zu entwickeln, schnell zu liefern und überall auszuführen. Die Lösung bietet funktionsstarke, schlanke, automatisierte Sicherheit innerhalb der DevOps Pipeline und liefert mehrere XGenTM Threat Defense-Techniken für den Schutz von physischen, virtuellen und Cloud-Workloads zur Laufzeit. Sie wird von der Cloud OneTM Platform unterstützt, die Unternehmen eine einheitliche Übersicht über die hybriden Cloud-Umgebungen liefert, sowie Sicherheit in Echtzeit durch Netzwerksicherheit, Workload-Sicherheit, Container-Sicherheit, Anwendungssicherheit, File Storage Security sowie Conformity-Dienste.

Unternehmen, die Security as Software für Workloads, Container Images sowie Datei- und Objektspeicher zur Laufzeit benötigen bietet Deep SecurityTM und Deep Security Smart Check Scans für Workloads und Container Images nach Malware und Schwachstellen während der Entwicklung-Pipeline.

Massive Credential Phishing-Angriffe auf Home User

Der Wert eines Passworts liegt darin, einem User Zugang zu wichtigen Informationen und jeder Menge IT Diensten zu eröffnen. Jeder weiss das und natürlich auch Cyberkriminelle. Somit ist es wenig verwunderlich, dass der Diebstahl von Login-Daten, also „Credentials“, eines der Hauptthemen ist, mit denen sich die Akteure beschäftigen. Jetzt aber, wo die Zahl derer, die im Home Office arbeiten, sprunghaft gestiegen ist, haben die „Credential Phisher“ Hochkonjunktur. Nutzer können sich am besten dagegen wehren, wenn sie verstehen, wie ein solcher Angriff abläuft.

Bild 1. Top 10 Länder, in denen User mit Credential Phishing Angriffen mit Bezug auf Outlook oder Office 365 angegriffen wurden (Quelle Trend Micro)

Vorgehensweise

Der Erfolg eines Credential Phishing-Angriffs steht und fällt mit der Fertigkeit des Angreifers, sein Opfer davon zu überzeugen, ihm sein Passwort freiwillig zu übergeben, und – das ist wichtig – das Opfer darf nicht misstrauisch werden. Denn ein Passwort ist im Zweifel binnen Sekunden geändert. Ein Täter benötigt etwas, eine Seite oder ein Formular, wo User Passwörter eingeben können und ein Mittel, das keinen Argwohn weckt, wenn dies nicht sofort klappt.

Ein beliebtes Ziel sind deshalb vor allem Mail-Clients. Während der Mitarbeiter im Büro einfach nur Outlook öffnet, greift er speziell im Home Office auch mit Vorliebe auf die Webvarianten über den Browser zu und muss sich, um auf seinen Account zu kommen, entsprechend authentifizieren. Damit aber ist die erste Notwendigkeit erfüllt. Der Angreifer muss seinem Opfer lediglich eine Fake Web Client-Seite vorgeben – eine klassische Phishing Aufgabe.

Bild 2. Fake Microsoft Login-Seite

Die Sache hat allerdings einen Haken: Die „klassische“ Angriffs-Mail erhält ein Opfer nur bei aktivem Mail Client. Wie erreicht ein Angreifer also sein Opfer, denn niemand würde den wichtigen Link anklicken, um dann erneut seinen Mail Client aufzumachen …

Hier bedient sich der Angreifer eines „Workarounds“. Die Mail bewirbt offiziell die neueste und/oder interessanteste Nachricht eines News-Dienstes. Klickt der User den Link an, wird er auf genau diese Seite weitergeleitet und erhält dort auch die erwartete Information. Gleichzeitig wird allerdings eine zweite Seite geöffnet, die eigentliche Phishing-Seite mit einem Mail Client-Login und dem Hinweis, dass die aktuelle/letzte Session abgelaufen ist. Geht das Opfer nach einer Weile – die Nachricht zu lesen hat vermutlich Zeit gekostet – auf seinen Mail Client und gibt sein Passwort erneut ein, so erscheint die Nachricht, dass entweder Username oder Passwort falsch waren. Es erfolgt eine Umleitung zurück auf die Original Web Client-Seite. Nach erneuter Eingabe des Passworts erhält er auch seinen gewohnten Zugriff auf seine Mails. Die Episode ist bald vergessen. Timeouts von Webseiten sind jedem vertraut und jeder hat sich schon einmal bei der Passworteingabe vertippt.

Aktualität

Das genannte Beispiel gibt es in zahlreichen Facetten. Natürlich ist Office365 dabei aber auch andere Applikationen speziell Online Meeting Plattformen wie Zoom oder Webex stehen im Fokus. Die Methode selbst wurde ursprünglich von der politisch motivierten Gruppe Pawnstorm (APT28, Fancy Bear) genutzt, um Angriffe auf höchste politische Kreise zu launchen. So steht Pawnstorm für die Angriffe auf die Demokratische Partei (2016), den Bundestag (2015/17) sowie eine Reihe weiterer politischer Angriffe.

Prinzipien für die Cloud Migration – das „Was“ bei der Sicherheit

Originalbeitrag von Jason Dablow

Analysten gehen davon aus, dass mehr als 75 Prozent der mittleren und großen Unternehmen bis 2021 eine Workload in die Cloud auslagern werden. Der Erfolg einer solchen Migration hängt von vielen Faktoren ab — nicht zuletzt von den umgesetzten Sicherheitskonzepten für diese „neue“ Welt: Nach der Verteilung der Verantwortlichkeiten für Cloud-Security stellt der Blogeintrag die prinzipiellen Bereiche dar, die zur Sicherheit gehören und bereits vor der Inbetriebnahme von Workloads abgedeckt werden müssen.

Als Grundlage für die Ausführungen dient der Grundpfeiler „Security“ des Well-Architected Framework von AWS Amazon. Hier werden die Sicherheitskonzepte für ein Cloud-Design dargestellt.

Bild. Die fünf Grundpfeiler des Well-Architected Framework von AWS

Das Sicherheits-Framework umfasst sieben Prinzipien:

  • Eine starke Identitätsgrundlage aufbauen
  • Nachvollziehbarkeit ermöglichen
  • Sicherheit in allen Schichten anwenden
  • Automatisieren von Best Practices für die Sicherheit
  • Schutz für Daten In-Transit und At-Rest
  • Personen von Daten fernhalten
  • Auf Sicherheitsvorfälle vorbereitet sein

Eine Reihe dieser Prinzipien lässt sich mit Hilfe nativer Cloud-Services umsetzen, die auch am einfachsten zu implementieren sind. Das Framework liefert aber keine Anregungen dazu, wie diese Services aufzusetzen oder zu konfigurieren sind. So mag das Framework Multifaktor-Authentifizierung als erforderlichen Schritt für die Identity und Access Management-Policy nennen, doch ist dies nicht standardmäßig aktiviert. Das Gleiche gilt für Dateiobjekt-Verschlüsselung. Sie kann eingesetzt werden, ist aber nicht unbedingt bereits aktiviert.

Hilfe bietet hier eine Trend Micro-eigene Wissensdatenbank mit Hunderten von Cloud-Regeln, die auf das Well-Architected Framework (und andere) abgestimmt sind. Zur Multifaktor-Authentifizierung etwa gibt es dort einen Artikel, der die vier „R“ beschreibt: Risiko, Reason (umfasst das Was der Regel), Rationale (umfasst das Warum) und Referenzen dazu, warum Multifaktor-Authentifizierung (MFA) eine Sicherheits-Best Practices ist. Weitere Details zu diesem Beispiel enthält der Originalbeitrag.

Ungesicherte Redis-Instanzen werden für Remote Code Execution missbraucht

Originalartikel von David Fiser und Jaromir Horejsi, Threat Researcher

Die Sicherheitsforscher von Trend Micro hatten kürzlich mehr als 8.000 ungesicherte Redis-Instanzen (weit verbreiteter Open-Source In-Memory-Schlüsselwert-Datenstrukturspeicher) entdeckt, die in verschiedenen Teilen der Welt betrieben werden, sogar welche in öffentlichen Clouds. Cyberkriminelle können diese Instanzen für Remote Code Execution (RCE) missbrauchen. Die bösartigen Dateien wandeln sie in Kryptowährungs-Mining Bots um und können auch weitere angreifbare Instanzen über ihre „wurmartigen“ Verbreitungsfunktionen infizieren.

Redis war den Entwicklern zufolge ursprünglich allein auf den Einsatz in vertrauenswürdigen Umgebungen ausgerichtet und beinhaltet seit der Version 4.0 eine Protected Mode-Konfiguration. Der Speicher soll gerade auf die neue Version Redis 6.0 upgedatet werden. Diese bringt neue Sicherheitsfähigkeiten mit, wie etwa Access-Control Lists (ACLs).

Momentan jedoch sind Redis-Instanzen ohne TLS-Verschlüsselung (Transport Layer Security) oder Passwortschutz anfällig für Angriffe, wobei Cyberkriminellen über 200 Befehle zur Verfügung stehen, sobald sie in die Umgebung eindringen. Gegenwärtig ist bei Redis die Authentifizierung nicht standardmäßig eingestellt. Und selbst wenn ein Passwort gesetzt ist, ist es wichtig, sich vor Augen zu halten, dass das Passwort stark genug sein sollte, um gegen Brute-Force-Angriffe resistent zu sein.

Die Sicherheitsforscher setzten mögliche Szenarien in einem Honeypot ein, um Angreifer anzulocken und überwachen zu können. Dabei geht es um den Missbrauch des config-Befehls oder der slaveof-Fähigkeit. Die Forscher konnten auch einige bemerkenswerte Malware-Samples sammeln, die in exponierten Redis-Instanzen über eine der oben genannten Methoden verbreitet wurden: einen plattformübergreifenden Shell-basierten Wurm, der Kryptowährungs-Miner installiert, oder Kinsing-Malware, die sowohl Scanning- als auch Backdoor-Fähigkeiten besitzt. Die technischen Einzelheiten dazu liefert der Originalbeitrag.

Fazit und Sicherheitsempfehlungen

Insbesondere im Umfeld der DevOps, sollten angemessene Sicherheitsmaßnahmen vorhanden sein. Dass exponierte Redis-Instanzen für Kryptowährungs-Mining eingesetzt werden können, ist möglicherweise nicht die einzige Art des Missbrauchs, da die Fähigkeit, Code auszuführen, sozusagen der „heilige Gral“ eines Angreifers ist.

Entwickler können die Umgebung über folgende Best Practices besser schützen:

  • Beim Betrieb von Software auf dem Server ist sicherzustellen, dass sie nicht unter root läuft. Auch beim Einsatz von Containern müssen Nutzer Best Practices befolgen und das Prinzip der Mindestprivilegien anwenden.
  • Die Software immer auf aktuellem Stand halten und starke Passwörter wählen. Keine Verbindung zum Internet ohne geeignete Sicherheitsmaßnahmen.
  • Die Überprüfung von Redis Logs zeigt gerade stattfindende Angriffe.

Cloud-Sicherheitslösungen von Trend Micro

Die Trend Micro Hybrid Cloud Security bietet in einer Lösung die Breite, Tiefe und Innovation, die für den Schutz der Cloud erforderlich sind und zusätzlich die benötigte Übersicht über führende Umgebungen wie Amazon Web ServicesMicrosoft AzureGoogle Cloud und Docker. Zu der Funktionalität zählen automatisierte Installation und Inbetriebnahme, breite API-Integration sowie Sicherheitstechnologie für betriebliche Effizienz und Compliance-Anforderungen.

Die Trend Micro Cloud One SaaS-Plattform Sicherheit für die Cloud-Infrastruktur in Echtzeit – mit optimalem Schutz und Unterstützung der Compliance für Workloads, Anwendungen, Container, serverlose Dateispeichersysteme und Netzwerke sowie die Übersicht über die hybriden Cloud-Umgebungen im Unternehmen. Deep Security und Deep Security Smart Check unterstützen Unternehmen durch das Scannen von Container-Images vor und während der Laufzeit.

Cloud One schließt auch Cloud One – Conformity mit ein. Die Lösung liefert automatische Kontrollmechanismen für AWS ElasticCache (einer In-Memory Datenspeicher-Technologie für Redis). Sie stellt sicher, dass Redis nicht über den Default Port läuft und bietet auch Datenverschlüsselugn in Transit und At-Rest.

Trend Micro™ Deep Security™ und Vulnerability Protection schützt Anwender über folgende Regeln:

  • 1010231 – Redis Cron Remote Code Execution Vulnerability
  • 1009967 – Redis Unauthenticated Code Execution Vulnerability

Prinzipien für die Cloud Migration – Zuständigkeiten in der Sicherheit

Originalartikel von Jason Dablow und Mark Nunnikhoven, Vice President, Cloud Research

Analysten gehen davon aus, dass mehr als 75 Prozent der mittleren und großen Unternehmen bis 2021 eine Workload in die Cloud auslagern werden. Der Erfolg einer solchen Migration hängt von vielen Faktoren ab — nicht nur IT-Teams, Betrieb und Sicherheit sind involviert sondern auch Fach-, Finanz- und andere Abteilungen der Unternehmens. Best Practices, Fallbeispiele und Überlegungen rund um eine erfolgreiche Cloud-Migration sollen Unternehmen bei einem Cloud-Projekt helfen. Dazu gehören selbstverständlich auch die Sicherheitskonzepte für diese „neue“ Welt und damit auch die Zuteilung von Verantwortlichkeiten für Security.

Im Rahmen der Untersuchung „Untangling the Web of Cloud Security Threats“ bestätigt Trend Micro erneut, dass Fehlkonfigurationen die Hauptursache für Sicherheitsrisiken in der Cloud sind. Trotz des klaren Betriebsmodells der Cloud machen die Teams weiterhin einfache Fehler oder übersehen, die von ihnen genutzten Dienste in der Cloud richtig zu konfigurieren.

Eine der Ursachen für Fehlkonfigurationen liegt im Missverständnis darüber, wer (Provider oder Unternehmen) wofür zuständig ist. In einem solchen Szenario erwarten Sicherheitsteams, zuständig für die Cloud im Unternehmen, von ihrem Provider, dass er Kontrollmechanismen zur Verfügung stellt und Monitoring für bestimmte Aspekte durchführt, obwohl diese Bereiche eigentlich in die Verantwortung des Teams fallen.

Ein leider häufig anzutreffendes Beispiel hierfür ist, wenn Teams virtuelle Maschinen oder Instanzen in der Cloud mit einem vorkonfigurierten Bereitstellungsdienst verwenden. In diesen Fällen hat der Cloud-Anbieter die Schritte vereinfacht, die erforderlich sind, um gängige Konfigurationen in der Cloud zum Laufen zu bringen. Doch sobald die Konfiguration läuft, liegt es in der Verantwortung des Teams im Unternehmen, die Lösung zu patchen, zu härten und zu warten.

Sicherheit in der Cloud funktioniert gemäß dem Shared Responsibility Model, das festlegt, wer für eine jede operative Aufgabe in der Cloud verantwortlich ist. Dabei ist Sicherheit nur eine Teilmenge dieser Aufgaben.

Das Modell an sich ist recht einfach:

Es gibt sechs Bereiche, in denen eine tagtägliche Arbeit erforderlich ist — angefangen von der physischen Sicherheit (Gebäude, in dem die Systeme sicher untergebracht sind, bezahlt werden usw.) bis hin zur Infrastruktur, Virtualisierung, Betriebssystemen, Anwendungen und Daten.

In einer traditionellen On-Premise-Umgebung ist das Unternehmen für alle sechs Bereiche verantwortlich. Diese Arbeit wird normalerweise auf mehrere Teams aufgeteilt, aber letztendlich unterstehen sie alle einer Person innerhalb der Organisation, in der Regel dem CIO. Bei einer Migration in die Cloud, wird mindestens die Hälfte der Verantwortlichkeiten an den Cloud-Provider übergeben.

Bei Services auf Infrastrukturebene (IaaS), wie etwa die Instanzen oder virtuellen Maschinen, übernehmen Unternehmen die Verantwortung auf der Ebene des Betriebssystems. Die Konfiguration und Wartung des Betriebssystems liegt vollständig bei dem Team des Unternehmens.

Je mehr es um abstraktere oder SaaS-artige Dienste geht, desto weniger Verantwortlichkeiten tragen die Firmen selbst.  Das bedeutet, dass sie sich auf weniger Bereiche konzentrieren können, um die Sicherheit zu gewährleisten.

Vertrauen und Prüfen

Natürlich sollte sich kein Sicherheitsprofi lediglich auf die Zusage des Cloud-Service Providers verlassen, ohne zu verifizieren, ob er die Verantwortung gemäß des Modells wahrnimmt. Dafür gibt es Compliance-Attestierungen, etwa PCI-DSSSOC1 oder ISO 27001. Auch kann ein Unternehmen jederzeit eine Kopie der Audit-Ergebnisse für ein bestimmtes Compliance-Framework von seinem Provider anfordern.

Eine weitere Ursache für Fehlkonfigurationen liegt in einfachen Fehlern. Die Cloud ist ein Verstärker, denn mit einem einzigen API-Call lässt sich das Äquivalent eines ganzen Rechenzentrums starten. Die Kehrseite der Medaille ist, dass kleinere Teams für eine größere Vielfalt an technischen Stacks und Diensten verantwortlich sind. Einfache Fehler, die zu unnötigen Risiken führen, sind da unvermeidlich. Hier gilt es, soweit wie möglich zu automatisieren. Dadurch werden Fehler insgesamt reduziert, und die Fehler, die dennoch vorkommen, sind konsistent und leichter zu beheben.

Cloud-Sicherheitsverantwortliche im Unternehmen

  • InfoSec – Die Abteilung muss wohl an erster Stelle genannt werden, ist sie doch für die gesamte Informationssicherheit innerhalb einer Organisation zuständig. Und da es auch im Rahmen der Cloud-Migration um den Umgang mit „Informationen“ geht, muss InfoSec involviert sein, wenn es um den Zugang zum Monitoring der mit einer Organisation verbundenen Sicherheit und Risiken geht.
  • Cloud Architekt – Diese Position ist wichtig, um nicht den Fehler zu begehen, einfach die alten Prinzipien des On-Premise-Betriebs in die Cloud zu übertragen. Eine agile Plattform, die für die Automatisierung jedes Vorgangs, einschließlich der Sicherheit, gebaut wurde, sollte im Mittelpunkt stehen.
  • IT / Cloud Ops – Dabei kann es sich um dieselben oder verschiedene Teams handeln. Wenn mehr und mehr Ressourcen in die Cloud verlagert werden, wird ein IT-Team weniger Verantwortung für die physische Infrastruktur haben, da diese nun ein Cloud-Anbieter betreibt. Sie werden selbst eine „Migration“ durchlaufen müssen, um neue Fähigkeiten für den Betrieb und die Sicherung einer hybriden Umgebung zu erlernen.

Untersuchung: Fehlkonfigurationen als größtes Risiko für den sicheren Cloud-Betrieb

Originalbeitrag von Morton Swimmer, Fyodor Yarochkin, Joey Costoya, Roel Reyes, Trend Micro Research

Bis 2021 werden über 75 Prozent der mittleren und großen Unternehmen eine Multi-Cloud- oder Hybrid-IT-Strategie einführen, so die Prognose der Marktforscher von Gartner. Mit zunehmender Verbreitung von Cloud-Plattformen aber sehen sich IT- und DevOps-Teams auch mit zusätzlichen Risiken und Unsicherheiten in Bezug auf die Sicherung ihrer Cloud-Instanzen konfrontiert. Es gibt viele Faktoren, die zur Gefährdung von Workloads und Anwendungen führen können, einschließlich von Fehlkonfigurationen, unsachgemäßem Einsatz von Technologie, mangelnder Erfahrung im Betrieb und in der Sicherung von Cloud-Systemen oder auch nur ein bloßes Versehen seitens der Entwickler oder Cloud-Ingenieure. Außerdem sind die Komponenten von Cloud-Systemen auf vielfältige Weise miteinander verbunden, so dass potenzielle Angriffsvektoren schwer nachzuvollziehen sind.

Im Rahmen der Untersuchung „Untangling the Web of Cloud Security Threats“ fand Trend Micro Bedrohungen und Sicherheitslücken in mehreren Schlüsselbereichen des Cloud-Computings. Der Bericht bestätigt erneut, dass Fehlkonfigurationen die Hauptursache für Sicherheitsrisiken in der Cloud sind. So identifiziert die Sicherheitsplattform Trend Micro Cloud One – Conformity durchschnittlich 230 Millionen Fehlkonfigurationen pro Tag. Die Zahl verdeutlicht, wie weit verbreitet dieses Problem ist.

„World-Write“ für Amazon S3 Buckets

Amazon Web Services (AWS) hat sich zu einem der wichtigsten Anbieter für Cloud-Infrastruktur entwickelt. Dabei ist Amazon Simple Storage Service (Amazon S3) wahrscheinlich das am weitesten verbreitete Produkt.

Die Untersuchung hat ergeben, dass eines der häufigsten Risiken darin besteht, dass Anwender Amazon S3 Buckets mit dem Recht „World-Write“ konfigurieren – ein Fehler, der nicht autorisierten Nutzern Schreibprivilegien für das Bucket zugesteht. Telemetriedaten aus dem Trend MicroTM Smart Protection NetworkTM zeigten auch, dass während des gesamten Jahres 2019 Angriffe auf Websites mit „World-Write“-Rechten für die Buckets erfolgten –einige mit dem Einschleusen bösartigen Codes und Datendiebstahl aus Website-Formularen.

Des Weiteren stießen die Forscher auf als bösartig eingestufte Dateien, die in Amazon S3-Buckets gehostet wurden. Viele von ihnen verwenden das alte Adressierungsschema, dem zufolge der Bucket einen generischen Amazon S3-Hostnamen verwendet, im Gegensatz zum virtuell gehosteten Schema, bei dem der Name des Buckets im Hostnamen enthalten ist. Dies stellt Sicherheitsfilter vor Probleme, denn das Blockieren des Hostnamens einer bösartigen Website mit altem Adressierungsschema führt unweigerlich dazu, dass auch andere nicht bösartige Websites blockiert werden.

Containertechnologie ist ein weiterer sehr erfolgreicher Bereich im Cloud-Computing der letzten Jahre. Software wie Docker, Kubernetes und AWS Lambda haben die Containertechnologie vorangebracht, denn sie bieten leichtgewichtige und effiziente Cloud-Bereitstellungsmöglichkeiten. Doch auch hier kommt es häufig zu Ausfällen oder Fehlern bei der Konfiguration, so dass Systeme der Gefahr von Angriffen ausgesetzt sind, die sich diese Fehlkonfigurationen zunutze machen. Einzelheiten zu den Risiken der jeweiligen Container beschreibt der Originalbeitrag.

Unsachgemäßes Credential-Management

Die Verwendung von Credentials ist einer der wichtigsten Aspekte des Cloud Computing, wenn auch oft vernachlässigt. Da sich ein Cloud-System nicht wie ein Rechenzentrum physisch absichern lässt, ist der Bedarf an starker Credential-Sicherheit noch deutlicher. Eine Herausforderung bei der Sicherung von Credentials besteht darin, dass viele Prozesse auf Daten und andere Ressourcen zugreifen müssen, die eine Authentifizierung erfordern. Dies bedeutet, dass Benutzer sowohl die Daten als auch die Credentials vor unbefugtem Zugriff schützen müssen.

Programmierer machen häufig den Fehler, ihre Zugangsinformationen unbeabsichtigt in öffentlichen Repositories wie GitHub zu publizieren. Vertrauliche Daten wie API-Schlüssel sind manchmal in Codeteilen online zu finden und können dann von einem Angreifer dazu verwendet werden, um das Account, zu dem die Credentials gehören, zu übernehmen. Er kann dann wiederum den kompromittierten Account für eine Reihe bösartiger Zwecke einsetzen, so etwa den Diebstahl von Kundendaten, die er schließlich im Untergrund verkauft.

Ein weiteres Problem ist, dass viele unerfahrene Programmierer oft irreführende Cloud-Tutorials befolgen, die die harte Kodierung von Anmeldedaten im Code selbst propagieren. Dies aber wird zu einem Risiko, sobald der Code in einem Repository veröffentlicht wird, wo er für jedermann zugänglich ist.

Empfehlungen

IT-Mitarbeiter können die Vorteile von Cloud-nativen Tools nutzen, um diese Risiken zu minimieren. Sie sollten sich laut des Berichts aber nicht ausschließlich auf diese Werkzeuge verlassen.

Trend Micro empfiehlt verschiedene Best Practices, um Cloud-Instanzen abzusichern:

  • Umsetzung des „Least-Privilege-Prinzips“: Beschränkung des Zugangs auf diejenigen, die ihn benötigen.
  • Das Modell der geteilten Verantwortung verstehen: Obwohl Cloud-Anbieter über eigene Sicherheitsmaßnahmen verfügen, sind Kunden für die Sicherung ihrer Daten selbst verantwortlich.
  • Prüfen von falsch konfigurierten und ungeschützten Systemen: Tools wie Conformity können schnell und einfach Fehlkonfigurationen in Cloud-Umgebungen erkennen.
  • Integration von Sicherheitsmaßnahmen in die DevOps-Kultur: Das Thema Sicherheit sollte von Anfang an in den DevOps-Prozess integriert werden.

Fazit

Mit zunehmender Verbreitung der Cloud-Services ist es von entscheidender Bedeutung, dass sich Organisationen umfassend über die Bedrohungen, denen sie ausgesetzt sind, informiert und angemessen auf die Sicherung ihrer Cloud-Systeme vorbereitet sind. Die Bedrohungen, die Trend Micro im Rahmen dieser Untersuchung analysiert hat, decken nicht alle Risiken in der Cloud ab, aber  einige der wichtigsten. Dies ist besonders wichtig für IT- und Sicherheitspersonal, das sowohl die Struktur der Cloud als auch die zu ihrer Absicherung erforderlichen Strategien verstehen muss.

Aktuell: Coronavirus hat Hochkonjunktur in Untergrundforen und -märkten

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Neben den aktuellen Kampagnen, beherrscht das Coronavirus auch die Untergrundforen.

Update 1. April

Untergrundforen und cyberkriminelle Marktplätze funktionieren auf dieselbe Weise wie legitime Handelsplätze: Die Anbieter achten auf die Weltnachrichten und Märkte und verdienen Geld, indem sie die jeweiligen Marktbedürfnisse bedienen.

Bild 1. Ein beliebtes Untergrundforum hat begrenzte Coronavirus-Preise geschaffen, bei denen man ein Toilettenpapier oder ein „Coronavirus“-Symbol kaufen kann, um es dem Benutzerprofil hinzuzufügen.

Wie immer bei Naturkatastrophen oder großen Weltereignissen missbrauchen Cyberkriminelle auch die aktuelle Coronavirus-Pandemie (COVID-19) in Untergrundforen und bieten im Zusammenhang mit COVID-19 Phishing, Exploits und Malware an. So verlangt ein Forumsnutzer 200 $ für einen privaten Build eines Coronavirus Phishing Exploits und weitere 700 $ für ein Code Signaturzertifikat.

Bild 2. Coronavirus Phishing Exploit in einem russischen Untergrundforum

Des Weiteren nutzen Cyberkriminelle die Tatsache aus, dass die Menschen in vielen Ländern zum Teil Mühe haben, sich mit dem Notwendigen zu versorgen. Toilettenpapier und Gesichtsmasken sind sehr gefragt. Das Trend Micro Forward-Looking Threat Research (FTR) Team stellte fest, dass in zahlreichen Untergrundforen inzwischen Artikel wie N95-Masken, Toilettenpapier, Ventilatoren, Thermometer und andere krisenspezifische Artikel verkauft werden. Es gibt Angebote für N95-Masken für je 5 $ und Toilettenpapierrollen für 10 $. Bei sinkenden Lagerbeständen gibt es Diskussionen in den Untergrundforen, ob jetzt ein guter Zeitpunkt wäre, in Bitcoins zu investieren. Der Wert der Bitcoins ist innerhalb eines Monats von 8.914 $ (27. Februar) auf 6.620 $ (27. März) gesunken.

Bild 3. Angebot von N95-Masken in einem Forum

Einige Verkäufer verwenden „Coronavirus“ als Stichwort im Titel oder im Text ihrer Werbung, um den Verkauf zu steigern. Auch wird darüber diskutiert, wie das Virus für Social-Engineering-Betrügereien eingesetzt werden kann. Um etwa die Verifizierung bei großen Transaktionen zu umgehen, könnte der Nutzer erwähnen, dass das überwiesene Geld für ein vom Virus betroffenes Familienmitglied bestimmt war oder dass eine Ausgangssperre ihn daran hinderte, die Transaktion persönlich abzuschließen.

Bild 4. Darkweb-Marktplatz bietet „coronavirus Sale” für Marijuana an

Auch Untergrundverkäufer haben Umsatzeinbuße, weil weniger Menschen Geld ausgeben. Die Untergrundgeschäfte, die abhängig sind von Strohmännern (Money Mules) und Dropshipping, gehen ebenfalls zurück, da die Strohmänner aus Angst vor dem Virus nicht mehr mitmachen. In mehreren Foren wird auch diskutiert, wie man sich vor COVID-19 schützen kann, wie man Handdesinfektionsmittel herstellt, wie mit den Ausgangssperren in den Städten zurechtzukommen ist und andere Fragen im Zusammenhang mit dem Virus.

Die Daten aus dem Trend Micro Smart Protection Network zeigen die Vielfalt der Bedrohungen, die COVID-19 zur Manipulation der Ziele einsetzen. Die Grafik hebt hervor, dass Spam der am häufigsten genutzte Vektor ist

Bild 5. Verteilung der Bedrohungen, die auf COVID-19 beruhen

Einzelheiten zu den Bedrohungsarten sowie zu früheren bösartigen Kampagnen im März liefern die entsprechenden Blogeinträge.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Best Practices: Virtuelle Meetings ohne unerwünschte Teilnehmer

von Udo Schneider, Security Evangelist bei Trend Micro

Zusammenkünfte und physischen Kontakt vermeiden, so genanntes „Social Distancing“, ist das Gebot der Stunde in Zeiten der Coronavirus-Pandemie. Eine Vielzahl von Firmen hat ihren Mitarbeitern mittlerweile Home Office verordnet. Aber für etliche Unternehmen ist diese Regelung ungewohnt und sie stehen gleichzeitig unter dem Zwang, ihre Geschäftsabläufe möglichst schnell dieser neuartigen digitalen Situation anzupassen. Das betrifft unter anderem natürlich auch die Art, wie geschäftliche Kommunikation stattfindet. Virtuelle Meetings sind jetzt eine der besten und viel genutzten Möglichkeiten, mit Kollegen, Teams, vielleicht sogar Kunden und Partnern geschäftliche Abläufe zu besprechen, zu planen oder Informationen auszutauschen. Während Nutzern mittlerweile die Notwendigkeit von Sicherheitsmaßnahmen für ihre Online-Interaktionen größtenteils bewusst ist, wird der Schutz von virtuellen Meetings häufig noch außer Acht gelassen. Best Practices beim Umgang mit Videokonferenzen sollten aber neben den technischen Sicherheitsmaßnahmen stets beachtet werden.

Der prominenteste Fall einer Sicherheitspanne dieser Art war die Videokonferenz des Bayerischen Innenministeriums zur Ausbreitung des Coronavirus, die fast öffentlich mitverfolgt werden konnte und für entsprechende Schlagzeilen sorgte.

Die Gefahr, die von der Nutzung eines Online-Kommunikationstools ausgeht, ist im privaten Bereich wahrscheinlich nicht sehr hoch. Im geschäftlichen Umfeld jedoch müssen Kommunikationstools in puncto Sicherheit ganz andere Anforderungen erfüllen, geht es doch um Vertraulichkeit und den Austausch von Geschäftsdaten bzw. -infos. Für viele Unternehmen und Anwender ist diese Art der Kommunikation ungewohnt, und sie sind darauf nicht vorbereitet. Umso wichtiger ist es, das Bewusstsein für die Sicherheit bei Videokonferenzen zu schärfen und auch Best Practices beim Umgang damit zu beachten.

Datenschutz bei Videokonferenzen

In erster Linie müssen sich Unternehmen darüber bewusst sein, dass sie die Verantwortung für die Integrität und Vertraulichkeit der geschäftlichen Daten auch beim Video-Conferencing tragen. Das bedeutet, dass ein virtuelles Meeting mithilfe eines Tools erfolgen sollte, das auf den professionellen Einsatz zugeschnitten ist und Möglichkeiten für die Absicherung der Konferenzen bietet. Dies ist bei Tools, wie Google Hangout oder Facetime für den privaten Gebrauch nicht gegeben. Auch ist es gut möglich, dass es etwa versteckte Nutzungsbedingungen einiger Hersteller gibt, die das Weiterleiten von Daten erlaubt.

Erste Voraussetzung für die Sicherheit von virtuellen Meetings im geschäftlichen Bereich ist es also, dafür zu sorgen, einen entsprechenden Dienst für die Meetings aus dem Home Office zur Verfügung zu stellen. Die meisten dieser Dienste sind mit eingebauten Sicherheitsfunktionen ausgestattet, und viele Provider liefern Sicherheitsempfehlungen für ihre Plattformen und erklären auch ausdrücklich, keine Daten weiter zu geben.

Dennoch finden Böswillige Mittel und Wege, auch diese Plattformen zu missbrauchen, sei es durch infizierte Domänen oder Dateien, sei es, um die Meetings durch Trolle zu stören oder ihre Botschaften zu verbreiten. Jüngstes Beispiel für derartigen Missbrauch ist die Plattform Zoom als Ziel dieser Akteure.

Sicherheitsempfehlungen

Umso wichtiger ist es, dass gerade diejenigen, die eine Videokonferenz aufsetzen, bestimmte Regeln und Richtlinien beachten und durchsetzen:

  • Sicherheits-Policies: Unternehmen müssen genau festlegen, welche Sicherheitsregeln bei einem virtuellen Meeting befolgt werden müssen.
  • Wiederverwendung von Zugangscodes limitieren: Wird immer derselbe Code für eine Videokonferenz verwendet, so kennen wahrscheinlich mehr Leute den Code als dem Host lieb ist.
  • Keine statischen Konferenznummern: Das Ändern dieser Nummern erschwert das Auffinden der Konferenzräume.
  • Schutz über PINs oder Passwörter: Ist das Thema einer Konferenz besonders vertraulich oder werden dabei kritische Daten ausgetauscht, lassen sich die Meetings mit der Vergabe von PINS oder Passwörtern zusätzlich schützen, oder gar eine Mehrfaktor-Authentifizierung aufsetzen
  • Dashboard für das Monitoring der Teilnehmer: Über ein Dashboard kann der Host überprüfen, ob sich jemand einwählt, der nicht eingeladen ist.
  • Konferenz abschließen: Das bedeutet, dass der Host überprüft, ob alle Teilnehmer sich eingewählt haben, um dann den Zugang zu schließen.
  • Nicht benötigte Funktionen deaktivieren: Dazu gehören unter Umständen Chats oder das Teilen bestimmter Arten von Dateien oder auch die Recording-Funktion.

Doch nicht nur die virtuelle Konferenz selbst muss abgesichert sein, sondern auch die Geräte im Home Office und die Verbindung zur Konferenz müssen entsprechend geschützt sein. Dazu gehört eine sichere WLAN-Verbindung, Systeme, die auf aktuellem Stand sind und das Vorhandensein einer Antivirus-Lösung sowie regelmäßige Backups der Daten. Empfehlungen für einen adäquaten Schutz vor Bedrohungen sowohl für die bei der Heimarbeit eingesetzten Geräte als auch für das Heimnetzwerk und die genutzten Lösungen gibt Trend Micro im Blogbeitrag „Umfassend geschützt im Home Office“.

Die Kunst, das Cloud-Ökosystem zu sichern – Zeit für einen Wandel

Der unternehmensweite Netzwerk-Perimeter und all die damit einher gehenden Gewissheiten für Sicherheitsexperten sind verschwunden. An dessen Stelle ist eine dynamischere, flexible Umgebung getreten, die die digitale Transformation unterstützt sowie das innovationsbedingte Wachstum des Unternehmens vorantreiben soll. Diese neue IT-Welt dreht sich um hybride Cloud-Systeme, Microservices-Architekturen, DevOps und Infrastructure-as-Code. Dieser grundlegende Wandel im Umgang mit der IT bedingt auch große Veränderungen in der Art, wie geschäftskritische Daten und Systeme gesichert sein müssen. Gefordert ist ein neuer Ansatz für das Risikomanagement in einer Cloud-zentrischen Welt.

Eine neue Ära

Die Analysten von Gartner gehen davon aus, dass der weltweite Markt für öffentliche Cloud-Services 2020 um beeindruckende 17% auf 266 Milliarden $ steigen wird. Die Vorteile der Cloud sind mittlerweile wohlbekannt: eine Verbindung aus IT-Effizienz und Flexibilität mit Kosteneinsparungen und Skalierbarkeit. Dadurch können so unterschiedliche Organisationen wie Versorgungsunternehmen, Einzelhändler und sogar Gesundheitsdienstleister Geschäftsprozesse optimieren und die Produktivität ihrer Mitarbeiter verbessern sowie innovative kundenorientierte Dienstleistungen anbieten, um das Wachstum zu fördern.

Unternehmenssysteme bestehen heutzutage aus einem komplexen, heterogenen Mix aus physischen Altservern und mehreren hybriden Cloud-Systemen. Um diese Komplexität zu bewältigen, setzen Unternehmen auf Container und Microservices, die eine bessere Integration hybrider Clouds und eine effizientere Entwicklung neuer Anwendungen ermöglichen sollen. Die für solche Projekte verantwortlichen DevOps-Teams arbeiten auf der Grundlage einer neuen Infrastructure-as-Code, wo alles softwaredefiniert ist – von den VMs und Containern, die schnell herkömmliche Server ersetzen, bis hin zu Netzwerken und Anwendungs-Stacks.

Es nimmt also nicht Wunder, dass der Markt für digitale Transformation in den nächsten fünf Jahren um 18% wachsen soll, und 2025 dann 924 Milliarden $ beträgt.

Neue Probleme

Mit dem radikalen Wechsel in der Bereitstellung von IT gehen zwei neue Gruppen von Risiken einher. Die Cloud Provider selbst haben zwar gute Sicherheitsteams, und ihre Datencenter werden nach den höchsten Sicherheits- und Betriebsstandards geführt, doch liegt die Sicherheit nicht allein in ihrer Verantwortung. Amazon Web Services (AWS) erklärt ausdrücklich, dass das Unternehmen sich um die Infrastruktur kümmert, auf der die Services (Sicherheit für die Cloud) laufen, doch für alles, was darüber hinaus geht, ist der Kunde verantwortlich, einschließlich Gast-Betriebssysteme, Anwendungen und Kundendaten. Das wird als Sicherheit in der Cloud beschrieben — wo die Trennlinie zwischen den beiden Verantwortlichkeiten verläuft, sorgt für permanente Verwirrung.

Auch wenn Cloud Computing Unternehmen das Outsourcing vieler Ressourcen ermöglicht, Verantwortung können sie nicht ausgliedern – eine Tatsache, die auch die DSGVO-Regularien bestätigen. Tatsächlich gestaltet sich das Cloud-Ökosystem genauso komplex, wenn nicht sogar noch komplexer, als das On-Premise-Ökosystem, das es zu ersetzen beginnt, denn Unternehmen setzen ihre Umgebungen über mehrere Anbieter hinweg auf. Geschätzte 85% der Unternehmen nutzen mittlerweile mehrere Clouds, und 76% haben zwischen zwei und 15 Hybrid Clouds im Einsatz.

In manchen Fällen fügen gar die Cloud Provider selbst zusätzliche Komplexität hinzu. Alle ein bis zwei Wochen gerät ein anderes Unternehmen in die Schlagzeilen, weil es versäumt hatte, eine kritische Cloud-Datenbank zu sichern, so dass Informationen im öffentlichen Internet zugänglich wurden. Interne Teams sind schlichtweg nicht in der Lage, angesichts der unzähligen verfügbaren Optionen, die geeignete zu wählen, um solche Accounts richtig zu konfigurieren. Und die schlechte Nachricht dabei ist, dass Hacker vermehrt nach exponierten Instanzen scannen: Manche haben gestohlene Daten und nutzen sie für Erpressung, andere wiederum fügen Code zum Datenabschöpfen in exponierte JavaScript-Dateien ein.

Ein dynamisches Problem

Die neue Welt der Cloud ist unbeständig und schnelllebig – und erfordert eine Änderung in der Art und Weise, wie Sicherheitsmanager reagieren. Cloud Workloads sind von Haus aus dynamisch und verursachen beispielsweise Probleme, für die herkömmliche Sicherheitsprozesse und -werkzeuge nur unzureichend gerüstet sind. Wie lässt sich der Überblick über diese sich schnell verändernden Workloads behalten? Heute handelt es sich vielleicht um einen einfachen Webserver, der nicht viel Schutz benötigt, aber morgen könnte er Teil einer stark regulierten E-Commerce-Umgebung sein. Die Anpassung der Sicherheitshaltung an solche Veränderungen stellt eine große Herausforderung dar.

Die Infrastructure-as-Code-Revolution bringt andere Probleme mit sich. Das Schöne an Containern und Microservices etwa ist, dass sie einfach zu erstellen und zu warten sind, sowie dass sie von DevOps-Teams entwickelt und getestet werden können, so dass sie schnell an Marktanforderungen angepasst werden. Doch die gemeinsame Nutzung von Bibliotheken von Drittanbietern setzt Unternehmen dem Risiko fehlerhaften Codes aus, und Cyberkriminelle sind dafür bekannt, versteckte Schadsoftware in diese Repositories einzufügen.

Zeit für einen Wandel

Für Unternehmen bedeutet all dies, dass die Nutzung der Cloud Hand in Hand mit Cybersicherheit gehen muss. Trend Micro stellte in einer kürzlich durchgeführten Forschungsarbeit fest, dass einem Drittel der befragten Unternehmen Sicherheitsteams beim Start von DevOps-Projekten leider nicht involviert waren, wobei 72% der IT-Leiter die Ansicht vertraten, dass diese Tatsache zu Cyberrisiken für das Unternehmen führt. Werden die oben genannten Probleme nicht angegangen, könnte dies zu hohen Datenverlusten, Service-Ausfällen und allen damit verbundenen Risiken für finanzielle und rufschädigende Auswirkungen führen.

Als guter Ausgangspunkt für eine Änderung der Situation empfiehlt es sich, dass Verantwortliche das Modell der geteilten Verantwortung verstehen und in den Cloud-Verträgen vollständig zu klären, welche Teile der Cloud-Umgebung das Unternehmen selbst sichern muss. Als Nächstes sollten sich die Sicherheitsmanager Tools für das Cloud Security Posture Management (CSPM) ansehen, um einen entscheidenden Einblick in ihre bestehende Infrastruktur zu erhalten und um herauszufinden, wo wichtige Fehlkonfigurationen vorhanden sind. Auch sollten sie in Betracht ziehen, die Leistungsfähigkeit der Infrastructure-as-Code für die Sicherheit zu nutzen, mit API-gesteuerten Diensten, die Kontrollmechanismen nahtlos in die DevOps-Pipelines einbetten, um Bedrohungen vor und während der Laufzeit zu erkennen.

Es gibt kein Zurück zu den Gewissheiten von früher. CISOs müssen sich daher das Neue zu eigen machen und einen Weg finden, das Cyberrisiko zu minimieren, ohne Innovation und Geschäftswachstum zu beeinträchtigen.

2019 blockiert Trend Micro 52 Milliarden Bedrohungen: Hacker erweitern ihr Repertoire

von Trend Micro

Abwechslung ist in den meisten Lebensbereichen willkommen, doch nicht in der Bedrohungslandschaft. Leider müssen sich Sicherheitsexperten heutzutage aber genau damit auseinandersetzen. Der Jahresbericht 2019 von Trend Micro zeigt, dass Hackern mittlerweile eine beispiellose Vielfalt an Tools, Techniken und Verfahren zur Verfügung steht. Bei 52 Milliarden einzigartigen Bedrohungen, die allein von den Trend Micro-Filtern erkannt wurden, könnte dies zu einer übermächtigen Herausforderung für viele IT-Sicherheitsabteilungen werden. Als Reaktion darauf überprüfen zu Recht viele CISOs ihren Ansatz für die Bedrohungsabwehr. Bei vielen von ihnen setzt sich die Erkenntnis durch, dass es sinnvoller ist, sich auf einen Anbieter zu konzentrieren, der den gesamten Schutz liefern kann, statt durch Investitionen in Best-of-Breed-Lösungen unter Umständen Sicherheitslücken zu schaffen und Budgetengpässe zu riskieren.

Zustandsaufnahme

Der Bericht liefert ein alarmierendes Bild einer von Volatilität und Chaos geprägten Bedrohungslandschaft. Finanziell motivierte Cyberkriminelle kooperieren und konkurrieren miteinander, um aus Attacken Profit zu schlagen. Leider gibt es eine Menge Betroffener, denn aufgrund gestiegener Investitionen in Cloud- und digitale Plattformen hat sich die Angriffsfläche im Unternehmen erheblich vergrößert.

Der Bericht hebt vor allem drei Trends hervor:

Ransomware ist auf dem Vormarsch: Obzwar die Anzahl der neuen Familien zurückgegangen ist,  ist die Zahl der entdeckten Ransomware-Komponenten im Laufe der Jahres um 10% auf 61 Millionen gestiegen. Im letzten Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Eine aktuelle Umfrage des TÜV-Verbands zeigte, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Dabei spielte der Bankentrojaner Emotet häufig eine unrühmliche Rolle.

Phishing entwickelt sich weiterWie immer entfielen die meisten Bedrohungen (91%), die Trend Micro im vergangenen Jahr blockierte, auf Email-Angriffe, und ab 2018 stieg das Volumen um 15%. Das bedeutet, dass Phishing nach wie vor der Hauptvektor bei Angriffen auf Unternehmen ist. Obwohl insgesamt ein Rückgang der Gesamtzahl der Versuche, Phishing-Websites zu besuchen, zu verzeichnen war, gab es einige Spitzenwerte. Betrüger scheinen Office 365 im Visier zu haben und versuchen, Sicherheitsfilter zu umgehen. Die Zahl der eindeutigen Phishing-URLs, die die Microsoft-Cloud-Plattform fälschten, ist im Vergleich zum Vorjahr um 100% gestiegen. Die BEC-Angriffe, die nach Angaben des FBI im vergangenen Jahr höhere Kosten als jede andere Art von Cyberkriminalität verursachten, nahmen um 5% zu.

Die Supply Chain ist in Gefahr: Die digitale Supply Chain hat sich in den letzten Jahren rapide erweitert und setzt damit mehr Unternehmen einem Risiko aus. Besonders deutlich wurde dies im Bereich des elektronischen Handels im vergangenen Jahr, als es der Magecart Hacking-Gruppe gelang, schätzungsweise zwei Millionen Websites zu kompromittieren. Viele dieser Attacken konzentrierten sich auf Partner der Supply Chain. Auch beobachteten die Sicherheitsforscher einen Anstieg bei Angriffen, die sich auf die Kompromittierung von DevOps-Tools und -Deployments konzentrieren, wie z.B. fehlkonfigurierte Versionen der Docker Engine und ungesicherte Docker-Hosts.

Fazit

Dies ist aber nur die Spitze des Eisbergs. Die Forscher von Trend Micro stellten auch einen Anstieg bei mobiler Malware (6%), IoT-Anmeldungen über Brute-Force (189%) und vieles mehr fest. Um angesichts einer so breit gefächerten Palette von Bedrohungen die Kontrolle zu behalten, sollten CISOs den Ansatz der „Connected Threat Defense“ in Erwägung ziehen. Diese Strategie konsolidiert den Schutz über Gateways, Netzwerke, Server und Endpunkte hinweg auf einen einzigen Anbieter, der die Verteidigung auf jeder Ebene mit einem Fundament aus intelligentem Bedrohungswissen optimiert.

Die folgende Checkliste ist eine Überlegung wert:

  • Netzwerksegmentierung, regelmäßige Backups und kontinuierliche Netzwerküberwachung zur Bekämpfung von Ransomware,
  • Verbesserte Programme für das Sicherheitsverständnis, hilft Nutzern BEC- und Phishing-Versuche besser zu erkennen,
  • Monitoring von Schwachstellen und falschen Konfigurationen der Systeme der Supply Chain-Partner als Schutz vor Magecart-Angriffen,
  • Scannen von Container Images auf Malware und Sicherheitslücken während Build und Laufzeit,
  • Systeme und Software immer auf aktuellem Stand halten sowie
  • Richtlinien für Zweifaktor-Authentifizierung und dem Prinzip der geringsten Privilegien verhindern den Missbrauch von Tools, die über Admin-Logins zugänglich sind, etwa RDP und Entwickler-Tools.

Der gesamte 2019-Sicherheitsbericht steht online zur Verfügung.