Archiv der Kategorie: Tests

Angreifbare Schwächen in Gesichtserkennungsgeräten

Originalartikel von Vincenzo Ciancaglini, Joey Costoya, Philippe Lin, Roel Reyes

Biometrische Sicherheitslösungen wie Fingerabdruck- oder Iris-Scanner und Gesichtserkennungskameras werden in grossem Umfang eingesetzt, um den Zutritt zu geschlossenen Bereichen zu regeln. Aber diese biometrischen Authentifizierungssysteme sind in der Regel sehr rechenaufwändig. Beispielsweise verwenden traditionelle Gesichtserkennungs-Sicherheitslösungen einen externen Dienst für die Berechnung, die zur Validierung eines Benutzers erforderlich ist; eine Kamera vor Ort nimmt ein Bild auf und sendet es dann an einen Cloud-basierten Dienst, der die Verarbeitung vornimmt. Bei gross angelegten Installationen kommt es zu einer Latenzzeit zwischen der Authentifizierung und der Validierung des Benutzers. Und beim Senden grosser Mengen von Bilddaten an den Authentifizierungsdienst treten auch Probleme mit dem Verbrauch der Netzwerkbandbreite auf. Um ein differenzierteres Verständnis der Sicherheitsprobleme bei Gesichtserkennungsgeräten zu erhalten, haben die Sicherheitsforscher die Sicherheit von vier verschiedenen Modellen unter die Lupe genommen: ZKTeco FaceDepot-7B, Hikvision DS-K1T606MF, Telpo TPS980 und Megvii Koala.

Um diese Probleme bei auf Gesichtserkennung basierenden Zugangskontrollgeräten zu lösen, setzen Hersteller von Sicherheitslösungen auf Edge Computing. Im Rahmen dieser Architektur sind die Geräte selbst Edge-Knoten und voll ausgestattet, um ein Benutzerbild direkt zu validieren. Diese Edge-Computing-fähigen Geräte sind nur für Koordinations- und Wartungsaufgaben auf einen externen Dienst angewiesen.

Eine solche Architektur reduziert die Latenzzeit und den Verbrauch der Netzwerkbandbreite, da keine Benutzerbilder über das Netzwerk übertragen werden. Es gibt jedoch Sicherheitsbedenken gegen „dumme“ Geräte mit geringem Stromverbrauch, die mit höheren Rechenkapazitäten und mehr Verantwortung im Validierungsprozess ausgestattet sind.

Aufbau des Versuchs

Die Sicherheit von vier verschiedenen Modellen, ZKTeco FaceDepot-7B, Hikvision DS-K1T606MF, Telpo TPS980 und Megvii Koala, wurde auf den Prüfstand gestellt. Die Geräte und ihre Serverkomponenten (falls zutreffend) wurden in einem isolierten Testnetz aufgebaut. Die Anordnung simulierte die normale Arbeitsumgebung der Geräte:

  • Zugangskontrollgerät: Dies ist das getestete Gerät.
  • Man-in-the-Middle (MitM)-Gerät: Dieses Gerät wird dazu verwendet, um Netzwerkpakete zwischen dem Zugangskontrollgerät und der entsprechenden Serverkomponente transparent zu erfassen.
  • Management Server: Das Zugangskontrollgerät wird in der Regel mit einer Software-Suite geliefert, die eine Serverkomponente enthält, die auf diesem Managementserver installiert ist.

Bild. Das Setup für die Untersuchung der Sicherheit der Zugangskontrollgeräte.

Die Ergebnisse der Untersuchung zu Schwachpunkten in der Hardware sowie Sicherheit für den Netzwerkverkehr der einzelnen Gerätemodelle können Interessierte im Originalbeitrag nachlesen.

Best Practices und Vorsichtsmassnahmen

Sicherheitspraktiken, die für eine bestimmte Technologie gelten, lassen sich nur selten auf andere Medien übertragen. Dies wird deutlich, wenn man sich die Verwendung von HTTP für die API-Kommunikation ansieht. HTTP wurde in den 1990er Jahren für Desktop-Webbrowser eingeführt, und im Laufe der Jahre wurden die Sicherheitspraktiken verbessert: Unter anderem wurde das Protokoll gehärtet, es wurde sichergestellt, dass die Kommunikation verschlüsselt wird und dass Sitzungen nicht wieder verwendbar sind. Edge-Computing ist ein relativ neues Medium für eine relativ alte Technologie, und viele Hersteller von Edge-Geräten haben solche Sicherheitspraktiken noch nicht übernommen. Die Tests zeigen, wie sich ein kritisches Gerät wie eine Zugangskontrollkamera auf ein bewährtes Protokoll wie HTTP verlässt, aber die eingesetzten Systeme lassen bestimmte sicherheitsrelevante Punkte ausser Acht.

Um die Risiken zu mindern, die mit dem Einsatz dieser Geräte verbunden sind, sollten Unternehmensanwender die folgenden Richtlinien zur sicheren Bereitstellung befolgen:

  • Überprüfen der Sicherheit der Geräte selbst und Durchführung einer Risikoanalyse für jede Edge-basierte Installation.
  • Management der Schwachpunkte der Hardware, wie sichtbare Geräteinformationen und zugängliche Ports.
  • Isolieren der Edge-Geräte und ihre Server im Netzwerkraum . Sie sollten für externe Parteien unzugänglich sein.
  • Einsatz von netzwerkbasierte IP-Filterung – z. B. über Firewalls oder Zugriffskontrolllisten -, um die Kommunikation nur von zugelassenen Netzwerk-Endpunkten aus zuzulassen.

Die vollständige Darstellung der Sicherheitsprobleme sowie der Massnahmen entnehmen Sie dem Whitepaper „Identified and Authorized: Sneaking Past Edge-Based Access Control Devices“.

Das Problem mit kontaktlosen Sicherheitslösungen

von Trend Micro Research

Zugangskontrollgeräte, die Gesichtserkennung verwenden, sind zu einem kritischen Teil der Sicherheitsinfrastruktur von Unternehmen geworden. Unternehmen setzen diese Geräte zunehmend ein, um den Zutritt zu gesicherten Räumlichkeiten zu kontrollieren. Die Sicherheitsforscher von Trend Micro haben die Sicherheitsvorkehrungen bestimmter Gerätemodelle untersucht und inhärente Schwächen entdeckt, die die Unternehmen, die diese Geräte einsetzen, ernsthaft gefährden könnten. Sie testeten vier verschiedene Geräte und setzten sie sowohl Cyber- als auch physischen Angriffen aus. Dabei stellten sie fest, dass sie die vorhandenen Sicherheitsmassnahmen umgehen konnten. In einem Fall waren sie sogar in der Lage, Türen zu öffnen, indem sie nur ein statisches Bild des Gesichts einer Person verwendeten.

Zugangskontrollgeräte am Edge des Netzwerks

Diese Zugangskontrollgeräte sind ein Beispiel für ein neues Computing-Paradigma namens Edge-Computing. Die Architektur ist darauf ausgerichtet, Rechenknoten näher an die Sensoren und Aktuatoren an den Rändern (Edge) des Netzwerks zu bringen. Aufgrund ihrer Eigenschaften der geringen Latenz, der Datenlokalisierung und des reduzierten Bandbreitenverbrauchs wird Edge Computing in kritischen Anwendungen wie Flottensteuerung, intelligenter Landwirtschaft und Gebäudeautomatisierung eingesetzt.

Die Verlagerung des Grossteils der Rechenaufgaben auf das Edge-Computing birgt jedoch neue Risiken. Edge-Knoten sind häufig vor Ort exponiert und erhöhen die Wahrscheinlichkeit von Manipulationen und damit das Risiko des Zugriffs auf das restliche Unternehmensnetzwerk. Dieses System erhöht auch die Wahrscheinlichkeit des Diebstahls und der Kompromittierung der in den Geräten gespeicherten Daten.

Auswirkungen auf Unternehmen

Im Rahmen der Erforschung entdeckten die Trend Micro-Experten einige Schwachpunkte in Edge-basierten Zugangskontrollgeräten, die eng mit der neuen Gerätearchitektur zusammenhängen. Diese Sicherheitslücken könnten dazu führen, dass bösartige Akteure verschiedene Aktionen ausführen, wie etwa folgende:

  • Durchbrechen der physischen Sicherheit eines Gebäudes: Sie könnten nicht autorisierte Nutzer hinzufügen und die Rolle des Geräteadministrators übernehmen.
  • Exfiltrieren von kritischen Unternehmensdaten: Damit können Angreifer Türen zu privaten Bereichen öffnen und Anwendungen auf das Gerät installieren.

Massnahmen gegen das Eindringen

Das Whitepaper „Identified and Authorized: Sneaking Past Edge-Based Access Control Devices“ stellt einige Leitlinien vor, die Anbieter dabei unterstützen, sicherere Geräte herzustellen, einschliesslich der Möglichkeit verschlüsselter Kommunikation, Härten der Geräte und der Ausgabe regelmässiger Sicherheits-Updates. Auch liefert das Whitepaper Hilfestellungen für Unternehmensanwender, um die Risiken durch angreifbare Geräte zu mindern, so etwa physische Absicherung der Geräte, Sichern der Kommunikation und Einsatz von Netzwerküberwachungslösungen.

Weitere Einzelheiten dazu, wie Hacker Edge-basierte Zugangskontrollgeräte angreifen können sowie Massnahmen zur Risikominimierung gibt es unter http://bit.ly/edgedevicesecurity.

CLOUDSEC Online: Neue Quelle für fachkundige Inhalte zur Cloud-Sicherheit

Originalartikel von Bharat Mistry

Für Informations-Sicherheitsfachleute bedeutet der radikale Wechsel der letzten Monate in den Unternehmen hin zur Arbeit im Homeoffice eine sehr einschneidende Änderung. Auch traf sie die Absage von Branchentreffen und Veranstaltungen, die dringend benötigte Netzwerk- und Weiterbildungsmöglichkeiten bieten, besonders hart. Deshalb will die CLOUDSEC Online einen Ersatz bieten, ein neues interaktives Zentrum, das von Trend Micro und Partnern betrieben wird, und eine sehr wertvolle Ressource für Cybersicherheits- und IT-Fachleute sein kann.

Eine vor kurzem von der Zertifizierungsorganisation (ISC)² durchgeführte Branchenumfrage ergab, dass fast die Hälfte (47%) der Sicherheitsfachleute irgendwann von einigen oder allen ihren üblichen Aufgaben freigestellt wurden, um dringendere Anforderungen wie z.B. Remote-Arbeit zu unterstützen. Weitere 15% der Unternehmen scheinen nicht über adäquate Ressourcen zu verfügen, während ein Drittel (34%) vorerst nur mit „ausreichenden“ Mitteln ausgestattet ist. In einer anderen kürzlich durchgeführten Umfrage, diesmal von der Branchenorganisation ISACA, gab nur etwa die Hälfte (59%) an, dass ihr IT-Sicherheitsteam zu Hause über die richtigen Werkzeuge und Ressourcen verfügt, um die Arbeit effektiv zu erledigen.

Warum die CLOUDSEC Online?

Die CLOUDSEC-Konferenz von Trend Micro bietet Branchenfachleuten seit fünf Jahren Zugang zu spannenden Präsentationen von weltweit führenden Experten aus dem gesamten Spektrum der Cybersicherheit. Kurze, aufschlussreiche Keynotes aus dem akademischen Bereich, von Strafverfolgungsbehörden, Non-Profit-Organisationen, CISOs von Unternehmen und Trend Micros eigenen Experten bieten Einblicke in aktuelle Trends bei Bedrohungen und reale Fallstudien von Branchenexperten – das alles an einem einzigen Tag.

Die virtuelle CLOUDSEC soll es Branchenexperten aus ganz Europa ermöglichen, miteinander in Verbindung zu treten und eine Reihe von Ressourcen zur Verfügung zu haben, die eine Cloud-Sicherheitsstrategie in einer Zeit extremer Herausforderungen unterstützen.

Des Weiteren gibt es dort E-Books, Whitepapers, Infografiken, Webinare, Video-Interviews, Lösungsleitfäden, Erfolgsgeschichten von Partnern und vieles mehr. Sie bieten eine breite Palette von Informationen, die von einem besseren Verständnis dateiloser Bedrohungen über Herausforderungen in der hybriden Cloud und nahtlose DevOps-Sicherheit bis hin zur Bekämpfung von Fehlkonfigurationen in der Cloud reichen.

Anmeldungen sind hier möglich.

Risiken und Massnahmen für die Anwendungssicherheit

Von Trend Micro

Anwendungen spielen heute eine integrale Rolle, und viele Unternehmen und Benutzer sind auf eine breite Palette von Anwendungen für Arbeit, Bildung, Unterhaltung, Einzelhandel und andere Zwecke angewiesen. Daher spielen Entwicklungsteams eine Schlüsselrolle, um sicherzustellen, dass Anwendungen den Benutzern eine hohe Benutzerfreundlichkeit und Leistung sowie Sicherheit vor Bedrohungsakteuren bieten, die immer auf der Suche nach Schwachstellen, Verwundbarkeiten, Fehlkonfigurationen und anderen Sicherheitslücken sind, die sie zur Durchführung böswilliger Aktivitäten missbrauchen können. Die Sicherheitsrisiken sind sogar noch ausgeprägter geworden, da die Unternehmen Anwendungen schnell auf den Markt bringen müssen, um ihre geschäftlichen und Umsatz generierenden Prozesse aufrechtzuerhalten.

Die schwerwiegenden Risiken, die von unsicheren Anwendungen ausgehen, verdeutlichen die Notwendigkeit der Anwendungssicherheit in der Design-, Entwicklungs- und Bereitstellung-Phase. Deswegen ist es nötig, die Sicherheitsrisiken und -bedrohungen zu erörtern, denen Anwendungen ausgesetzt sein könnten, sowie die Möglichkeiten für Organisationen angemessene Cybersicherheitsschutzmassnahmen in ihre DevOps-Pipeline zu integrieren.

Sicherheitsrisiken für Anwendungen

Die zunehmende Komplexität der Anwendungen und ihre Abhängigkeit von Drittbibliotheken machen sie u.a. anfällig für Sicherheitsbedrohungen. Ein Forrester-Bericht von 2020 stellt fest, dass die Mehrzahl der externen Angriffe durch Ausnutzung einer Software-Schwachstelle oder einer Web-Anwendung erfolgt. Der Bericht nennt Open-Source-Software als ein Hauptproblem für die Sicherheit von Anwendungen und verweist auf den 50%igen Anstieg von Open-Source-Sicherheitslücken seit dem letzten Jahr.

Auch die zunehmende Verbreitung von Containern und die erforderlichen APIs bringen zusätzliche Risiken. Ein 2020 Snyk Report stellt fest, dass neun von zehn der Top-10 offiziellen Container-Images mehr als 50 Schwachstellen umfassen. Ein F5 Report von 2019 fand heraus, dass API-Einbrüche entweder bedingt durch grosse Plattformen zustande kommen, die viele Drittanbieter-Integrationen enthalten, oder durch mobile Applikationen und infolge der Fehlkonfigurationen der Anwendungen.

Die Open Web Application Security Project (OWASP) Foundation stellt eine umfassende Liste der Risiken für Webanwendungen und APIs zur Verfügung. Es ist wichtig, dass sich die Entwickler der häufigsten Anwendungssicherheitsrisiken bewusst sind – in der Regel durch unsicheren Code entstanden – damit sie die Bereiche überprüfen können, die sie in jeder Phase der Entwicklungspipeline abdecken müssen. Dies sind die häufigsten Risiken für Anwendungen:

  • Einsatz von Komponenten mit bekannten Schwachstellen. Entwickler verwenden Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule in ihren Anwendungen, um redundante Arbeit zu vermeiden und die benötigte Funktionalität bereitzustellen. Bedrohungsakteure wiederum suchen nach bekannten Schwachstellen in diesen Komponenten, um die Abwehr von Anwendungen zu untergraben und verschiedene Angriffe durchzuführen.
  • Daten-Lecks und Exponierung. Webanwendungen und APIs mit nur ungenügendem Schutz für sensible Daten könnten Bedrohungsakteuren böswillige Aktivitäten ermöglichen, wie Daten- oder Identitätsdiebstahl und Kreditkartenbetrug.
  • Schwache Zugangskontrolle zum Backend. Schwache Backend-Zugangskontrollen sind das Ergebnis unsachgemäss durchgesetzter Einschränkungen der für authentifizierte Benutzer erlaubten Aktionen. Bedrohungsakteure können diese Schwachstellen ausnutzen, um auf nicht autorisierte Funktionen zuzugreifen. Dazu gehören der Zugriff auf andere Benutzerkonten, die Anzeige sensibler Dateien, die Änderung anderer Benutzerdaten und die Änderung von Zugriffsrechten..
  • Injection. SQL, NoSQL, OS und LDAP sind für Einschleusungstaktiken anfällig, die für Angriffe missbraucht werden können, wenn nicht vertrauenswürdige Daten über eine Formulareingabe oder andere Datenübertragungsmethoden an einen Code-Interpreter gesendet werden. Bedrohungsakteure können „feindliche“ Daten verwenden, um den Interpreter dazu zu bringen, bösartige Befehle auszuführen oder nicht autorisierten Datenzugriff zu ermöglichen.
  • Sicherheitsfehlkonfiguration. Dies ist die häufigste Sorge hinsichtlich der Sicherheit von Webanwendungen. Diesbezügliche Probleme treten aufgrund unsicherer Standardkonfigurationen, falsch konfigurierter HTTP-Header, unvollständiger oder Ad-hoc-Konfigurationen, Open-Cloud-Speicher und zu wortreicher Fehlermeldungen auf, die sensible Informationen enthalten. Betriebssysteme, Bibliotheken, Frameworks und Anwendungen sollten aber auch rechtzeitig gepatcht werden.
  • Nicht korrekte Authentifizierung und Autorisierung. Wenn Anwendungsfunktionen hinsichtlich Authentifizierung und Session-Management nicht korrekt implementiert sind, können Bedrohungsakteure diese missbrauchen, um Passwörter und Schlüssel oder Session-Token zu kompromittieren. Sie können auch Benutzer- oder Administratorkonten kapern, über die ein ganzes System kompromittiert werden könnte.
  • Cross-Site Scripting XSS. Angreifer können XSS-Fehler dazu missbrauchen, Skripts in einem Browser auszuführen und Benutzer-Sessions zu kapern, Websites zu entstellen oder den Benutzer auf bösartige Websites umzuleiten. XSS-Fehler treten auf, wenn eine Anwendung nicht vertrauenswürdige Daten in eine neue Webseite einfügt ohne ordnungsgemäße Validierung. Sie können auch zustande kommen, wenn eine Anwendung eine bestehende Webseite mit vom Benutzer bereitgestellten Daten über ein HTML- oder JavaScript-erzeugendes Browser-API aktualisiert.
  • Unichere Deserialisierung. Dieser Fehler, d.h. die unsachgemässe Rückkonvertierung serialisierter Daten in Objekte, die von der Anwendung verwendet werden können, führt häufig zu Remote Code Execution (RCE). Dadurch können Bedrohungsakteure auch Replay-, Injection- und Privilegieneskalations-Angriffe durchführen.
  • Unzureichendes Logging und Monitoring. Beides unterstützt Angreifer dabei, Daten zu ändern, zu extrahieren oder zu vernichten sowie weitere Systeme zu attackieren, Persistenz aufrecht zu erhalten und weitere Systeme ins Visier zu nehmen.

Integration adäquater Sicherheitsebenen in die DevOps-Pipeline

Entwickler, die in traditionellen Entwicklungsteams arbeiten, tendieren dazu, Sicherheit erst im Nachhinein zu bedenken, weil sie sich zu sehr auf die Erstellung von Anwendungen und die Einhaltung von Terminen konzentrieren. Herkömmliche Prozesse führen zu unzureichender Sicherheit und Kommunikationslücken zwischen Entwicklungs- und Sicherheitsteams. Die Behebung von Schwachstellen, die in der Implementierungsphase aufgedeckt werden, kann zudem mehr als sechsmal so teuer sein wie die der in der Entwurfsphase festgestellten, so eine Untersuchung von IBM.

Entwicklungsteams sollten deshalb adäquate Cybersecurity Layer integrieren, die unter anderem Container, Source Code und Abhängigkeiten analysieren. Vor allem die folgenden Aufgaben sind wichtig:

  • Container Scanning. Container-Technologie bringt bei allen Vorteilen auch eine Vielfalt an potenziellen Risiken und Gefahren mit. Werkzeuge zur Analyse von Container-Images können Entwicklungsteams dabei helfen, in allen Phasen des Software-Entwicklungslebenszyklus (SDLC) nach bekannten Schwachstellen, geheimen Schlüsseln, Compliance-Checklisten und Malware-Varianten zu suchen. Solche Tools können Einsichten in die Sicherheitsbelange innerhalb des Containers liefern, bevor diese in die Produktionsumgebung übertragen werden. Um die Risiken weiter zu minimieren, sollte auch der Einsatz von nicht verifizierbarer Software von Drittanbietern reduziert werden, um sicherzustellen, dass keine Schadsoftware in die Container-Umgebung eindringt.
  • Analyse der Software-Zusammensetzung. Code-Blöcke, die möglicherweise von ausserhalb der Organisation stammen und im Allgemeinen während der statischen Analysephase nicht überprüft wurden, sind häufig in die DevOps-Umgebung integriert und werden dort ausgeführt. Mit Tools wie OWASP Dependency-Check lässt sich nach veralteten oder angreifbaren Bibliotheken im Code suchen. Snyk liefert ebenfalls kostenlose Drittanbieter-Verifizierung für quelloffene Projekte.
  • Statisches Application Security Testing (SAST). Auch als Security Code Review oder Code Auditing bekannt, unterstützt SAST Entwickler dabei, in einer frühen Phase Schwachstellen und andere Sicherheitsprobleme im Anwendungscode zu finden.
  • Dynamic Application Security Testing (DAST). DAST, auch Black-Box-Tests genannt, kann Sicherheitslücken und Schwachstellen in Anwendungen finden, und zwar durch den Einsatz von Fault Injection-Techniken wie SQL Injection, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). DAST-Lösungen können dazu beitragen, die Belastbarkeit von Anwendungen, Containern und Clustern zu testen, wenn sie bösartigen Techniken ausgesetzt sind.
  • Interactive Application Security Testing (IAST). IAST führt Laufzeittests für Webanwendungen durch, um Sicherheitslücken zu erkennen. Bereiche, die SAST und DAST möglicherweise nicht abdecken können, lassen sich durch IAST bearbeiten, da dieses Testen Elemente beider Ansätze kombiniert und dadurch mehr Code abdecken, genauere Ergebnisse liefern und eine breitere Palette von Sicherheitsregeln überprüfen kann. Die IAST-Lösungen führen ihre gesamte Analyse in der Anwendung in Echtzeit und überall in den folgenden Bereichen durch: Entwicklungsprozess IDE, QA, kontinuierliche integrierte Umgebung oder sogar in der Produktion.

Best Practices

Im Folgenden sind einige Best Practices über die gewährleistet werden kann, dass Anwendungen sicher entwickelt werden.

  • Anwenden des Prinzips der Least Privilege (PLOP). Diese Richtlinie begrenzt die Zugriffsrechte für Benutzer auf die Berechtigungen, die für die Erfüllung ihrer Aufgaben erforderlich sind, wodurch das Risiko des Kontomissbrauchs oder der Entführung von Konten und der Preisgabe sensibler Daten verringert wird.
  • Anwenden automatisierten Testens.  Die Zahl der Software-Schwachstellen hat sich seit 2017 erhöht. Deshalb ist automatisiertes Testen bereits früh im Entwicklungsprozess sehr wichtig, weil damit Fehler oder Lücken gefunden werden, solange sie noch einfach zu beheben sind.
  • Regelmässiges Scannen nach Schwachstellen. Entwickler verwenden häufig externe Bibliotheken oder Packages aus Open-Source-Projekten, wenn sie Software entwickeln. Diese Bibliotheken aber enthalten bekannte Schwachstellen. Um diese so früh wie möglich zu erkennen und  zu beheben, sollten sie regelmässig gescannt werden.
  • Einsatz von Runtime Application Self-Protection (RASP)-Lösungen. Diese Lösungen überwachen den Verkehr der Anwendungen, Container und serverlosen Architekturen, um Angriffe in Echtzeit zu erkennen. Der Einsatz von RASP-Lösungen ermöglicht das Abfangen aller Arten von Datenverkehr, einschliesslich solchen, der auf böswilliges Verhalten hinweist, wie SQL-Injection, Cross-Site-Scripting (XSS), Schwachstellen, Bots und andere Angriffe auf Webanwendungen.
  • Schulungen für funktionsübergreifende Teams bezüglich einer DevSecOps-Kultur. Die DevSecOps-Kultur sollte innerhalb der Organisationen gefördert werden. Dies kann durch die Bildung funktionsübergreifender Teams erreicht werden, die sich auf die Schulung von Entwicklern auf dem Gebiet der Sicherheitsdisziplin sowie auf die Schulung von Sicherheitsexperten zum Software-Entwicklungsprozess spezialisieren. Dadurch können Sicherheitsteams Programmiersprachen besser verstehen und mehr darüber erfahren, wie APIs zur Automatisierung einfacher Prozesse eingesetzt werden können. Solche Fertigkeiten reduzieren zudem letztlich ihre Arbeitsbelastung.
  • Einbeziehen der Anwendungssicherheit in die Datenschutz-Compliance-Strategie. Anwendungssicherheit ist Teil der allgemeinen Bestrebungen einer Organisation, Datenschutzbestimmungen und IT-Standards einzuhalten. Unternehmen können eine effiziente Compliance-Strategie anwenden, die dem „Privacy by Design“-Ansatz folgt. Beispielsweise schliesst eine  adäquate Compliance-Strategie für die Europäische Datenschutz-Grundverordnung (DSGVO) die Durchführung von Vertraulichkeits- und Sicherheitsüberprüfungen mit ein, über die Implementierung von Identitäts- und Authentifizierungs-Massnahmen sowie geeignete Zugangskontrollen, Datenschutz über PLOP und Verschlüsselung u.a.

Regelmässiges Scannen und der Einsatz von fortschrittlichen Sicherheits-Tools, um Malware, Schwachstellen und andere Bedrohungen zu erkennen, ist von entscheidender Bedeutung. Ebenso müssen Unternehmen Richtlinien einführen, die eine strenge Sicherheitskultur ermöglichen.

Trend Micro-Lösungen

Die Service-Plattform Trend Micro Cloud One™ , die Trend Micro™ Hybrid Cloud Security unterstützt, ermöglicht es Entwicklern, Anwendungen auf ihre Art zu entwickeln und zu betreiben. Sie umfasst Mechanismen, die über vorhandene Infrastruktur, Tool-Ketten und Anforderungen hinweg arbeiten.

Application Security von Cloud One liefert diagnostische Einzelheiten zu Code-Schwachstellen sowie Schutz vor automatisierten Angriffen über Bedrohungen wie SQL Injection und RCE zur Laufzeit. Darüber hinaus gibt es eine vollständige Abdeckung und Berichterstattung über jede Angriffsinstanz sowie Einblicke in die Identität eines Angreifers und die Angriffsmethodik.

Cloud One bietet ausserdem die folgenden Cloud-Sicherheitstechnologien an:

Smart doch angreifbar: Schwachstellen bei IoT-Geräten

Die Vielfalt der Funktionen von smarten Geräten bietet grossen Nutzen für Umgebungen zu Hause, in Unternehmen und im öffentlichen Bereich, doch gleichzeitig sind auch die Sicherheitsrisiken hoch, die sich durch Schwachstellen und Lücken darin ergeben. Angreifbare smarte Geräte setzen die Netzwerke Angriffen aus. IoT-Geräte sind vor allem deshalb gefährdet, weil ihnen die notwendige eingebaute Sicherheit fehlt, um Bedrohungen abzuwehren. Abgesehen von technischen Aspekten tragen aber auch die Nutzer zur Anfälligkeit der Geräte für Bedrohungen bei.

Einige der Gründe, warum diese smarten Geräte angreifbar sind:

  • Begrenzte rechnerische Fähigkeiten und Hardware-Beschränkungen: Die Geräte verfügen über spezifische Funktionen, die nur begrenzte Rechenfähigkeiten erfordern, so dass wenig Raum für robuste Sicherheitsmechanismen und Schutz der Daten bleibt.
  • Heterogene Übertragungstechnologie: Geräte verwenden häufig viele unterschiedliche Übertragungstechniken. Dadurch ist es schwierig, Standard-Schutzmethoden und -Protokolle festzulegen.
  • Angreifbare Komponenten der Geräte: Anfällige Basiskomponenten haben Auswirkungen auf Millionen eingesetzter smarter Geräte.
  • Nutzer mit mangelndem Sicherheitsbewusstsein: Infolge eines mangelhaften Sicherheitsdenken bei den Nutzern können vernetzte Geräte Schwachstellen und Lücken für Angreifer ausgesetzt werden.

Schwachstellen in Geräten ermöglichen es Cyberkriminellen, sie als Ausgangsbasis für ihre Angriffe zu nutzen. Dies hebt nochmals hervor, wie wichtig es ist, Sicherheit bereits in der Entwurfsphase mit einzubinden.

Auswirkungen der Sicherheitslücken auf Nutzer

Die Untersuchung von grösseren Angriffen auf IoT-Geräte zeigt, wie diese sich auf Nutzer auswirken können. Bedrohungsakteure können angreifbare Geräte für laterale Bewegungen nutzen, um so ihre Wunschziele zu erreichen. Auch lassen sich Sicherheitslücken dazu nutzen, um Geräte selbst ins Visier zu nehmen und sie für grössere Kampagnen zu missbrauchen oder um Malware ins Netzwerk zu bringen.

IoT Botnets zeigen die Auswirkungen von Geräte-Schwachstellen und wie Cyberkriminelle diese ausnutzen. 2016 geriet Mirai, eine der bekanntesten Arten von IoT-Botnet-Malware, in die Schlagzeilen, als das Botnet, bestehend aus Tausenden von kompromittierten IoT-Haushaltsgeräten, in einer Distributed Denial of Service (DDoS)-Kampagne namhafte Websites lahmlegte. Aus geschäftlicher Sicht lassen IoT-Geräte die Unterscheidung zwischen der notwendigen Sicherheit in Unternehmen und Privathaushalten weiter schwinden, insbesondere in Home Office-Szenarien. Die Einbindung von IoT-Geräten im Haushalt kann auch neue Einstiegspunkte in Umgebungen mit möglicherweise schwacher Sicherheit eröffnen und Mitarbeiter Malware und Angriffen aussetzen, über die Angreifer ins Unternehmensnetzwerk gelangen können. Dies ist ein wichtiger Aspekt bei der Entscheidung für die Implementierung von Bring Your Own Device (BYOD)– und Home Office-Szenarien.

Angreifer können IoT-Geräte mit bekannten Schwächen ebenso für das Eindringen in interne Netzwerke nutzen. Die Bedrohungen reichen von DNS Rebinding-Attacken, um aus internen Netzwerken Informationen zu sammeln und zu exfiltrieren, bis zu neuen Angriffen über Seitenkanäle wie Infrarotlaser für Attacken auf vernetzte Geräte.

Beispiele für Sicherheitslücken in IoT-Geräten

Es hat bereits viele Fälle gegeben, die die Auswirkungen von IoT-Schwachstellen vor Augen führen, einige davon in der Praxis andere im Rahmen eines Forschungsprojekts. Die Nonprofit-Organisation Open Web Application Security Project (OWASP) veröffentlicht jedes Jahr eine Liste der Top IoT-Schwachstellen. Zu den am weitesten verbreiteten Lücken gehören die folgenden:

  • Schwache, leicht zu erratende oder fest codierte Passwörter: Typischerweise nutzen dies neue Malware-Varianten aus. Beispielsweise fanden die Sicherheitsforscher von Trend Micro eine Mirai-Variante namens Mukashi, die CVE-2020-9054 missbrauchte und Brute Force-Angriffe mit Standard-Anmeldedaten, um sich in Zyxel NAS-Produkte einzuwählen.
  • Unsichere Ökosystem-Schnittstellen: Die Erforschung von komplexen IoT-Umgebungen zeigte exponierte Automatisierungsplattformen, die die Funktionen mehrerer Geräte verketten. Der exponierte Automatisierungsserver enthielt wichtige Informationen wie Geostandort des Haushalts und fest codierte Passwörter.
  • Unsichere Netzwerkdienste: Ein Forschungsprojekt von Trend Micro aus dem Jahr 2017 widmete sich der Sicherheit von Sonos smarten Lautsprechern. Die Studie zeigte, wie einfach offene Ports das Gerät für jedermann im Internet zugänglich machen.

Nutzer sollten diese allgemein vorhandenen Schwachstellen ernst nehmen und die nötigen Vorsichtsmassnahmen gegen Exploits treffen. Weitere Einzelheiten zu IoT-bezogenen Angriffen sowie Sicherheitsempfehlungen umfasst die IoT-Ressource-Seite von Trend Micro.

Verantwortlichkeiten bei Sicherheit von IoT-Geräten

Das Potential unvorhersehbarer kaskadenartiger Auswirkungen von Schwachstellen und mangelnder Sicherheit im IoT beeinflusst in hohem Masse die allgemeine Sicherheit des Internets. Die Gewährleistung der Sicherheit dieser Geräte liegt in der gemeinsamen Verantwortung aller Beteiligten.

Die Hersteller müssen bekannte Schwachstellen in Nachfolgeprodukten beheben, Patches für bestehende Produkte bereitstellen und das Ende des Supports für ältere Produkte melden. Hersteller von IoT-Geräten müssen zudem die Sicherheit bereits in der Entwurfsphase berücksichtigen und dann Penetrationstests durchführen, um sicherzustellen, dass es keine unvorhergesehenen Lücken in einem System und Gerät in der Produktion gibt. Und Unternehmen sollten auch über ein System verfügen, über das sie Schwachstellen-Reports von Dritten zu ihren eingesetzten Produkten empfangen können.

Die Benutzer müssen mehr Wissen über die Sicherheitsrisiken beim Anschluss dieser Geräte und über ihre Aufgabe bei der Sicherung dieser Geräte erlangen. Die Risiken lassen sich unter anderem durch die Änderung der Standardpasswörter, die Aktualisierung der Firmware und die Wahl sicherer Einstellungen mindern.

Eine vollständige und mehrschichtige Verteidigung erhalten Anwender mit Hilfe von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security, die effiziente Sicherheitsfunktionen gegen Bedrohungen IoT-Geräte bieten, denn sie können Malware auf den Endpunkten erkennen. Vernetzte Geräte lassen sich über Lösungen schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internet-Verkehr zwischen Router und allen vernetzten Geräten überprüfen können. Die Netzwerk-Appliance Trend Micro™ Deep Discovery™ Inspector bietet Monitoring aller Ports und Netzwerkprotokolle auf fortgeschrittene Bedrohungen und kann somit Unternehmen vor gezielten Angriffen schützen.

Sicherheit für die 4 Cs von Cloud-nativen Systemen: Cloud, Cluster, Container und Code, Teil 2

Originalbeitrag von Magno Logan, Threat Researcher

Cloud-native Softwareentwicklung baut auf quelloffene und proprietäre Software, um Anwendungen wie Microservices bereitzustellen, die in einzelnen Containern in isoliert ausführbare Prozesse verpackt sind. Da Unternehmen mehrere Container auf mehreren Hosts laufen lassen, setzen sie Orchestrierungssysteme wie etwa Kurbernetes ein, die über CI/CD-Tools mit DevOps-Methodologien bereitgestellt und verwaltet werden. Wie bei jeder Technologie, die unterschiedliche, miteinander verbundene Tools und Plattformen nutzt, spielt auch beim Cloud-nativen Computing Sicherheit eine entscheidende Rolle. Cloud-native Sicherheit unterteilt die Strategie in vier unterschiedliche Schichten. Nach der Darstellung der Sicherheitsproblematik für die Cloud an sich und für die Cluster (Teil 1) stellt dieser 2. Teil die Sicherheit für Container und Code in den Vordergrund.

Kubernetes nennt dies „The 4Cs of Cloud-native Security“.

Bild 1. Die 4 Cs der Cloud-nativen Sicherheit

Wichtig ist, Sicherheitskontrollen in jeder Schicht anzuwenden, denn jeder Layer liefert eine eigene Angriffsoberfläche und wird nicht zwangsläufig durch andere Layer geschützt. So wird etwa eine unsichere Webanwendung bei einem Angriff über SQL Injection nicht durch äussere Schichten (siehe Bild 1) dagegen geschützt, wenn keine spezielle Sicherheitssoftware vorhanden ist. Sicherheitsverantwortliche müssen jedes mögliche Szenario mit einbeziehen und Systeme auf jede Art schützen. Weitere detaillierte Empfehlungen für die sichere Container-Orchestrierung bietet der Blogeintrag zur Sicherheit von Kubernetes Container-Orchestrierung.

Container-Sicherheit

Für den Betrieb von Containern im Cluster bedarf es der Container Runtime Engines (CREs). Eine der bekanntesten ist Docker, doch Kubernetes unterstützt auch andere wie containerd oder CRI-O. In puncto Sicherheit müssen Unternehmen für diese Schicht drei wichtige Fragen klären:

  • Wie sicher sind die Images? Hier müssen Verantwortliche sicherstellen, dass die Container auf aktuellem Stand und frei von Schwachstellen, die missbraucht werden könnten, sind. Nicht nur das Basis-Image muss abgesichert sein, sondern auch die in den Containern laufenden Anwendungen müssen gescannt und verifiziert sein. Dafür gibt es einige quelloffene Tools, doch nicht alle können Schwachstellen ausserhalb der Betriebssystempakete erkennen. Dafür sollten Anwender auf Lösungen setzen, die auch Anwendungen abdecken, so etwa Deep Security™ Smart Check.
  • Sind die Container vertrauenswürdig? Wurden die Container, die im System laufen, aus den Images in der eigenen Registry erstellt? Wie lässt sich dies gewährleisten? Antworten bieten Image-Signiertools wie TUF oder Notary, mit denen die Images signiert werden können und somit ein vertrauenswürdiges System für die Inhalte der Container erstellt werden kann.
  • Laufen sie mit den geeigneten Privilegien? Hier greift das Prinzip der geringsten Privilegien. Es sollten lediglich Container laufen, wo die Nutzer nur die für ihre Aufgaben erforderlichen Betriebssystemprivilegien haben.

Ein umfassender Leitfaden zu einem höheren Schutz für Container zeigt auch die möglichen Gefahren in jeder Phase der Entwicklungs-Pipeline.

Code-Sicherheit

Hierbei geht es um Anwendungssicherheit. Es ist die Schicht, über die Unternehmen die beste Kontrolle haben. Der Code der Anwendungen stellt zusammen mit den zugehörigen Datenbanken das Kernstück der Systeme dar. Sie sind üblicherweise im Internet zugänglich und werden daher von Angreifern ins Visier genommen, wenn alle anderen Komponenten gut gesichert sind.

Deshalb müssen Unternehmen in erster Linie sicherstellen, dass jegliche Kommunikation TLS-verschlüsselt abläuft, auch wenn es sich um interne Services handelt, wie Load Balancer, Anwendungsserver und Datenbanken. Im Fall eines Orchestrierungstools wie Kubernetes lassen sich dafür Services wie Istio oder Linkerd heranziehen.

Die Angriffsfläche der Systeme kann erheblich verkleinert werden, wenn exponierte Dienste, Ports und API-Endpunkte reduziert und überwacht werden. Hier sollten auch Container Basis-Images und Systeme, auf denen die Cluster laufen, bedacht werden.

Es lassen sich verschiedene Code-Sicherheitsüberprüfungen zur Pipeline hinzufügen, um zu gewährleisten, dass der Code gesichert ist. Hier sind einige davon:

  • Statische Sicherheitsanalyse von Anwendungen. Man spricht auch von „Sicherheitsüberprüfung des Codes“ oder von „Code Auditing“. Die Methode gilt als einer der besten und schnellsten Wege, um Sicherheitsprobleme im Code zu entdecken. Unabhängig von der verwendeten Sprache sollte mindestens ein statisches Analysetool in die Pipeline integriert sein, das bei jedem Commit von neuem Code auf unsichere Kodierungspraktiken prüft. Die Open Web Application Security Project (OWASP) Foundation erstellt eine Liste mit quelloffenen und auch kommerziellen Tools für die Analyse von Quellcode und/oder kompiliertem Code.
  • Dynamische Sicherheitsanalyse von Anwendungen. Obwohl eine dynamische Analyse nur dann durchgeführt werden kann, wenn es eine laufende Anwendung gibt, gegen die getestet wird, ist es ratsam, automatisierte Scans und Checks durchzuführen, um bekannte Angriffe wie SQL Injection, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) aufzuspüren. Diese Tools testen auch die Widerstandsfähigkeit der Anwendung, Container und Cluster, wenn auf diese eine Reihe unerwarteter Belastungen und fehlerhafter Anfragen zukommt. OWASP hat ein dynamisches Analysetool, OWASP Zed Attack Proxy (ZAP), das Unternehmen automatisiert und in die eigene Pipeline einfügen können.
  • Analyse der Software-Komposition. 70% bis 90% aller Cloud-nativen Anwendungen umfassen Abhängigkeiten von Bibliotheken und Drittanbietern. Es geht um Codeteile, die wahrscheinlich von jemand ausserhalb des Unternehmens verfasst wurden, und die in den unternehmenseigenen Produktionssystemen laufen. Diese Codes werden im Allgemeinen während der statischen Analyse nicht überprüft. Dafür können Tools wie der OWASP Abhängigkeitscheck genutzt werden, um nach veralteten oder angreifbaren Bibliotheken im Code zu suchen. Snyk wiederum bietet kostenlos Drittanbieterüberprüfung für quelloffene Projekte.

Fazit

Die vier Schichten von Cloud-nativen Systemen sind für die Sicherheit von Anwendungen von entscheidender Bedeutung – und wenn auch nur eine von ihnen Angreifern ausgesetzt ist, kann das gesamte System kompromittiert werden.

Cloud-Sicherheitslösungen von Trend Micro

Cloud-spezifische Sicherheitslösungen wie die Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen. Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen. Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Pwn2Own: Deutsche erfolgreich beim Hacken industrieller Kontrollsysteme

Beim ersten Pwn2Own in Miami ging es um das Hacking von ausschließlich Industrial Control Systems (ICS). Der Wettbewerb, veranstaltet von der Zero Day initiative (ZDI) von Trend Micro, umfasste acht zu testende Ziele in fünf Kategorien (Control Server, OPC Unified Architecture (OPC UA) Server, DNP3 Gateway, Human Machine Interface (HMI)/Operator Workstation und Engineering Workstation Software). Mehr als 250.000 $ an Preisgeldern wurden bereitgestellt. Die deutschen Teilnehmer Tobias Scharnowski, Niklas Breitfeld und Ali Abbasi aus Bochum konnten sich den zweiten Platz in der Endwertung gegen starke Konkurrenz sichern.

Dem Team vom Horst Görtz Institut für IT-Sicherheit an der Ruhr-Universität Bochum gelang es zuerst in der HMI-Kategorie, mit einem Out-of-Bounds (OOB) Zugriffs-Exploit Code auszuführen auf Rockwell Automation FactoryTalk View SE. Auch in der Control Server-Kategorie waren sie erfolgreich Schließlich gelang ihnen auch die Ausführung von Code auf dem Triangle Microworks SCADA Data Gateway. Diese Lösungsansätze brachten dem Team 87,5 Punkte für den zweiten Platz mit insgesamt 75.000 Dollar Preisgeld.

Den ersten Platz belegte das Incite Team von Steven Seeley und Chris Anastasio. Ihnen gelang in der DNP3-Gateway-Kategorie über einen Stack-basierten Overflow ein DoS auf dem Triangle Microworks SCADA Data Gateway sowie in der Control Server-Kategorie die Code-Ausführung aus der Ferne auf Systemebene auf der Inductive Automation Ignition. Auch in der EWS-Kategorie konnten sie einen Erfolg verbuchen. Nach weiteren zwei gelungenen Hacking-Tests stand das Incite Team mit 92,5 Punkten und 80.000 $ Preisgeld als Sieger fest.

Weitere Einzelheiten zum Hacking-Wettbewerb umfasst der Blog des ZDI.