Schlagwort-Archive: Google

Fehlkonfigurationen: Das grösste Sorgenkind der Cloud-Sicherheit 2021

Originalartikel von Mark Nunnikhoven, VP Cloud Research

Die Cloud steckt voller neuer Möglichkeiten. So können Anwender etwa mit einem einzigen Befehl das Pendant eines ganzen Datacenters starten. Die Skalierung, um die Anforderungen von Millionen von Kunden zu erfüllen, kann vollständig automatisiert erfolgen. Erweiterte Machine Learning-Analysen sind so einfach wie ein API-Aufruf. Damit sind Teams in der Lage, Innovationen zu beschleunigen und sich fast ausschliesslich darauf zu konzentrieren, Geschäftswert zu generieren. Doch so einfach, wie es scheint, ist es nicht.

Es war zu erwarten, dass neben diesem Steigerungspotenzial auch die Sicherheitsherausforderungen zunehmen, die es bei On-Premises gibt, und Teams mit Zero-Days, Schwachstellenketten und Schatten-IT zu kämpfen haben würden. Doch stellt sich heraus, dass diese Probleme nicht ganz oben auf der Sorgenliste stehen.

Den grössten Kummer bereiten Fehler in Form von Service-Fehlkonfigurationen.

Geteilte Verantwortung

Viele Unternehmen denken, hinsichtlich der Cloud-Sicherheit sind die Cloud Service Provider selbst ein grosses Risiko. Doch gibt es keine Zahlen, die diese Annahme bestätigen. Alle vier grossen Service Provider Alibaba Cloud, AWS, Google Cloud und Microsoft Azure hatten in den letzten fünf Jahren zwei Sicherheitsverletzungen bei ihren Diensten … alle zusammen.

Dennoch sollte nicht vergessen werden, dass jeder dieser Service Provider im Laufe der Jahre mit einer Vielzahl an Sicherheitsschwachstellen fertig zu werden hatte. Die beiden oben erwähnten Sicherheitsvorfälle hatten eine Fehlkonfiguration als Ursache. Der erste stammt von März 2020 und betraf Google Cloud, der zweite passierte im Januar 2020 und traf Microsoft Azure. Weitere Einzelheiten dazu beinhaltet der Originalbeitrag.

Viele Cloud-Dienste sind einfach verwaltete Service-Angebote von gängigen kommerziellen oder Open-Source-Projekten. Diese Projekte hatten verschiedene Sicherheitsprobleme, mit denen sich die Anbieter auseinandersetzen mussten.

Der Vorteil der Cloud für Benutzer oder Builder liegt darin, dass alle operativen Arbeiten – und Sicherheit ist operative Arbeit – in jeder Cloud dem Shared Responsibility Model folgt. Darin gibt es sechs Bereiche, in denen betriebliche Arbeiten erforderlich sind. Abhängig von der genutzten Art des Service wechseln die Verantwortlichkeiten. Nutzt ein Unternehmen Instanzen oder virtuelle Maschinen, so ist es für das Betriebssystem, die darauf laufenden Anwendungen und die Daten verantwortlich. Im Fall eines vollständig gemanagten Service ist das Unternehmen für die Sicherheit der Daten, die in dem Service verarbeitet und vorgehalten werden, zuständig. Für alle Arten von Cloud-Services liegt die Verantwortung für die Dienstkonfiguration beim Unternehmen.

Trotz klarer Zuständigkeiten bieten die Provider eine Reihe von Funktionen, die Unternehmen bei der Erfüllung ihrer Aufgaben unterstützen und die Dienste an ihre Bedürfnisse anpassen.

Es gibt zahlreiche Belege dafür, dass Fehlkonfigurationen das grösste Problem bei der Cloud-Sicherheit sind. Sicherheitsforscher, -anbieter oder Branchenorganisationen stimmen in den Ergebnissen überein:

65% — 70%  aller Sicherheitsprobleme in der Cloud starten mit einer Fehlkonfiguration. 45% der Organisationen glauben, dass Vertraulichkeits- und Sicherheitsherausforderungen ein Hindernis für die Migration in die Cloud darstellen. Das ist schade, denn wird das Shared Responsibility Model richtig verstanden, so ist es einfacher, eine robuste Sicherheitsposition aufrechtzuerhalten. Organisationen sollten darauf drängen, schneller in die Cloud zu wechseln, um ihre Sicherheit zu verbessern.

Tempo des Wandels

Fehlkonfigurationen sind nichts anderes als Fehler. Manchmal sind diese Fehler ein Versehen, ein anderes Mal eine falsche Wahl, die aus mangelndem Sicherheitsbewusstsein getroffen wurde. Alles hängt mit den Fähigkeiten zusammen, die die Cloud zugänglich macht und zu einer entsprechenden Steigerung des Innovationstempos geführt hat.

Mit der Zeit werden die Teams schneller und können Innovationen mit einer geringen Fehlerquote erreichen. Tatsächlich sind 43 % der Teams, die eine DevOps-Philosophie eingeführt haben, in der Lage, mindestens einmal pro Woche Code bereitzustellen und dabei eine Fehlerquote von unter 15 % beizubehalten.

Und wenn doch einmal ein Fehler auftritt, können sie ihn innerhalb eines Tages beheben. Noch beeindruckender ist, dass 46 % dieser Teams in der Lage sind, die Probleme innerhalb einer Stunde zu beheben. Leider ist auch bekannt, dass Cyberkriminelle weniger als einen Tag brauchen, und jede Lücke kann ausreichen, damit sie in den Unternehmenssystemen Fuss fassen und einen Vorfall verursachen.

Die anderen 57 % der Teams, von denen die meisten grosse Unternehmen sind, haben oft das Gefühl, dass ihr mangelndes Tempo Schutz bietet. Ein vorsichtiges Vorgehen in der Cloud ermöglicht ihnen eine massvollere Herangehensweise und reduziert ihre Fehlerquote. Das mag zwar stimmen, aber um sie herum findet dennoch ein Wandel statt. Die Cloud-Service-Provider selbst bewegen sich in einem rasanten Tempo.

Im Jahr 2020 haben die vier grossen Hyperscale-Anbieter über 5.000 neue Funktionen für ihre Dienste veröffentlicht.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/the-top-worry-in-cloud-security-for-2021/04-the-worry-in-cloud-security-for-2021.jpg

Für Single-Cloud-Anwender bedeutet das fast zwei neue Funktionen pro Tag … Minimum. Für die wachsende Zahl von Multi-Cloud-Benutzern nimmt das Tempo der Veränderungen noch zu.

Selbst wenn sich Ihr Team also langsam bewegt, verschiebt sich der Boden unter ihm schnell.

Ziel der Cybersicherheit

Das Ziel der Cybersicherheit ist eigentlich ziemlich einfach: Sicherstellen, dass das, was gebaut wurde, wie angedacht funktioniert und nur so.

In einer traditionellen On-Premises-Umgebung besteht dieser Standardansatz aus einem starken Perimeter und einer weitreichenden Sichtbarkeit über das gesamte Unternehmen hinweg. In der Cloud funktioniert das nicht. Das Tempo der Veränderungen ist zu schnell, sowohl intern als auch beim Provider. Kleinere Teams bauen mehr und mehr auf. Oft agieren diese Teams von vornherein ausserhalb der zentralen CIO-Infrastruktur.

Dies macht es erforderlich, dass die Sicherheit wie ein weiterer Aspekt eines guten Gebäudes behandelt wird. Sie kann nicht wie eine eigenständige Aktivität gehandhabt werden. Das klingt nach einer monumentalen Aufgabe, ist es aber nicht. Hier erweisen sich Sicherheitskontrollmechanismen als sehr wertvoll.

Geht es um Sicherheitskontrollmechanismen, so spricht man meistens darüber, was sie stoppen. Die Verwendung eines Intrusion Prevention Systems kann Würmer und andere Arten von Netzwerkangriffen stoppen. Anti-Malware-Schutzmassnahmen können Ransomware, Cryptominers und andere bösartige Verhaltensweisen stoppen, usw. Das ist hervorragend und funktioniert gut mit den Sicherheitsteams.

Builder jedoch haben eine andere Perspektive. Im richtigen Kontext ist es einfach zu zeigen, wie Sicherheitskontrollmechanismen ihnen helfen können, besser zu bauen. Das Posture Management stellt sicher, dass die Einstellungen erhalten bleiben, unabhängig davon, wie oft ein Team im Laufe der Woche Deployments durchführt. Netzwerkkontrollen stellen sicher, dass nur gültiger Datenverkehr den Code erreicht. Die Container-Zugangskontrolle stellt sicher, dass der richtige Container zur richtigen Zeit bereitgestellt wird.

Sicherheitskontrollmechanismen tun so viel mehr, als nur zu verhindern, dass etwas passiert. Sie geben Antworten auf kritische Fragen, die sich Entwickler immer öfter stellen. Zwei Kernfragen sind es:

  1. Was kann dieser Code sonst noch tun? (Sehr wenig dank der Sicherheitskontrollmechanismen)
  2. Bist Du Dir sicher? (Ja, ich setze die Mechanismen  ein, um sicherzugehen)

Wenn sie gut entwickelt und intelligent eingesetzt werden, helfen Sicherheitskontrollmechanismen den Teams, Lösungen zu liefern, die zuverlässiger, einfacher zu beobachten und verlässlicher sind.

Sicherheit hilft, besser zu bauen.

Wege zu mehr Visibilität in der Cloud Security

von Trend Micro

Die Cloud bedeutet zweifelsohne für Unternehmen einen wichtigen technologischen Fortschritt, aber auch mehr Komplexität, und sie erfordert gründliche Sicherheitserwägungen. Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, spielt Transparenz und Visibilität über die meist hybriden Cloud-Umgebungen eine zentrale Rolle für die Security-Strategie eines Unternehmens. Im ersten Teil des Beitrags wurden die vorhandenen Bedrohungen beschrieben, und nun stellt der aktuelle Beitrag Möglichkeiten vor, um mehr Visibilität und Sicherheit in die Umgebungen zu bringen.

Um die Vorteile der Cloud möglichst auszuschöpfen, sollten Unternehmen einige Sicherheitsempfehlungen befolgen, um die Transparenz über Systeme und Umgebungen hinweg aufrechterhalten und Schutz vor einem breiten Spektrum aufkommender Bedrohungen und Fehlkonfigurationen zu gewährleisten.

  • Anwenden des Prinzips der Mindestprivilegien. Benutzer sollten lediglich über die für ihre Aufgaben erforderlichen Zugriffsrechte oder Berechtigungen verfügen. Nicht alle Benutzer müssen Admin-Zugriffs- oder Root-Rechte haben und sollten diese daher nicht erhalten.
  • Modell der geteilten Verantwortung beachten. Die Ansicht, dass in der Cloud gehostete Daten automatisch vor Bedrohungen und Risiken geschützt sind, ist trügerisch. Die grossen Cloud Service Provider (CSPs) wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure unterstreichen die Bedeutung der geteilten Verantwortung. Das AWS-Shared Responsibility Model benennt klar die Verantwortungsbereiche für den CSP und den Anwender bezüglich der Nutzung der Cloud. AWS ist für die „Sicherheit der Cloud“ bzw. der gesamten Cloud-Infrastruktur, in der die Dienste gehostet werden, verantwortlich. Anwender wiederum verantworten die „Sicherheit in der Cloud“, die von der Art des genutzten Service bestimmt wird, also IaaS, PaaS und SaaS. Google Cloud Platform (GCP) folgt dem Payment Card Industry Data Security Standard (PCI DSS) und führt die geteilten Verantwortungsbereiche für beide Partner auf. Ähnlich hält es Microsoft Azure und teilt sich einige Verantwortungsbereiche mit den Kunden, abhängig von der Art des Stack-Betriebs des Kunden. Abgesehen davon, liefert Microsoft Anleitungen zu einigen Bereichen, für die immer der Kunde zuständig ist, so etwa für die Daten, Endpoints, Accounts und Zugangsmanagement.
  • Verbesserung der Sicherheit von E-Mail, Gateways, Server und Netzwerken. Schwachstellen in Anwendungen, Betriebssystemen und Plattformen können über unsichere Netzwerke ausgenutzt werden.  Virtual Patching dient der Verteidigung von Netzwerken, Workloads, Server und Container gegen Zero-Day-Angriffe, Datendiebstähle und Ransomware.
  • Sichern von Endpoints, Internet of Things (IoT)-Geräten und privaten Netzwerken. Für die Arbeit im Home Office ist es wichtig, dass Unternehmen sicherstellen, dass die dafür eingesetzten Geräte und Netzwerke auch sicher sind. Anleitungen und Überlegungen zur Sicherheit gibt der Beitrag: „Umfassend geschützt im Home Office“.
  • Aufsetzen eines permanenten Monitoring-Programms. Unternehmen müssen eine Sicherheitsmethodologie wählen, die den Anforderungen der jeweiligen Online-Architektur am besten entspricht. Nur so können sie ihren Sicherheitsbedarf für Systeme und Infrastrukturen systematisch analysieren.
  • Definieren von personalisierten Weiterbildungs-Policies für Mitarbeiter. Unternehmen müssen die häufigsten Mitarbeiterrollen und das damit zusammenhängende Sicherheitsverhalten in diese Richtlinien und Schulungen mit einbeziehen. Mitarbeiter müssen mit der Sicherheit unterschiedlich umgehen, so dass ein differenzierter Schulungsansatz für die Unternehmenssicherheit effizienter ist.
  • Anwenden des Zero-Trust-Modells. Dieses Sicherheitskonzept verhindert im Grund genommen, dass Unternehmen automatisch Nutzern vertrauen und Zugang zu Perimeter-basierten Systemen gewähren. Dabei spielt es keine Rolle, ob sich ein Benutzer innerhalb des Netzwerkperimeters der Organisation befindet oder nicht – alle Benutzer müssen überprüft werden, bevor sie Zugriff auf bestimmte Teile des Systems erhalten.

Trend Micros Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen.  Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen.  Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Cloud App Security verbessert die Sicherheit von Microsoft 365 und weiterer Cloud-Services. Die Lösung nutzt Sandbox-Analysen als Schutz vor Ransomware, Business Email Compromise (BEC) und andere Bedrohungen. Auch kann sie Cloud-Dateifreigaben vor Bedrohungen und Datenverlust schützen.

Cloud of Logs: Kriminelle nutzen die Cloud für ihre Prozesse

Originalartikel von Robert McArdle, Director Threat Research

Es wird viel Wirbel um die Cloud gemacht, und dies ist auch gerechtfertigt. Schliesslich lassen sich mithilfe des Konzepts Ressourcen optimieren, Zeit sparen, die Automatisierung erhöhen und einen Teil der Sicherheitsverantwortung abgeben. Aber auch Cyberkriminelle nutzen die Cloud: Gestohlene Zugangsinformationen und Infos über Nutzer werden in der Cloud vorgehalten und auf Abonnement- oder Einmalbasis vermietet. Trend Micro hat diesen Trend ausführlich untersucht. In einem Sample-Datenset von 1.000 Logs konnten die Sicherheitsforscher 67.712 URLs für kompromittierte Konten identifizieren. Der Zugang zu diesen so genannten „Cloud of Logs“ lässt sich über eine monatliche Gebühr von 350 – 1000 $ erwerben. Die Logs umfassen unter Umständen Millionen E-Mails und Passwörter für beliebte Sites wie Google, Amazon, Twitter, Facebook und PayPal.

Gestohlene Zugangsdaten führen zu kompromittierten Unternehmen, und die Cloud macht diesen Prozess effektiver denn je. Es geht nicht um Kriminelle, die die Cloud-Infrastruktur von Firmen angreifen, sondern darum, dass sie die Cloud-Technologie dafür verwenden, ihre Abläufe zu verbessern und zu erweitern.

Die Wiederverwendung von Zugangsdaten ist ein weit verbreitetes Problem in vielen Unternehmen. Deshalb ist es wichtig, die persönlichen Daten der Mitarbeiter bei einer Risikobewertung des Unternehmens ebenfalls zu berücksichtigen.

Neuer Markt für Cyberkriminalität entsteht

Der Diebstahl von Anmeldedaten hat in den letzten Jahren zugenommen, da Angreifer massenhaft Anmeldedaten und damit verbundene E-Mail-Adressen oder Domänennamen erbeuten. Dies ist eine der grundlegendsten und seit langem bestehenden Bedrohungen für Unternehmen weltweit.

Doch nutzt eine grosse Mehrheit der heutigen Angriffe immer noch die grundlegendsten Sicherheitsschwächen aus: die Wiederverwendung von Passwörtern als eine der häufigsten. So könnte zum Beispiel ein Mitarbeiter ein Passwort für sein persönliches Konto auch als Passwort für seine Unternehmensdomäne wiederverwenden. Und die Anmeldedaten für dieses persönliche Account können in diesen Cloud-basierten Logs landen, um von anderen Kriminellen für einen neuen Cyberangriff wiederverwendet zu werden. Allein in sechs der identifizierten Cloud-Logs fanden die Forscher insgesamt 5 TB Logs, also Millionen kompromittierter persönlicher Nutzerdaten.

Im Allgemeinen sieht ein „traditioneller“ Verlauf von Cyberverbrechen über den Diebstahl von Zugangsdaten folgendermassen aus:

  • Eine kriminelle Gruppe kompromittiert ihre Opfer mit verschiedenen Mitteln und setzt Malware zum Informationsdiebstahl ein, um an die Account-Daten der Opfer (Verbraucher und Unternehmen) zu gelangen. Aufgrund der Wiederverwendung von Passwörtern kann jedes kompromittierte persönliche Konto das Unternehmen in Gefahr bringen.
  • Die Kriminellen lagern diese Accounts an einen zentralen Ort aus, einen Server, den sie kontrollieren.
  • Angesichts des Datenvolumens ist eine manuelle Verarbeitung unmöglich – daher starten sie einige einfache Suchläufe über die Daten, um die erfolgversprechenden Konten und Daten (Kreditkarten, E-Mail, Netflix usw.) zu finden. Für jede dieser zielgerichteten Suchen sieht die Gruppe die Listen manuell durch, um herauszufinden, welche dieser Accounts einen effektiveren Zugriff auf ein hochwertiges Ziel ermöglicht. Das ist zeitaufwändig, wenn man Zehntausende Logs und ein Team von vielleicht einem halben Dutzend Personen zur Verfügung hat, die auch noch andere Rollen in der Gruppe haben – der Prozess kann also Tage bis Wochen dauern.
  • Die nicht genutzten Konten werden gebündelt und auf Untergrundmarktplätzen zum Verkauf angeboten. Dies sind die „Filetstücke“, die sich immer gut verkaufen und die leicht zu verarbeiten sind – aber es lässt sich viel mehr daraus machen. Die Zeit, bis zum Verkauf beträgt nicht mehr als ein paar Wochen, da die Daten mit der Zeit „abgestanden“ sind.
  • Der Rest der Daten wird weitgehend verworfen – obwohl sie für den passenden Käufer von Wert sein könnten.
  • Dann erfolgen die Einbrüche bei neuen Opfern, und der Zyklus geht weiter.

Der neue Ablauf beginnt wie der erste, doch gibt es einige Verbesserungen und Zusätze:

  • Die Gruppe transferiert die Logs nun kurz auf einen zentralen Server und nimmt Kürzungen vor, lädt den Rest dann aber sofort in eine „Cloud of Logs“ hoch. Die Rentabilität der „Cloud of Logs“ und das planbare monatliche Gebührenmodell (das für Streaming-Dienste so gut funktioniert) bedeuten, dass es in ihrem Interesse ist, dies als Haupteinnahmequelle zu betrachten. Dadurch verkürzt sich die Zeit von der ersten Kompromittierung bis zum Verkauf von ein paar Wochen auf Tage oder Stunden.
  • Statt einer Gruppe wird es so viele Gruppen geben, die die Daten durchsuchen, wie die Cloud of Logs-Plattform es erlaubt.
  • Als Ergebnis werden nicht nur mehr Accounts als früher zu Geld gemacht, sondern auch die Zeitspanne vom ursprünglichen Datendiebstahl bis zur Wiederverwendung gegen Unternehmen verkürzt sich von ein paar Wochen auf Tage oder gar Stunden.
  • Da die meisten Verstösse nicht sofort entdeckt werden, hat zum Zeitpunkt der Erkennung häufig bereits eine andere Gruppe von Angreifern den ersten Einbruch für den Zugang zum Netzwerk genutzt, um sich dort auf einem Unternehmensserver einzunisten, oder um Ziele für einen Angriff über Social Engineering, BEC-Betrug oder Ransomware zu finden.

Unabhängig vom Endziel nutzen Kriminelle Cloud-Ressourcen, um schneller zu werden und ihre Angriffe weiter zu streuen.

Neue Rollen in cyberkriminellen Gangs

Kriminelle Unternehmen werden Data-Mining-Spezialisten benötigen, um den grösstmöglichen Ertrag aus jedem Terabyte gestohlener Daten zu erzielen. Diese Rolle in der cyberkriminellen Organisation wird nicht darin bestehen, Zugangsdaten zu stehlen oder zu vermarkten, sondern diese Person wird die Daten nach ihrer Bedeutung trennen. Ein idealer Kandidat in diesem neuen Cloud-gesteuerten Geschäftsmodell wird maschinelles Lernen nutzen, um effizient jeden Datentyp zu identifizieren und den für verschiedene Käufer attraktiven zu bündeln. Datenanalysten und Experten für maschinelles Lernen sowie Cloud-Architekten sind in der Geschäftswelt sehr gefragt, und Cyberkriminelle schätzen deren Wissen genauso.

Folgen für die Verteidigungsstrategie von Unternehmen

Das kriminelle Potenzial der gestohlenen Daten wird in vollem Umfang genutzt, da die Informationen unter verschiedenen Cyberkriminellen verteilt werden, die auf verschiedene Verbrechen spezialisiert sind. Zudem nutzen sie Cloud-Technologien genau wie Unternehmen, um agiler zu agieren.

Für die Verteidigungsstrategie eines Unternehmens ist die Zeitspanne vom Diebstahl einer Information bis zu ihrer Verwendung in einem Angriff viel kürzer. Das bedeutet, Organisationen haben jetzt viel weniger Zeit, um den Vorfall des Diebstahls von Anmeldeinformationen zu erkennen und darauf zu reagieren.

Organisationen müssen die Grundlage ihrer Sicherheitshaltung stärken, um Verstösse schnell zu erkennen. Auch die Schulung von Mitarbeitern bezüglich der Basis der Cybersicherheit und wie ihre Sorgfalt zum Schutz des Unternehmens beitragen kann ist wichtig. .

Den vollständigen Bericht über diesen neuen Markt finden Interessierte hier.

Sicherheit für die 4 Cs von Cloud-nativen Systemen: Cloud, Cluster, Container und Code, Teil 1

Originalbeitrag von Magno Logan, Threat Researcher

Cloud-native Softwareentwicklung dient der Erstellung und dem Ablauf von skalierbaren Anwendungen in der Cloud – seien es öffentliche, private oder hybride Umgebungen. Der Ansatz baut auf quelloffene und proprietäre Software, um Anwendungen wie Microservices bereitzustellen, die in einzelnen Containern in isoliert ausführbare Prozesse verpackt sind. Da Unternehmen mehrere Container auf mehreren Hosts laufen lassen, setzen sie Orchestrierungssysteme wie etwa Kurbernetes ein, die über CI/CD-Tools mit DevOps-Methodologien bereitgestellt und verwaltet werden. Mithilfe von Cloud-nativen Technologien können Unternehmen das Meiste aus ihren Cloud-Ressourcen herausholen mit weniger Overhead, aber schnelleren Antwortzeiten und einfacherer Verwaltung. Wie bei jeder Technologie, die unterschiedliche, miteinander verbundene Tools und Plattformen nutzt, spielt auch beim Cloud-nativen Computing Sicherheit eine entscheidende Rolle. Es gibt heutzutage kein komplexes Softwaresystem, das vor Hacking gefeit ist und zu 100% undurchdringlich ist. Deshalb stellt das Konzept einer tiefgreifenden Verteidigung ein Muss für die Sicherheit dar.

Die tiefgreifende Verteidigung oder Defense-in-Depth beruht auf mehreren Sicherheitsschichten mit Barrieren über verschiedene Bereiche im Unternehmen hinweg. Damit soll der Schutz gewährleistet sein, auch wenn eine Kontrollschicht versagt. Cloud-native Sicherheit setzt ebenfalls auf dieses Konzept und unterteilt die Strategie für Cloud-native Systeme in vier unterschiedliche Schichten. Kubernetes nennt dies „The 4Cs of Cloud-native Security“.

Bild 1. Die 4 Cs der Cloud-nativen Sicherheit

Wichtig ist, Sicherheitskontrollen in jeder Schicht anzuwenden, denn jeder Layer liefert eine eigene Angriffsoberfläche und wird nicht zwangsläufig durch andere Layer geschützt. So wird etwa eine unsichere Webanwendung bei einem Angriff über SQL Injection nicht durch äussere Schichten (siehe Bild 1) dagegen geschützt, wenn keine spezielle Sicherheitssoftware vorhanden ist. Sicherheitsverantwortliche müssen jedes mögliche Szenario mit einbeziehen und Systeme auf jede Art schützen.

Cloud-Sicherheit

Der Cloud Layer umfasst die Infrastruktur, auf der Server betrieben werden. Beim Aufsetzen eines Servers bei einem Cloud Service Provider (CSP) sind viele unterschiedliche Dienste beteiligt. Und obwohl die Hauptverantwortung für die Sicherung solcher Dienste (z.B. Betriebssystem, Plattformverwaltung und Netzwerkkonfiguration) bei den CSPs liegt, ist der Kunde nach wie vor für die Überprüfung und Konfiguration dieser Dienste sowie für die Überwachung und Sicherung seiner Daten verantwortlich. Dieses Modell der geteilten Verantwortung ist wichtig, wenn ein Unternehmen Ressourcen und Dienste in die Cloud verlagert.

Folgende sind die häufigsten Probleme, die in den heutigen Cloud-Systemen auftreten:

Unternehmen können diese Art von Problemen vermeiden, wenn sie die Empfehlungen ihrer Cloud Provider befolgen und regelmässige Audits durchführen, um sicherzustellen, dass alle Konfigurationen ihre Richtigkeit haben, bevor sie ins Internet gehen.

Der Einsatz von Infrastructure-as-Code (IaC)-Practices stellt eine effiziente Massnahme dar, die gewährleistet, dass Systeme richtig erstellt und ihre Konfiguration korrekt ist. IaC verwendet Code, um die sachgerechte Bereitstellung von IT-Architekturen zu automatisieren. Damit lässt sich die manuelle Bereitstellung durch DevOps-Ingenieure eliminieren, wodurch Versehen und menschliche Fehler minimiert werden, solange bewährte Verfahren befolgt werden. Tools wie Terraform, Ansible und CloudFormation bieten Unterstützung beim Festlegen der Grundeinstellungen für die Infrastruktur, einschließlich derer für die Sicherheit. Auch helfen sie sicherzustellen, dass die Einstellungen unverändert bleiben, es sei denn, jemand genehmigt und stellt den notwendigen Code zur Verfügung, um sie zu ändern.

Der Einsatz von IaC Practices ist mittlerweile die Norm beim Erstellen und dem Aufbau von Cloud-Umgebungen. Es ist tatsächlich nicht mehr nötig, Server manuell einzurichten und zu konfigurieren – Automatisierung ist der Schlüssel zur Sicherung von Cloud-Architekturen.

Wichtig ist es zudem, den Sicherheitsempfehlungen des Cloud Service Providers zu folgen. Einige der bekanntesten Best Practices von CSP:

Zu den Lösungen, die Ein- und Übersichten in Cloud-Architekturen bieten sowie automatisierte Sicherheits- und Compliance-Checks, gehört Trend Micro™ Cloud One – Conformity.

Cluster-Sicherheit

Beim Thema Cluster Security geht es zumeist um Kubernetes, denn dies ist das derzeit am häufigsten eingesetzte Container Orchestrierungs-Tool. Doch die Sicherheitsprinzipien gelten genauso auch für andere Lösungen.

Es gibt drei Cluster-Hauptelemente, um die sich Unternehmen kümmern müssen:

  • Cluster-Komponenten: Dabei geht es um den Schutz der Komponenten, die das Cluster bilden oder bei Kubernetes den Master Node. An erster Stelle bei der Cluster-Sicherheit stehen Themen wie die Kontrolle des API-Server-Zugriffs und die Beschränkung des direkten Zugriffs auf etcd, den primären Datenspeicher von Kubernetes. Um ungewollten Zugang zu Datenspeichern zu vermeiden, sollten Administratoren den standardmässigen Zugriff verbieten und nur expliziten Verkehr zulassen. Kubernetes liefert ein ausführliches Dokument, das die Art und Weise wie Cluster vor unbeabsichtigtem oder bösartigem Zugriff zu schützen sind, beschreibt. Sofern ein Unternehmen nicht über ein großes Team verfügt und/oder strenge Compliance-Anforderungen zu erfüllen hat, empfiehlt sich die Nutzung von Cluster Managed Services wie Azure Kubernetes Service (AKS), Elastic Kubernetes Service (EKS) oder Google Kubernetes Engine (GKE).
  • Cluster Services. Hier geht es um die sachgemässe Konfiguration und die Zugangskontrolle zu den Services, die im Cluster laufen. Zur Absicherung dieser Dienste empfiehlt Kubernetes das Aufsetzen bestimmter Schutzmassnahmen wie Ressourcenmanagement und das Prinzip der geringsten Privilegien für den Ablauf der Services. Des Weiteren sollten geeignete Authentifizierung und Autorisierung für das Cluster vorhanden sein, Verschlüsselung für den Verkehr mit Transport Layer Security (TLS) sowie der Schutz für kritische Informationen. Weitere technische Details zur Sicherheit der Cluster-Services bietet das Center for Internet (CIS) Kubernetes Benchmark.
  • Cluster Networking. In diesem Bereich ist die richtige Zuweisung von Ports wichtig, um die Kommunikation zwischen Containern, Pods und Diensten zu erleichtern. Es muss sichergestellt sein, dass das Kubernetes-Netzwerkmodell mithilfe einer Container-Netzwerkschnittstelle (CNI), die es den Benutzern ermöglicht, den Pod-Verkehr einzuschränken, sicher implementiert wird.

Weitere detaillierte Empfehlungen für die sichere Container-Orchestrierung bietet der Blogeintrag zur Sicherheit von Kubernetes Container-Orchestrierung.

Im 2. Teil beschreiben wir, wie Container- und Code-Sicherheit – die nächsten 2C – aussehen sollte.

Fake Super Mario Run App stiehlt Kreditkarteninformationen

Originalbeitrag von Jordan Pan, Mobile Threats Analyst

Bereits im Dezember letzten Jahres berichtete Trend Micro über gefälschte Apps, die die Popularität des mobilen Spiels Super Mario Run nutzten, um Schadsoftware zu verteilen. Nun haben die Sicherheitsforscher noch mehr bösartige Android Apps gefunden, die denselben Trick anwenden und Kreditkarteninformationen der Nutzer stehlen.
Weiterlesen