Kategorie-Archiv: Cloud-Computing

Facebook Graph Search – Was bedeutet das für uns?

1 Antwort

Originalartikel von Rik Ferguson, Director Security Research & Communications EMEA

Quelle: daniellehelm auf flickr

Diese Bilder? Nein, die gehören nicht mir.

Facebook hat mit Graph Search eine eigene Suchfunktion vorgestellt. Damit können Nutzer die Riesendatenmengen, die mit ihnen „geteilt“ werden, abfragen. Bei Facebook heißt „teilen“ natürlich „alles, was ein Nutzer sehen kann“, sei es weil die Infos direkt mit ihm geteilt werden oder lediglich unzureichend geschützt sind –der häufigste Fall. Meistens bekommt ein Nutzer nicht alles von dem zu sehen, was eigentlich für ihn sichtbar sein sollte, denn Facebook entscheidet im Voraus, was einen User interessieren könnte und editiert die Neuigkeiten entsprechend. Somit weiß er gar nicht, was alles vorhanden ist. Mit Graph Search soll sich das ändern.
Weiterlesen

Q 1 Bedrohungsbericht: Mobile Gefahren auf dem Vormarsch

1 Antwort

Originalartikel von Trend Micro

Die Analyse der Sicherheitsbedrohungen im ersten Quartal dieses Jahres zeigt eine leichte Verschiebung des Fokus von Angriffen, die zu Datenverlusten führen auf solche, die mobile Geräte im Visier haben – und da in erster Linie Android-basierte Smartphones, da sich diese steigender Beliebtheit erfreuen. Trend Micro hat in diesen ersten drei Monaten bereits etwa 5000 neue bösartige Android-Apps entdeckt.

Zum „Erfolg“ zielgerichteter Angriffskampagnen wie „Luckycat“ tragen auch der zunehmende Einsatz privater Endgeräte im Unternehmen, die wachsende Anzahl neuer Technologien und Plattformen sowie Outsourcing bei, die die Angriffsfläche für die Kriminellen vergrößert haben. Wie bereits in der Vergangenheit spielen immer noch die über Social Engineering-Techniken ausgelegten Köder eine wichtige Rolle, um Opfer dazu zu bringen, die infizierten Links anzuklicken, Malware herunterzuladen oder bösartige Webseiten aufzurufen. Auch das Interesse der Kriminellen an Plattformen wie Pinterest zeigt, dass mit steigender Beliebtheit auch die Bedrohungen kommen.

Die letzten Monat waren durch verschiedene Arten von Bedrohungen geprägt, doch allen gemeinsam ist die Mobilität. Nähere Einblicke in die Sicherheitslandschaft des ersten Quartals 2012 gibt der ausführliche Report “Security in the Age of Mobility”.

 

APT-Forschung 2011, die weniger öffentlich bekannt ist

Hinterlassen Sie eine Antwort

Originalartikel von Nart Villeneuve, Senior Threat Researcher

Im Laufe des Jahres 2011 wurde über viele Angriffe berichtet, so etwa über den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und für weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch über Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken führten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, über die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

  • Die “Contagio Dump”- und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. Während bösartige Binaries häufig für eine Analyse zur Verfügung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
  • Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
  • “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklären hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache Vorfälle in eine Kampagne einzuordnen sind. Für jeden, der APT-Angriffe erforschen will, eine Pflichtlektüre.
  • „1.php“ – ist ein Bericht von Zscaler über eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und präsentieren die Ergebnisse als Grundlage für Verteidigungsmaßnahmen.
  • Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die Schädlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen über einen Cyberkrieg Chinas gegen die USA – oder anders rum?
  • “What is an APT without a sensationalist name?” – Seth Hardys Präsentation auf der SecTor 2011 lieferte einen längst überfälligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des Schädlings “SharkyRAT”.
  • “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit für Gmail genutzt wurden, über den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufügen konnten

Kein unternehmensinterner Konsens über Cloud-Sicherheit

1 Antwort

Originalartikel von Simply Security, Trend Micro

Quelle: flickr

Ein neuer Report des Ponemon Institutes zeigt den Graben, der sich zwischen den IT-Sicherheits- und Compliance-Verantwortlichen auftut, wenn es um das Management von Clouds geht. Für ihre Studie hatten die Analysten in den USA 1000 Verantwortliche dieser beiden Gruppen zu den möglichen Herausforderungen bezüglich der Wolkensicherheit befragt, wobei weniger als die Hälfte der Ansicht ist, in ihren Unternehmen sei adäquate Sicherheitstechnologie für ihre Cloud-Infrastrukturen vorhanden.

Doch bei den Fragen, ob die Cloud genauso sicher ist wie das Onpremise-Datacenter, wer für die Cloud-Sicherheit die Verantwortung tragen sollte sowie welche Sicherheitsmaßnahmen erforderlich sind, gehen die Meinungen der beiden Gruppen von Verantwortlichen deutlich auseinander. Lediglich ein Drittel der IT-Sicherheitsfachleute glaubt, Cloud-Infrastrukturumgebungen seien genauso sicher wie das traditionelle Datacenter. Die Hälfte der Compliance Officer dagegen glaubt an die Sicherheit der IaaS (Infrastructure as a Service)-Umgebungen.

Auch bezüglich der Sicherheitsverantwortlichkeiten gibt es unterschiedliche Ansichten: 21 Prozent der Compliance-Manager sehen sich selbst in der Rolle derer, die die Security-Anforderungen definieren. Demgegenüber stehen 22 Prozent der IT-Fachleute, die diese Aufgabe bei sich sehen.

Für die wichtigste Sicherheitsmaßnahme bezüglich der Cloud halten die IT-Verantwortlichen den Einsatz von Verschlüsselung, sodass die Daten für Service Provider nicht lesbar sind. Compliance-Fachleute wiederum sehen die Verwendung von Verschlüsselung eher bei der Trennung der unterschiedlichen Aufgaben, um etwa IT-Administratoren den Zugang zu Daten, die sie nicht für ihre Jobs benötigen, zu verwehren. Insgesamt ist es jedoch nur einem Drittel der Unternehmen wichtig, ihre Daten, die in der Cloud gespeichert sind und auf die dort zugegriffen wird, über Verschlüsselung zu schützen.

„Uns hat die unterschiedliche Haltung zur Cloud-Sicherheit bei den IT-Sicherheits- und Compliance-Verantwortlichen überrascht“, stellte Ponemon Institute Vorsitzender und Gründer Larry Ponemon fest. „Doch zeigt die Befragung, dass die Security-Belange beide Gruppen betrifft, auch wenn es Besorgnis erregend ist, dass die Verantwortlichkeiten für die Cloud-Sicherheit über das gesamte Unternehmen verteilt sind.“

Ganz gleich, welche Abteilung schließlich die Verantwortung für den Schutz der Cloud übernimmt, wichtig ist, dass Unternehmen schnell handeln und eine Sicherheitsstrategie entwickeln.

Fünf Sicherheitsfragen, die Sie Ihrem SaaS-Provider stellen sollten

Hinterlassen Sie eine Antwort

Originalartikel Rik Ferguson, Director of Security Research & Communication bei Trend Micro

Quelle: ky_olsen’s Flickr stream

Software as a Service (SaaS) erfreut sich wachsender Beliebtheit. Laut Gartner erreichte der weltweite Umsatz mit diesem Cloud-Modell im letzten Jahr 10 Milliarden Dollar, und die Analysten erwarten für 2011 eine Steigerung von mehr als 20 Prozent.

Im Zusammenhang mit SaaS wird meistens Salesforce.com als Beispiel genannt, doch gibt es eine ganze Reihe verschiedener Anwendungen, die als Dienst genutzt werden können: Dazu gehören Customer Relationship Management, Human Resource Management, Cloud-Backup, Collaboration-Plattformen, Buchhaltungssysteme, Helpdesk Management und Web- oder E-Mail-Filtering.

Die wirtschaftlichen und auch technischen Vorteile des Abo-Modells sind hinlänglich bekannt, doch können sie sich auch leicht in ihr Gegenteil verkehren. Anwender entscheiden lediglich, welche Daten sie in die Cloud laden, alles andere nimmt ihnen der Anbieter aus der Hand – abgesehen natürlich von der rechtlichen Verantwortung für die Sicherheit ihrer Daten. Der Provider hat, wenn er will, Zugriff auf alle Kundendaten. Zudem besteht aufgrund der Mehrmandanten-Umgebung die Gefahr, dass eine Schwachstelle bei einem Kunden auch Auswirkungen auf die anderen hat. Das hat sich auch beim jüngsten Beispiel eines Einbruchs beim E-Mail-Provider Epsilon gezeigt, denn betroffen waren viele Fortune 500-Kunden des Anbieters.

Unternehmen, die erwägen, Anwendungen aus der Cloud zu beziehen, sollten den zur Wahl stehenden Providern die richtigen Fragen zur Sicherheit stellen:

  1. Gibt es Penetrationstests für die Umgebung? Wie oft werden diese durchgeführt und gibt es eine Möglichkeit, Pen-Tests für den eigenen Teil der Umgebung zu fahren? Einsicht in seine aktuelle Sicherheitslage erhält ein Anwender nur mithilfe von regelmäßigen, tief gehenden Tests.
  2. Wie sorgt der Provider für die Datensicherheit? Werden Daten im Speichermedium verschlüsselt abgelegt und auch verschlüsselt über die gemeinsam genutzten Ressourcen des Datencenters des Providers übertragen? Wer hat Zugriff auf die Schlüssel? Wird die Trennung der Aufgaben, Schlüssel und Daten beachtet? Und kann der Provider einen Report nach Auditing-Standard SAS 70 vorweisen?
  3. Gibt es die Option eines Einzelmandanten-Hostings? Und wenn ja, umfasst diese lediglich die Anwendung oder auch die Datenspeicherung?
  4. Welche Backup- und Recovery-Prozeduren wendet der Provider im Fall eines katastrophalen Ausfalls oder eines Datenverlusts nach einem Einbruch an? Und auch die Frage nach dem Speicherort der gesicherten Daten (und erneuter Verschlüsselung) ist wichtig.
  5. Wie funktioniert die Benutzerauthentifizierung für die SaaS-Anwendung? Gibt es eine Mehrfaktoren-Authentifizierung, und lässt sich die Anmeldung mit den beim Anwender vorhandenen Authentifizierungsstrukturen integrieren?