Archiv der Kategorie: Malware

Security-by-Design: Eine Checklist für die Absicherung von virtuellen Maschinen und Containern

Schreibe eine Antwort

Originalartikel von Trend Micro

Virtualisierung und Cloud sind ein Segen für Entwickler und Unternehmen, die Anwendungen erstellen. Virtuelle Infrastrukturen bieten kostengünstige, dynamische Möglichkeiten, Produkte und Services bereitzustellen oder eigene Anwendungen zu implementieren. Aber da Unternehmen und Entwickler sich bemühen, schneller mit den Terminen und der Nachfrage Schritt zu halten, hinkt die Sicherheit hinterher und zudem wird in den meisten Fällen daran gespart. Eine Umfrage des SANS-Instituts im Jahr 2017 ergab zum Beispiel, dass 15 Prozent der Unternehmen in den vergangenen zwei Jahren aufgrund von unsicheren Anwendungen Datenverlusten erlitten haben, und in 10 Prozent der Fälle würden überhaupt keine Sicherheitstests für die unternehmenskritischen Anwendungen durchgeführt.

Es ist kein Wunder, dass DevOps an Fahrt gewinnt, sowohl als Software-Engineering-Kultur als auch in Form von Werkzeugen als Zusammenführung für die Softwareentwicklung und Informationstechnologie (IT). Gartner schätzt, dass bis zum nächsten Jahr 70 Prozent der DevOps-bezogenen Initiativen die Sicherheit in die von ihnen verwendeten, erstellten oder eingesetzten Anwendungen integrieren und automatisieren werden.

Die Absicherung virtueller Umgebungen unterscheidet sich nicht von der der Anwendungen selbst. Hier sind einige Überlegungen und Best Practices, die Entwickler, IT-Betriebsmitarbeiter und Systemadministratoren bei der Sicherheit der Infrastrukturen, die die von ihnen genutzten Anwendungen unterstützen, berücksichtigen sollten.

Container und virtuelle Maschinen (VM) müssen stets gepatcht und aktualisiert werden

Sowohl Container als auch VMs bieten die Möglichkeit, Anwendungen mehrfach auszuführen oder innerhalb einer einzigen Plattform zu isolieren, unterscheiden sich jedoch in der Art und Weise, wie sie dies tun. Container virtualisieren ein Betriebssystem, um verschiedene Workloads in einer einzigen Betriebssysteminstanz auszuführen, während VMs Hardware virtualisieren, um Instanzen des Betriebssystems auszuführen.

So stellt jede Instanz der Anwendungen, die in Containern und VMs laufen, einen potenziellen Angriffsvektor dar, wenn sie angreifbar oder falsch konfiguriert ist. Eine Instanz, die mit unnötigen Ports im Container oder in der VM läuft, kann von Hackern dazu ausgenutzt werden, in den Anwendungsserver einzudringen.

Container-Images müssen ebenfalls auf Schwachstellen überprüft werden. Sie werden ständig zu einem Repository hinzugefügt, überschrieben und aufbereitet (wenn Open-Source) — Aktionen, die das Risiko von Sicherheitslücken erhöhen. Die Checkliste des SANS-Instituts für die Auditierung von Docker-basierten Containern ist ein guter Ausgangspunkt für die Bewertung von containerisierten Anwendungen und Host-Betriebssystemen.

Absichern von Anwendungen durch den Schutz des Hypervisors

Der Hypervisor managt die Art und Weise, wie Gastbetriebssysteme auf Ressourcen etwa die CPU, Hauptspeicher, Netzwerk und Speicher zugreifen. Er partitioniert die Ressourcen, um zu verhindern, dass die Instanzen in die jeweils anderen Ressourcen eindringen. Der Hypervisor ist die zugrundeliegende Infrastruktur für Anwendungen, die auf VMs laufen, und deshalb ist ihre Sicherheit von größter Bedeutung. Das U.S. National Institute of Standards and Technology (NIST) hat detaillierte Empfehlungen zur Sicherung des Hypervisors ausgegeben:

  • Deaktivieren Sie unbenutzte und unnötige virtuelle Hardware oder Dienste (z.B. Zwischenablage und Dateifreigabe), um die Angriffsfläche zu verringern.
  • Beobachten Sie den Hypervisor bzgl. ungewöhnlicher Aktivitäten.
  • Überwachen Sie aktiv den Datenverkehr zwischen VMs und aktivieren Sie explizit die Sichtbarkeit für diese.
  • Verfolgen Sie die Instanzen und schränken Sie die Erstellung von VMs und virtuellen Servern ein, um eine unkontrollierte Ausbreitung der Virtualisierung zu verhindern, bei der zu viele Instanzen zu einem ineffizienten Management von physischen und Software-Ressourcen führen.
  • Verwenden Sie sichere und verschlüsselte Kommunikationsprotokolle (z. B. Secure Sockets Layer), um Man-in-the-Middle-Angriffe zu verhindern oder Daten bei der Migration oder Speicherung von VM-Images zu schützen.
  • Authentifizieren Sie die im Server oder in der Bibliothek gespeicherten VM-Images und stellen Sie deren Integrität sicher.

Erkennen von Sicherheitslücken in Containern

Images sind die Blaupause von Containern, die sie zum Ausführen von Anwendungen nutzen. Ein anfälliges Image erzeugt einen durch Malware oder Hacker gefährdeten Container, wodurch die Anwendung selbst anfällig wird. Das Erkennen von Sicherheitslücken (z. B. unsicheren Codes) vor der Ausführung und deren Behebung vor der Planung des Images in einer Orchestrierungsumgebung spart erheblich Zeit und Aufwand bei der Nachbearbeitung von Builds und reduziert den Overhead und Unterbrechungen im Lebenszyklus der Anwendung:

  • Stellen Sie sicher, dass die Container-Images signiert, authentifiziert und aus einer vertrauenswürdigen Registry entnommen sind. Beim Scannen von Images sollte auch die Registry mit eingeschlossen werden, da die sie kompromittiert und ihre Images manipuliert werden können.
  • Schützen Sie den Daemon, beschränken Sie den Zugriff darauf oder verwenden Sie verschlüsselte Kommunikationsprotokolle, wenn er im Netzwerk sichtbar ist.
  • Setzen Sie das Prinzip der niedrigsten Privilegien durch. Im Gegensatz zu einem Hypervisor, der als zentraler Verwaltungspunkt fungiert, kann jeder Benutzer, Dienst oder jede Anwendung mit Zugriff auf das Root-Konto des Containers in andere Container gelangen, die sich den Kernel teilen.
  • Isolieren Sie Ressourcen, konfigurieren Sie Kontrollgruppen und Namensräume richtig, d.h. welche und wie viele Ressourcen ein Container verwenden darf.
  • Fügen Sie Sicherheit fest ein, um den Bedarf an zusätzlichen Builds weiter zu reduzieren; Docker hat zum Beispiel eine eigene Dokumentation über die eingebauten Sicherheitsmerkmale seiner Engine, die als Referenz dienen kann.


Security-by-Design

Es geht aber nicht nur um die Sicherheit von Containern und VMs. Unabhängig davon, ob sich die Workloads eines Unternehmens in der physischen, virtuellen oder Cloud-Infrastruktur (oder einer beliebigen Kombination davon) befinden, kann die Wartung und Sicherung dieser Infrastrukturen zur Herausforderung werden. Unabhängig davon, ob virtuelle Maschinen oder Container (oder beide gleichzeitig) zum Testen, Ausführen und Bereitstellen von Anwendungen genutzt werden, sollte Sicherheit keine Hürde darstellen. Die Integration von Sicherheit in die Infrastrukturen hinter den Anwendungen trägt nicht nur zur Abwehr von Bedrohungen bei, sondern reduziert auch die Geschäftsrisiken für Unternehmen.

Techniken des maschinellen Lernens helfen bei der Aufdeckung des massiven Missbrauchs von Zertifikaten

Schreibe eine Antwort

Originalbeitrag von Jon Oliver, Senior Architect


Mit Hilfe von Machine Learning-Algorithmen gelang es den Sicherheitsforschern von Trend Micro, den massiven Zertifikatmissbrauch durch BrowseFox aufzudecken. BrowseFox, eine potenziell unerwünschte Anwendung (von Trend Micro als PUA_BROWSEFOX.SMC identifiziert), ist ein Marketing-Adware Plugin, das unerlaubt Popup-Werbung und Discount Deals einschleust. Die Software nutzt einen legitimen Prozess, könnte aber von Bedrohungsakteuren ausgenutzt werden, die die Werbeanzeigen korrumpieren, um Opfer auf bösartige Sites umzuleiten, wo sie unwissentlich Malware herunterladen. Bei der Analyse stellten die Forscher fest, dass BrowseFox einen großen Teil des firmeneigenen Datensatzes von 2 Millionen signierten Dateien ausmacht – Dateien, die auf ihre Gültigkeit und Integrität überprüft wurden.
Weiterlesen

Der Security-RückKlick 2018 KW 24

Schreibe eine Antwort

von Trend Micro

 

 

 

 

 

 

 

Quelle: CartoonStock

Neuer Facebook-Zwischenfall, weltweite Verhaftungen von BEC-Hintermännern, und Monero ist die beliebteste Kryptowährung bei 5% illegaler Schürfung.
Weiterlesen

Angriffsvektoren im Orbit: Sicherheit für Satelliten-Verbindungen und IoT im 5G-Zeitalter

Schreibe eine Antwort

Originalbeitrag von Craig Gibson, Principal Threat Defense Architect



Satelliten-Verbindungen werden mit der zunehmenden Verbreitung von 5G-Netzwerken an Bedeutung gewinnen, nicht zuletzt auf Grund ihrer hohen Ausfallsicherheit bei unvorhergesehenen Ereignissen. Davon profitieren vor allem Anwendungen im Bereich (Industrial) Internet of Things. Gleichzeitig stellen Satelliten aber auch einen möglichen Angriffsvektor für Cyberangriffe dar und müssen entsprechend geschützt werden.

Mögliche Angriffsszenarien auf Satellitenverbindungen, Lösungsmöglichkeiten und weitere Details, finden sich hier in englischer Sprache im Originalbeitrag auf dem Trend Micro Security Intelligence Blog.

Identifizieren der Top-Sicherheitslücken in Netzwerken: alte Lücken, IoT Botnets, Exploits für drahtlose Verbindungen

Schreibe eine Antwort

Originalbeitrag von Tony Yang, Adam Huang und Louis Tsai

Mithilfe des IoT Smart Checker, einem Tool, das Netzwerke auf mögliche Sicherheitsrisiken scannt, untersuchten die Sicherheitsforscher Heim- und kleinere Netzwerkumgebungen und Sicherheitslücken, die vernetzte Geräte üblicherweise aufweisen. Die am häufigsten entdeckten Sicherheitslücken waren die bereits bekannten oder auch IoT Botnets. Vom 1. April bis zum 15. Mai fanden die Forscher, dass 30 Prozent der Heimnetzwerke mindestens eine Sicherheitslücke aufwies.  Das bedeutete in diesem Zusammenhang, dass die Forscher mindestens ein vernetztes Gerät fanden, dass über eine Lücke zugänglich war. Das Scanning betraf verschiedene Betriebssysteme, einschließlich Linux, Mac, Windows, Android, iOS und weitere Software Development Kit (SDK)-Plattformen.
Weiterlesen