Archiv der Kategorie: Sicherheitslücke

Security-by-Design: Eine Checklist für die Absicherung von virtuellen Maschinen und Containern

Schreibe eine Antwort

Originalartikel von Trend Micro

Virtualisierung und Cloud sind ein Segen für Entwickler und Unternehmen, die Anwendungen erstellen. Virtuelle Infrastrukturen bieten kostengünstige, dynamische Möglichkeiten, Produkte und Services bereitzustellen oder eigene Anwendungen zu implementieren. Aber da Unternehmen und Entwickler sich bemühen, schneller mit den Terminen und der Nachfrage Schritt zu halten, hinkt die Sicherheit hinterher und zudem wird in den meisten Fällen daran gespart. Eine Umfrage des SANS-Instituts im Jahr 2017 ergab zum Beispiel, dass 15 Prozent der Unternehmen in den vergangenen zwei Jahren aufgrund von unsicheren Anwendungen Datenverlusten erlitten haben, und in 10 Prozent der Fälle würden überhaupt keine Sicherheitstests für die unternehmenskritischen Anwendungen durchgeführt.

Es ist kein Wunder, dass DevOps an Fahrt gewinnt, sowohl als Software-Engineering-Kultur als auch in Form von Werkzeugen als Zusammenführung für die Softwareentwicklung und Informationstechnologie (IT). Gartner schätzt, dass bis zum nächsten Jahr 70 Prozent der DevOps-bezogenen Initiativen die Sicherheit in die von ihnen verwendeten, erstellten oder eingesetzten Anwendungen integrieren und automatisieren werden.

Die Absicherung virtueller Umgebungen unterscheidet sich nicht von der der Anwendungen selbst. Hier sind einige Überlegungen und Best Practices, die Entwickler, IT-Betriebsmitarbeiter und Systemadministratoren bei der Sicherheit der Infrastrukturen, die die von ihnen genutzten Anwendungen unterstützen, berücksichtigen sollten.

Container und virtuelle Maschinen (VM) müssen stets gepatcht und aktualisiert werden

Sowohl Container als auch VMs bieten die Möglichkeit, Anwendungen mehrfach auszuführen oder innerhalb einer einzigen Plattform zu isolieren, unterscheiden sich jedoch in der Art und Weise, wie sie dies tun. Container virtualisieren ein Betriebssystem, um verschiedene Workloads in einer einzigen Betriebssysteminstanz auszuführen, während VMs Hardware virtualisieren, um Instanzen des Betriebssystems auszuführen.

So stellt jede Instanz der Anwendungen, die in Containern und VMs laufen, einen potenziellen Angriffsvektor dar, wenn sie angreifbar oder falsch konfiguriert ist. Eine Instanz, die mit unnötigen Ports im Container oder in der VM läuft, kann von Hackern dazu ausgenutzt werden, in den Anwendungsserver einzudringen.

Container-Images müssen ebenfalls auf Schwachstellen überprüft werden. Sie werden ständig zu einem Repository hinzugefügt, überschrieben und aufbereitet (wenn Open-Source) — Aktionen, die das Risiko von Sicherheitslücken erhöhen. Die Checkliste des SANS-Instituts für die Auditierung von Docker-basierten Containern ist ein guter Ausgangspunkt für die Bewertung von containerisierten Anwendungen und Host-Betriebssystemen.

Absichern von Anwendungen durch den Schutz des Hypervisors

Der Hypervisor managt die Art und Weise, wie Gastbetriebssysteme auf Ressourcen etwa die CPU, Hauptspeicher, Netzwerk und Speicher zugreifen. Er partitioniert die Ressourcen, um zu verhindern, dass die Instanzen in die jeweils anderen Ressourcen eindringen. Der Hypervisor ist die zugrundeliegende Infrastruktur für Anwendungen, die auf VMs laufen, und deshalb ist ihre Sicherheit von größter Bedeutung. Das U.S. National Institute of Standards and Technology (NIST) hat detaillierte Empfehlungen zur Sicherung des Hypervisors ausgegeben:

  • Deaktivieren Sie unbenutzte und unnötige virtuelle Hardware oder Dienste (z.B. Zwischenablage und Dateifreigabe), um die Angriffsfläche zu verringern.
  • Beobachten Sie den Hypervisor bzgl. ungewöhnlicher Aktivitäten.
  • Überwachen Sie aktiv den Datenverkehr zwischen VMs und aktivieren Sie explizit die Sichtbarkeit für diese.
  • Verfolgen Sie die Instanzen und schränken Sie die Erstellung von VMs und virtuellen Servern ein, um eine unkontrollierte Ausbreitung der Virtualisierung zu verhindern, bei der zu viele Instanzen zu einem ineffizienten Management von physischen und Software-Ressourcen führen.
  • Verwenden Sie sichere und verschlüsselte Kommunikationsprotokolle (z. B. Secure Sockets Layer), um Man-in-the-Middle-Angriffe zu verhindern oder Daten bei der Migration oder Speicherung von VM-Images zu schützen.
  • Authentifizieren Sie die im Server oder in der Bibliothek gespeicherten VM-Images und stellen Sie deren Integrität sicher.

Erkennen von Sicherheitslücken in Containern

Images sind die Blaupause von Containern, die sie zum Ausführen von Anwendungen nutzen. Ein anfälliges Image erzeugt einen durch Malware oder Hacker gefährdeten Container, wodurch die Anwendung selbst anfällig wird. Das Erkennen von Sicherheitslücken (z. B. unsicheren Codes) vor der Ausführung und deren Behebung vor der Planung des Images in einer Orchestrierungsumgebung spart erheblich Zeit und Aufwand bei der Nachbearbeitung von Builds und reduziert den Overhead und Unterbrechungen im Lebenszyklus der Anwendung:

  • Stellen Sie sicher, dass die Container-Images signiert, authentifiziert und aus einer vertrauenswürdigen Registry entnommen sind. Beim Scannen von Images sollte auch die Registry mit eingeschlossen werden, da die sie kompromittiert und ihre Images manipuliert werden können.
  • Schützen Sie den Daemon, beschränken Sie den Zugriff darauf oder verwenden Sie verschlüsselte Kommunikationsprotokolle, wenn er im Netzwerk sichtbar ist.
  • Setzen Sie das Prinzip der niedrigsten Privilegien durch. Im Gegensatz zu einem Hypervisor, der als zentraler Verwaltungspunkt fungiert, kann jeder Benutzer, Dienst oder jede Anwendung mit Zugriff auf das Root-Konto des Containers in andere Container gelangen, die sich den Kernel teilen.
  • Isolieren Sie Ressourcen, konfigurieren Sie Kontrollgruppen und Namensräume richtig, d.h. welche und wie viele Ressourcen ein Container verwenden darf.
  • Fügen Sie Sicherheit fest ein, um den Bedarf an zusätzlichen Builds weiter zu reduzieren; Docker hat zum Beispiel eine eigene Dokumentation über die eingebauten Sicherheitsmerkmale seiner Engine, die als Referenz dienen kann.


Security-by-Design

Es geht aber nicht nur um die Sicherheit von Containern und VMs. Unabhängig davon, ob sich die Workloads eines Unternehmens in der physischen, virtuellen oder Cloud-Infrastruktur (oder einer beliebigen Kombination davon) befinden, kann die Wartung und Sicherung dieser Infrastrukturen zur Herausforderung werden. Unabhängig davon, ob virtuelle Maschinen oder Container (oder beide gleichzeitig) zum Testen, Ausführen und Bereitstellen von Anwendungen genutzt werden, sollte Sicherheit keine Hürde darstellen. Die Integration von Sicherheit in die Infrastrukturen hinter den Anwendungen trägt nicht nur zur Abwehr von Bedrohungen bei, sondern reduziert auch die Geschäftsrisiken für Unternehmen.

Rig Exploit Kit missbraucht CVE-2018-8174 und legt den Monero Miner ab

Schreibe eine Antwort

Originalbeitrag von Miguel Ang, Martin Co und Michael Villanueva, Threats Analysten

Ein Exploit Kit wie Rig startet üblicherweise mit einem Bedrohungsakteur, der eine Website kompromittiert und ein bösartiges Skript bzw. Code einfügt, der dann mögliche Opfer auf die Landing-Seite des Exploit Kits umleitet. Im Februar und März im letzten Jahr fügte Rigs Seamless Campaign eine weitere Schicht oder Gate vor die tatsächliche Landing-Seite ein.
Weiterlesen

Bösartige Edge und Chrome Extensions liefern eine Backdoor

Schreibe eine Antwort

Originalbeitrag von Jaromir Horejsi, Joseph C. Chen und Loseway Lu

Den Sicherheitsforschern von Trend Micro fiel eine Serie von Testübermittlungen bei VirusTotal auf, die von derselben Gruppe von Schadsoftware-Entwicklern aus Moldawien zu kommen schienen, zumindest deuteten die Dateinamen und die Quelle der Übermittlungen darauf hin. Wahrscheinlich arbeiten sie an einer neuen Schadsoftware (JS_DLOADR und W2KM_DLOADR), die sich über Spam-Mail mit einem bösartigen Anhang verbreiten soll.

Weiterlesen

Der Security-RückKlick 2018 KW 19

Schreibe eine Antwort

von Trend Micro

 

 

 

 

 

 

 

Quelle: CartoonStock

Viele Firmen haben einen sträflich lässigen Umgang mit Patches und brauchen länger, um Einbrüche erkennen, Phishing wird mobil und Telegram steigt in der Gunst von Cyberkriminellen.
Weiterlesen

Legitime Anwendung AnyDesk im Bundle mit neuer Ransomware-Variante

Schreibe eine Antwort

Originalbeitrag von Trend Micro

Kürzlich entdeckten die Sicherheitsforscher von Trend Micro eine neue Ransomware (RANSOM_BLACKHEART.THDBCAH), die das legitime Tool AnyDesk zusammen mit einer bösartigen Payload ablegt und ausführt. Es passiert nicht zum ersten Mal, dass eine Malware ein solches Tool missbraucht. TeamViewer mit mehr als 200 Millionen Nutzern war bereits einer früheren Ransomware zum Opfer gefallen. Die Malware nutzte die Verbindungen des Opfers als Verbreitungsweg. Diesmal schnürt RANSOM_BLACKHEART mit dem legitimen Programm ein Bundle, statt AnyDesk für die Verbreitung zu nutzen.
Weiterlesen