Archiv der Kategorie: Updates & Patches

Security-by-Design: Eine Checklist für die Absicherung von virtuellen Maschinen und Containern

Originalartikel von Trend Micro

Virtualisierung und Cloud sind ein Segen für Entwickler und Unternehmen, die Anwendungen erstellen. Virtuelle Infrastrukturen bieten kostengünstige, dynamische Möglichkeiten, Produkte und Services bereitzustellen oder eigene Anwendungen zu implementieren. Aber da Unternehmen und Entwickler sich bemühen, schneller mit den Terminen und der Nachfrage Schritt zu halten, hinkt die Sicherheit hinterher und zudem wird in den meisten Fällen daran gespart. Eine Umfrage des SANS-Instituts im Jahr 2017 ergab zum Beispiel, dass 15 Prozent der Unternehmen in den vergangenen zwei Jahren aufgrund von unsicheren Anwendungen Datenverlusten erlitten haben, und in 10 Prozent der Fälle würden überhaupt keine Sicherheitstests für die unternehmenskritischen Anwendungen durchgeführt.

Es ist kein Wunder, dass DevOps an Fahrt gewinnt, sowohl als Software-Engineering-Kultur als auch in Form von Werkzeugen als Zusammenführung für die Softwareentwicklung und Informationstechnologie (IT). Gartner schätzt, dass bis zum nächsten Jahr 70 Prozent der DevOps-bezogenen Initiativen die Sicherheit in die von ihnen verwendeten, erstellten oder eingesetzten Anwendungen integrieren und automatisieren werden.

Die Absicherung virtueller Umgebungen unterscheidet sich nicht von der der Anwendungen selbst. Hier sind einige Überlegungen und Best Practices, die Entwickler, IT-Betriebsmitarbeiter und Systemadministratoren bei der Sicherheit der Infrastrukturen, die die von ihnen genutzten Anwendungen unterstützen, berücksichtigen sollten.

Container und virtuelle Maschinen (VM) müssen stets gepatcht und aktualisiert werden

Sowohl Container als auch VMs bieten die Möglichkeit, Anwendungen mehrfach auszuführen oder innerhalb einer einzigen Plattform zu isolieren, unterscheiden sich jedoch in der Art und Weise, wie sie dies tun. Container virtualisieren ein Betriebssystem, um verschiedene Workloads in einer einzigen Betriebssysteminstanz auszuführen, während VMs Hardware virtualisieren, um Instanzen des Betriebssystems auszuführen.

So stellt jede Instanz der Anwendungen, die in Containern und VMs laufen, einen potenziellen Angriffsvektor dar, wenn sie angreifbar oder falsch konfiguriert ist. Eine Instanz, die mit unnötigen Ports im Container oder in der VM läuft, kann von Hackern dazu ausgenutzt werden, in den Anwendungsserver einzudringen.

Container-Images müssen ebenfalls auf Schwachstellen überprüft werden. Sie werden ständig zu einem Repository hinzugefügt, überschrieben und aufbereitet (wenn Open-Source) — Aktionen, die das Risiko von Sicherheitslücken erhöhen. Die Checkliste des SANS-Instituts für die Auditierung von Docker-basierten Containern ist ein guter Ausgangspunkt für die Bewertung von containerisierten Anwendungen und Host-Betriebssystemen.

Absichern von Anwendungen durch den Schutz des Hypervisors

Der Hypervisor managt die Art und Weise, wie Gastbetriebssysteme auf Ressourcen etwa die CPU, Hauptspeicher, Netzwerk und Speicher zugreifen. Er partitioniert die Ressourcen, um zu verhindern, dass die Instanzen in die jeweils anderen Ressourcen eindringen. Der Hypervisor ist die zugrundeliegende Infrastruktur für Anwendungen, die auf VMs laufen, und deshalb ist ihre Sicherheit von größter Bedeutung. Das U.S. National Institute of Standards and Technology (NIST) hat detaillierte Empfehlungen zur Sicherung des Hypervisors ausgegeben:

  • Deaktivieren Sie unbenutzte und unnötige virtuelle Hardware oder Dienste (z.B. Zwischenablage und Dateifreigabe), um die Angriffsfläche zu verringern.
  • Beobachten Sie den Hypervisor bzgl. ungewöhnlicher Aktivitäten.
  • Überwachen Sie aktiv den Datenverkehr zwischen VMs und aktivieren Sie explizit die Sichtbarkeit für diese.
  • Verfolgen Sie die Instanzen und schränken Sie die Erstellung von VMs und virtuellen Servern ein, um eine unkontrollierte Ausbreitung der Virtualisierung zu verhindern, bei der zu viele Instanzen zu einem ineffizienten Management von physischen und Software-Ressourcen führen.
  • Verwenden Sie sichere und verschlüsselte Kommunikationsprotokolle (z. B. Secure Sockets Layer), um Man-in-the-Middle-Angriffe zu verhindern oder Daten bei der Migration oder Speicherung von VM-Images zu schützen.
  • Authentifizieren Sie die im Server oder in der Bibliothek gespeicherten VM-Images und stellen Sie deren Integrität sicher.

Erkennen von Sicherheitslücken in Containern

Images sind die Blaupause von Containern, die sie zum Ausführen von Anwendungen nutzen. Ein anfälliges Image erzeugt einen durch Malware oder Hacker gefährdeten Container, wodurch die Anwendung selbst anfällig wird. Das Erkennen von Sicherheitslücken (z. B. unsicheren Codes) vor der Ausführung und deren Behebung vor der Planung des Images in einer Orchestrierungsumgebung spart erheblich Zeit und Aufwand bei der Nachbearbeitung von Builds und reduziert den Overhead und Unterbrechungen im Lebenszyklus der Anwendung:

  • Stellen Sie sicher, dass die Container-Images signiert, authentifiziert und aus einer vertrauenswürdigen Registry entnommen sind. Beim Scannen von Images sollte auch die Registry mit eingeschlossen werden, da die sie kompromittiert und ihre Images manipuliert werden können.
  • Schützen Sie den Daemon, beschränken Sie den Zugriff darauf oder verwenden Sie verschlüsselte Kommunikationsprotokolle, wenn er im Netzwerk sichtbar ist.
  • Setzen Sie das Prinzip der niedrigsten Privilegien durch. Im Gegensatz zu einem Hypervisor, der als zentraler Verwaltungspunkt fungiert, kann jeder Benutzer, Dienst oder jede Anwendung mit Zugriff auf das Root-Konto des Containers in andere Container gelangen, die sich den Kernel teilen.
  • Isolieren Sie Ressourcen, konfigurieren Sie Kontrollgruppen und Namensräume richtig, d.h. welche und wie viele Ressourcen ein Container verwenden darf.
  • Fügen Sie Sicherheit fest ein, um den Bedarf an zusätzlichen Builds weiter zu reduzieren; Docker hat zum Beispiel eine eigene Dokumentation über die eingebauten Sicherheitsmerkmale seiner Engine, die als Referenz dienen kann.


Security-by-Design

Es geht aber nicht nur um die Sicherheit von Containern und VMs. Unabhängig davon, ob sich die Workloads eines Unternehmens in der physischen, virtuellen oder Cloud-Infrastruktur (oder einer beliebigen Kombination davon) befinden, kann die Wartung und Sicherung dieser Infrastrukturen zur Herausforderung werden. Unabhängig davon, ob virtuelle Maschinen oder Container (oder beide gleichzeitig) zum Testen, Ausführen und Bereitstellen von Anwendungen genutzt werden, sollte Sicherheit keine Hürde darstellen. Die Integration von Sicherheit in die Infrastrukturen hinter den Anwendungen trägt nicht nur zur Abwehr von Bedrohungen bei, sondern reduziert auch die Geschäftsrisiken für Unternehmen.

Der Security-RückKlick 2018 KW 21

von Trend Micro

 

 

 

 

 

 

Quelle: CartoonStock

Warnungen und Updates für ernste Sicherheitslücken waren ein bestimmendes Thema dieser Woche, aber auch Amazons Handel mit Gesichtserkennungs-Software.
Weiterlesen

Der Security-RückKlick 2018 KW 20

von Trend Micro

 

 

 

 

 

 

 

Quelle: CartoonStock

Eine Lücke in PGP und S/MIME gefährdet verschlüsselte Mails, Prozess-Doppelgänger helfen Ransomware, aber auch Hacker machen Fehler …
Weiterlesen

Kryptowährungs-Malware wird im Untergrund angeboten

Originalbeitrag von Fernando Mercês, Senior Threat Researcher

Kryptowährungen geraten immer wieder in den Schlagzeilen, und manche Regierungen arbeiten an der Regulierung der daran beteiligten Transaktionen. Andere wiederum möchten die damit verbundenen Mining-Aktivitäten insgesamt stoppen. Cyberkriminelle sind sehr rege am Kryptowährungs-Mining beteiligt. Ihre Tätigkeiten reichen vom Missbrauch der Graphics Processing Units (GPUs) der Verbraucher-Geräte bis zu dem der Mobilgeräte. Mittlerweile gibt es auch im cyberkriminellen Untergrund so viele Kryptowährungs-Malware-Angebote, dass es auch Kriminellen schwer fallen muss zu entscheiden, welches das Beste ist. Kryptomalware hat ein klares Ziel, und zwar aus Kryptowährungstransaktionen Profit zu schlagen. Dies lässt sich über zwei verschiedene Methoden erreichen: Diebstahl von Kryptowährung und wiederholtes Mining auf den Geräten der Opfer (ohne dass diese es mitbekommen), auch Cryptojacking genannt.
Weiterlesen

Monero-Mining RETADUP-Wurm mit neuer polymorpher Variante

Originalbeitrag von Lenart Bermejo und Ronnie Giagone, Threats Analysts

Über das Feedback des managed Detection- und Response-bezogenen Monitorings fanden die Sicherheitsforscher von Trend Micro eine neue Variante eines Kryptowährungs-Mining RETADUP-Wurms (Trend Micro als WORM_RETADUP.G identifiziert). Die Variante ist in AutoHotKey codiert, einer quelloffenen Scripting-Sprache, die in Windows verwendet wird, um Hotkeys zu erstellen. AutoHotKey ist dem Skriptautomatisierungs-Took AutoIt ziemlich ähnlich. Mit diesem Tool wurden frühere Varianten von RETADUP erstellt. Die Forscher identifizierten diese Bedrohung über einen Endpunkt (in einer Organisation im öffentlichen Bereich), der damit in Beziehung stehende Malware-Artefakte aufwies. Eine weitere Analyse und Korrelation der beiden auf Basis ihres C&C-Protokolls und der Trend Micro-eigenen RETADUP-Entdeckungen zeigte, dass sie weiteren Samples sehr ähnlich sind. Und dies deutet darauf hin, dass zumindest derzeit RETADUPs Betreiber sich auf cyberkriminelles Mining konzentrieren.
Weiterlesen