Die Codierer erobern die Sicherheitsinfrastruktur als Code-Reihe: Sicherheitsfunktionen deaktiviert
Die Bedrohungen für die Cybersicherheit sind heutzutage allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto größer ist das Risiko für Cyberkriminelle: Es gibt zu viel Code zu schützen und private Daten sind zu wertvoll. Und nun ja, es ist fast unmöglich geworden, auf dem Laufenden zu bleiben und alle Aspekte der Angriffsfläche zu verteidigen, sobald die Programme einmal eingesetzt sind.
Es gibt Ansätze, die einige dieser Symptome lindern können, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept „Infrastructure as Code“ (IaC) übernehmen. Natürlich gibt es, wie bei jeder Entwicklung, einige Sicherheitshindernisse zu überwinden. Und da die Entwickler an dem Code arbeiten, der die für das Hosting der Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann also ein Entwickler, der neu in einer Cloud-Serverumgebung ist, seine Fähigkeiten verbessern, die Feinheiten erlernen und mit einem größeren Sicherheitsbewusstsein an die Entwicklung herangehen? Wir haben die nächste Serie „Coders Conquer Security” erstellt, um die häufigsten Schwachstellen von IaC anzugehen. Die nächsten Blogs werden sich auf die Maßnahmen konzentrieren, die Sie als Entwickler ergreifen können, um mit der Implementierung einer sicheren Infrastruktur als Code in Ihrem eigenen Unternehmen zu beginnen.
Vamos a empezar.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war und dachte, dass Banditen sein Haus überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr stabilen Eingangstür, das Verbarrikadieren aller Fenster und die Anschaffung vieler Waffen, die er griffbereit aufbewahrte. Dennoch wurde er eines Nachts im Schlaf ausgeraubt, weil er vergessen hatte, die Seitentür zu schließen. Die Banditen fanden einfach die deaktivierte Sicherheitsvorrichtung und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen in Ihrer Infrastruktur zu deaktivieren, ist damit vergleichbar. Selbst wenn Ihr Netzwerk über eine solide Sicherheitsinfrastruktur verfügt, nützt dies wenig, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich eine Herausforderung stellen, bevor wir eintauchen:
Besuchen Sie den obigen Link und Sie gelangen zu unserer gamifizierten Schulungsplattform, auf der Sie versuchen können, eine Schwachstelle einer derzeit deaktivierten Sicherheitsfunktion zu beseitigen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
¿Cómo te fue? Si aún tienes trabajo por hacer, sigue leyendo:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Einige Anwendungen und Frameworks sind möglicherweise standardmäßig deaktiviert und müssen zuerst aktiviert werden, damit sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig mit Herausforderungen oder Blockaden konfrontiert zu sein (z. B. die Veröffentlichung eines AWS S3-Buckets). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum sind deaktivierte Sicherheitsfunktionen so gefährlich?
Das Deaktivieren einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um diese vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert ist, kann sie Ihre Ressourcen nicht schützen.
Angreifer versuchen immer zuerst, Schwachstellen zu finden, die sich leicht ausnutzen lassen, und verwenden dazu unter Umständen sogar ein Skript, um die häufigsten Schwachstellen zu analysieren. Das ist vergleichbar mit einem Dieb, der alle Autos in einer Straße überprüft, um zu sehen, ob eine Tür offen ist, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsmaßnahme inaktiv ist. Aber wenn das passiert, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens führt eine gute Sicherheit, die anschließend deaktiviert wird, zu einem falschen Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor den gängigsten Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die Sicherheitsfunktion von AWS S3 zum Blockieren des öffentlichen Zugriffs. Mit der Sperrung des öffentlichen Zugriffs auf Amazon S3 können Kontoadministratoren und Postfachbesitzer auf einfache Weise zentralisierte Kontrollen einrichten, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die Probleme beim Zugriff auf den S3-Bucket haben, entscheiden sich jedoch dafür, ihn öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn Sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat der Angreifer uneingeschränkten Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung der Informationen führt, sondern auch zusätzliche Kosten aufgrund der Datenübertragungsgebühren verursacht.
Vergleichen wir einige Codes aus der realen Welt; sehen Sie sich diese CloudFormation-Fragmente an:
Verwundbar:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
blockPublicACLS: false
BlockPublicPolicy: false
ignorePublicacls: false
restrictPublicBuckets: false
Konfiguration der Versionskontrolle:
Status: Aktiviert
Verschlüsselung von Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmensspeicher:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
ignorePublicacls: wahr
RestrictPublicBuckets: wahr
Versionskontrollkonfiguration:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselungskonfiguration:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Deaktivierte Sicherheitsfunktionen verhindern
Es ist sowohl eine Frage der Politik als auch der Praxis, zu verhindern, dass deaktivierte Sicherheitsfunktionen Ihrem Unternehmen schaden. Es muss eine strenge Richtlinie geben, die festlegt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, bei denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Nach Abschluss der erforderlichen Arbeiten müssen die Funktionen überprüft werden, um sicherzustellen, dass sie vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion dauerhaft deaktiviert werden muss, um den Betrieb zu beschleunigen, müssen andere Schutzmaßnahmen für die betroffenen Daten bereitgestellt werden, um sicherzustellen, dass Hacker ohne den voreingestellten Schutz nicht auf diese Daten zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer die offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, fordern Sie sich selbst heraus:
Werfen Sie einen Blick auf den Secure Code Warrior Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen anderer Sicherheitslücken und -schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Beitrag gelesen haben? Dann legen Sie los!Testen Sie eine gamifizierte Sicherheitsherausforderung für iMac auf der Secure Code Warrior Plattform Secure Code Warrior Ihre Cybersicherheitskenntnisse auf dem neuesten Stand zu halten.
Dies ist eine wöchentliche Serie, die unsere acht wichtigsten Schwachstellen in der Infrastruktur als Code behandelt. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Angreifer versuchen immer zuerst, Schwachstellen zu finden, die sich leicht ausnutzen lassen, und können sogar ein Skript verwenden, um die häufigsten Schwachstellen zu analysieren. Das ist so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob eine Tür offen ist, was viel einfacher ist, als eine Scheibe einzuschlagen.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Die Bedrohungen für die Cybersicherheit sind heutzutage allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto größer ist das Risiko für Cyberkriminelle: Es gibt zu viel Code zu schützen und private Daten sind zu wertvoll. Und nun ja, es ist fast unmöglich geworden, auf dem Laufenden zu bleiben und alle Aspekte der Angriffsfläche zu verteidigen, sobald die Programme einmal eingesetzt sind.
Es gibt Ansätze, die einige dieser Symptome lindern können, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept „Infrastructure as Code“ (IaC) übernehmen. Natürlich gibt es, wie bei jeder Entwicklung, einige Sicherheitshindernisse zu überwinden. Und da die Entwickler an dem Code arbeiten, der die für das Hosting der Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann also ein Entwickler, der neu in einer Cloud-Serverumgebung ist, seine Fähigkeiten verbessern, die Feinheiten erlernen und mit einem größeren Sicherheitsbewusstsein an die Entwicklung herangehen? Wir haben die nächste Serie „Coders Conquer Security” erstellt, um die häufigsten Schwachstellen von IaC anzugehen. Die nächsten Blogs werden sich auf die Maßnahmen konzentrieren, die Sie als Entwickler ergreifen können, um mit der Implementierung einer sicheren Infrastruktur als Code in Ihrem eigenen Unternehmen zu beginnen.
Vamos a empezar.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war und dachte, dass Banditen sein Haus überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr stabilen Eingangstür, das Verbarrikadieren aller Fenster und die Anschaffung vieler Waffen, die er griffbereit aufbewahrte. Dennoch wurde er eines Nachts im Schlaf ausgeraubt, weil er vergessen hatte, die Seitentür zu schließen. Die Banditen fanden einfach die deaktivierte Sicherheitsvorrichtung und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen in Ihrer Infrastruktur zu deaktivieren, ist damit vergleichbar. Selbst wenn Ihr Netzwerk über eine solide Sicherheitsinfrastruktur verfügt, nützt dies wenig, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich eine Herausforderung stellen, bevor wir eintauchen:
Besuchen Sie den obigen Link und Sie gelangen zu unserer gamifizierten Schulungsplattform, auf der Sie versuchen können, eine Schwachstelle einer derzeit deaktivierten Sicherheitsfunktion zu beseitigen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
¿Cómo te fue? Si aún tienes trabajo por hacer, sigue leyendo:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Einige Anwendungen und Frameworks sind möglicherweise standardmäßig deaktiviert und müssen zuerst aktiviert werden, damit sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig mit Herausforderungen oder Blockaden konfrontiert zu sein (z. B. die Veröffentlichung eines AWS S3-Buckets). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum sind deaktivierte Sicherheitsfunktionen so gefährlich?
Das Deaktivieren einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um diese vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert ist, kann sie Ihre Ressourcen nicht schützen.
Angreifer versuchen immer zuerst, Schwachstellen zu finden, die sich leicht ausnutzen lassen, und verwenden dazu unter Umständen sogar ein Skript, um die häufigsten Schwachstellen zu analysieren. Das ist vergleichbar mit einem Dieb, der alle Autos in einer Straße überprüft, um zu sehen, ob eine Tür offen ist, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsmaßnahme inaktiv ist. Aber wenn das passiert, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens führt eine gute Sicherheit, die anschließend deaktiviert wird, zu einem falschen Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor den gängigsten Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die Sicherheitsfunktion von AWS S3 zum Blockieren des öffentlichen Zugriffs. Mit der Sperrung des öffentlichen Zugriffs auf Amazon S3 können Kontoadministratoren und Postfachbesitzer auf einfache Weise zentralisierte Kontrollen einrichten, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die Probleme beim Zugriff auf den S3-Bucket haben, entscheiden sich jedoch dafür, ihn öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn Sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat der Angreifer uneingeschränkten Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung der Informationen führt, sondern auch zusätzliche Kosten aufgrund der Datenübertragungsgebühren verursacht.
Vergleichen wir einige Codes aus der realen Welt; sehen Sie sich diese CloudFormation-Fragmente an:
Verwundbar:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
blockPublicACLS: false
BlockPublicPolicy: false
ignorePublicacls: false
restrictPublicBuckets: false
Konfiguration der Versionskontrolle:
Status: Aktiviert
Verschlüsselung von Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmensspeicher:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
ignorePublicacls: wahr
RestrictPublicBuckets: wahr
Versionskontrollkonfiguration:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselungskonfiguration:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Deaktivierte Sicherheitsfunktionen verhindern
Es ist sowohl eine Frage der Politik als auch der Praxis, zu verhindern, dass deaktivierte Sicherheitsfunktionen Ihrem Unternehmen schaden. Es muss eine strenge Richtlinie geben, die festlegt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, bei denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Nach Abschluss der erforderlichen Arbeiten müssen die Funktionen überprüft werden, um sicherzustellen, dass sie vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion dauerhaft deaktiviert werden muss, um den Betrieb zu beschleunigen, müssen andere Schutzmaßnahmen für die betroffenen Daten bereitgestellt werden, um sicherzustellen, dass Hacker ohne den voreingestellten Schutz nicht auf diese Daten zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer die offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, fordern Sie sich selbst heraus:
Werfen Sie einen Blick auf den Secure Code Warrior Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen anderer Sicherheitslücken und -schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Beitrag gelesen haben? Dann legen Sie los!Testen Sie eine gamifizierte Sicherheitsherausforderung für iMac auf der Secure Code Warrior Plattform Secure Code Warrior Ihre Cybersicherheitskenntnisse auf dem neuesten Stand zu halten.
Dies ist eine wöchentliche Serie, die unsere acht wichtigsten Schwachstellen in der Infrastruktur als Code behandelt. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Die Bedrohungen für die Cybersicherheit sind heutzutage allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto größer ist das Risiko für Cyberkriminelle: Es gibt zu viel Code zu schützen und private Daten sind zu wertvoll. Und nun ja, es ist fast unmöglich geworden, auf dem Laufenden zu bleiben und alle Aspekte der Angriffsfläche zu verteidigen, sobald die Programme einmal eingesetzt sind.
Es gibt Ansätze, die einige dieser Symptome lindern können, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept „Infrastructure as Code“ (IaC) übernehmen. Natürlich gibt es, wie bei jeder Entwicklung, einige Sicherheitshindernisse zu überwinden. Und da die Entwickler an dem Code arbeiten, der die für das Hosting der Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann also ein Entwickler, der neu in einer Cloud-Serverumgebung ist, seine Fähigkeiten verbessern, die Feinheiten erlernen und mit einem größeren Sicherheitsbewusstsein an die Entwicklung herangehen? Wir haben die nächste Serie „Coders Conquer Security” erstellt, um die häufigsten Schwachstellen von IaC anzugehen. Die nächsten Blogs werden sich auf die Maßnahmen konzentrieren, die Sie als Entwickler ergreifen können, um mit der Implementierung einer sicheren Infrastruktur als Code in Ihrem eigenen Unternehmen zu beginnen.
Vamos a empezar.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war und dachte, dass Banditen sein Haus überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr stabilen Eingangstür, das Verbarrikadieren aller Fenster und die Anschaffung vieler Waffen, die er griffbereit aufbewahrte. Dennoch wurde er eines Nachts im Schlaf ausgeraubt, weil er vergessen hatte, die Seitentür zu schließen. Die Banditen fanden einfach die deaktivierte Sicherheitsvorrichtung und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen in Ihrer Infrastruktur zu deaktivieren, ist damit vergleichbar. Selbst wenn Ihr Netzwerk über eine solide Sicherheitsinfrastruktur verfügt, nützt dies wenig, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich eine Herausforderung stellen, bevor wir eintauchen:
Besuchen Sie den obigen Link und Sie gelangen zu unserer gamifizierten Schulungsplattform, auf der Sie versuchen können, eine Schwachstelle einer derzeit deaktivierten Sicherheitsfunktion zu beseitigen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
¿Cómo te fue? Si aún tienes trabajo por hacer, sigue leyendo:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Einige Anwendungen und Frameworks sind möglicherweise standardmäßig deaktiviert und müssen zuerst aktiviert werden, damit sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig mit Herausforderungen oder Blockaden konfrontiert zu sein (z. B. die Veröffentlichung eines AWS S3-Buckets). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum sind deaktivierte Sicherheitsfunktionen so gefährlich?
Das Deaktivieren einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um diese vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert ist, kann sie Ihre Ressourcen nicht schützen.
Angreifer versuchen immer zuerst, Schwachstellen zu finden, die sich leicht ausnutzen lassen, und verwenden dazu unter Umständen sogar ein Skript, um die häufigsten Schwachstellen zu analysieren. Das ist vergleichbar mit einem Dieb, der alle Autos in einer Straße überprüft, um zu sehen, ob eine Tür offen ist, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsmaßnahme inaktiv ist. Aber wenn das passiert, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens führt eine gute Sicherheit, die anschließend deaktiviert wird, zu einem falschen Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor den gängigsten Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die Sicherheitsfunktion von AWS S3 zum Blockieren des öffentlichen Zugriffs. Mit der Sperrung des öffentlichen Zugriffs auf Amazon S3 können Kontoadministratoren und Postfachbesitzer auf einfache Weise zentralisierte Kontrollen einrichten, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die Probleme beim Zugriff auf den S3-Bucket haben, entscheiden sich jedoch dafür, ihn öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn Sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat der Angreifer uneingeschränkten Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung der Informationen führt, sondern auch zusätzliche Kosten aufgrund der Datenübertragungsgebühren verursacht.
Vergleichen wir einige Codes aus der realen Welt; sehen Sie sich diese CloudFormation-Fragmente an:
Verwundbar:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
blockPublicACLS: false
BlockPublicPolicy: false
ignorePublicacls: false
restrictPublicBuckets: false
Konfiguration der Versionskontrolle:
Status: Aktiviert
Verschlüsselung von Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmensspeicher:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
ignorePublicacls: wahr
RestrictPublicBuckets: wahr
Versionskontrollkonfiguration:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselungskonfiguration:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Deaktivierte Sicherheitsfunktionen verhindern
Es ist sowohl eine Frage der Politik als auch der Praxis, zu verhindern, dass deaktivierte Sicherheitsfunktionen Ihrem Unternehmen schaden. Es muss eine strenge Richtlinie geben, die festlegt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, bei denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Nach Abschluss der erforderlichen Arbeiten müssen die Funktionen überprüft werden, um sicherzustellen, dass sie vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion dauerhaft deaktiviert werden muss, um den Betrieb zu beschleunigen, müssen andere Schutzmaßnahmen für die betroffenen Daten bereitgestellt werden, um sicherzustellen, dass Hacker ohne den voreingestellten Schutz nicht auf diese Daten zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer die offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, fordern Sie sich selbst heraus:
Werfen Sie einen Blick auf den Secure Code Warrior Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen anderer Sicherheitslücken und -schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Beitrag gelesen haben? Dann legen Sie los!Testen Sie eine gamifizierte Sicherheitsherausforderung für iMac auf der Secure Code Warrior Plattform Secure Code Warrior Ihre Cybersicherheitskenntnisse auf dem neuesten Stand zu halten.
Dies ist eine wöchentliche Serie, die unsere acht wichtigsten Schwachstellen in der Infrastruktur als Code behandelt. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Die Bedrohungen für die Cybersicherheit sind heutzutage allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto größer ist das Risiko für Cyberkriminelle: Es gibt zu viel Code zu schützen und private Daten sind zu wertvoll. Und nun ja, es ist fast unmöglich geworden, auf dem Laufenden zu bleiben und alle Aspekte der Angriffsfläche zu verteidigen, sobald die Programme einmal eingesetzt sind.
Es gibt Ansätze, die einige dieser Symptome lindern können, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept „Infrastructure as Code“ (IaC) übernehmen. Natürlich gibt es, wie bei jeder Entwicklung, einige Sicherheitshindernisse zu überwinden. Und da die Entwickler an dem Code arbeiten, der die für das Hosting der Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann also ein Entwickler, der neu in einer Cloud-Serverumgebung ist, seine Fähigkeiten verbessern, die Feinheiten erlernen und mit einem größeren Sicherheitsbewusstsein an die Entwicklung herangehen? Wir haben die nächste Serie „Coders Conquer Security” erstellt, um die häufigsten Schwachstellen von IaC anzugehen. Die nächsten Blogs werden sich auf die Maßnahmen konzentrieren, die Sie als Entwickler ergreifen können, um mit der Implementierung einer sicheren Infrastruktur als Code in Ihrem eigenen Unternehmen zu beginnen.
Vamos a empezar.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war und dachte, dass Banditen sein Haus überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr stabilen Eingangstür, das Verbarrikadieren aller Fenster und die Anschaffung vieler Waffen, die er griffbereit aufbewahrte. Dennoch wurde er eines Nachts im Schlaf ausgeraubt, weil er vergessen hatte, die Seitentür zu schließen. Die Banditen fanden einfach die deaktivierte Sicherheitsvorrichtung und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen in Ihrer Infrastruktur zu deaktivieren, ist damit vergleichbar. Selbst wenn Ihr Netzwerk über eine solide Sicherheitsinfrastruktur verfügt, nützt dies wenig, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich eine Herausforderung stellen, bevor wir eintauchen:
Besuchen Sie den obigen Link und Sie gelangen zu unserer gamifizierten Schulungsplattform, auf der Sie versuchen können, eine Schwachstelle einer derzeit deaktivierten Sicherheitsfunktion zu beseitigen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
¿Cómo te fue? Si aún tienes trabajo por hacer, sigue leyendo:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Einige Anwendungen und Frameworks sind möglicherweise standardmäßig deaktiviert und müssen zuerst aktiviert werden, damit sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig mit Herausforderungen oder Blockaden konfrontiert zu sein (z. B. die Veröffentlichung eines AWS S3-Buckets). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum sind deaktivierte Sicherheitsfunktionen so gefährlich?
Das Deaktivieren einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um diese vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert ist, kann sie Ihre Ressourcen nicht schützen.
Angreifer versuchen immer zuerst, Schwachstellen zu finden, die sich leicht ausnutzen lassen, und verwenden dazu unter Umständen sogar ein Skript, um die häufigsten Schwachstellen zu analysieren. Das ist vergleichbar mit einem Dieb, der alle Autos in einer Straße überprüft, um zu sehen, ob eine Tür offen ist, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsmaßnahme inaktiv ist. Aber wenn das passiert, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens führt eine gute Sicherheit, die anschließend deaktiviert wird, zu einem falschen Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor den gängigsten Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die Sicherheitsfunktion von AWS S3 zum Blockieren des öffentlichen Zugriffs. Mit der Sperrung des öffentlichen Zugriffs auf Amazon S3 können Kontoadministratoren und Postfachbesitzer auf einfache Weise zentralisierte Kontrollen einrichten, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die Probleme beim Zugriff auf den S3-Bucket haben, entscheiden sich jedoch dafür, ihn öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn Sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat der Angreifer uneingeschränkten Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung der Informationen führt, sondern auch zusätzliche Kosten aufgrund der Datenübertragungsgebühren verursacht.
Vergleichen wir einige Codes aus der realen Welt; sehen Sie sich diese CloudFormation-Fragmente an:
Verwundbar:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
blockPublicACLS: false
BlockPublicPolicy: false
ignorePublicacls: false
restrictPublicBuckets: false
Konfiguration der Versionskontrolle:
Status: Aktiviert
Verschlüsselung von Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmensspeicher:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
ignorePublicacls: wahr
RestrictPublicBuckets: wahr
Versionskontrollkonfiguration:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselungskonfiguration:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Deaktivierte Sicherheitsfunktionen verhindern
Es ist sowohl eine Frage der Politik als auch der Praxis, zu verhindern, dass deaktivierte Sicherheitsfunktionen Ihrem Unternehmen schaden. Es muss eine strenge Richtlinie geben, die festlegt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, bei denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Nach Abschluss der erforderlichen Arbeiten müssen die Funktionen überprüft werden, um sicherzustellen, dass sie vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion dauerhaft deaktiviert werden muss, um den Betrieb zu beschleunigen, müssen andere Schutzmaßnahmen für die betroffenen Daten bereitgestellt werden, um sicherzustellen, dass Hacker ohne den voreingestellten Schutz nicht auf diese Daten zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer die offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, fordern Sie sich selbst heraus:
Werfen Sie einen Blick auf den Secure Code Warrior Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen anderer Sicherheitslücken und -schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Beitrag gelesen haben? Dann legen Sie los!Testen Sie eine gamifizierte Sicherheitsherausforderung für iMac auf der Secure Code Warrior Plattform Secure Code Warrior Ihre Cybersicherheitskenntnisse auf dem neuesten Stand zu halten.
Dies ist eine wöchentliche Serie, die unsere acht wichtigsten Schwachstellen in der Infrastruktur als Code behandelt. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.