Codierer erobern die Sicherheitsinfrastruktur als eine Reihe von Codes: Sicherheitsfunktionen deaktiviert
Heutzutage sind Bedrohungen für die Cybersicherheit allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto höher sind die Einsätze für Cyberkriminelle: Es gibt zu viel Code zu sichern und private Daten sind zu wertvoll. Nun, es ist fast unmöglich geworden, alle Aspekte der Angriffsfläche nach der Bereitstellung von Programmen zu verfolgen und zu verteidigen.
Bestimmte Ansätze können einige dieser Symptome mildern, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept der Infrastruktur als Code (IaC) übernehmen. Natürlich gibt es wie bei jeder Entwicklung auch hier Sicherheitsrisiken, die es zu überwinden gilt. Und da Entwickler an dem Code arbeiten, der eine für das Hosting von Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann ein Entwickler, der gerade erst in einer Cloud-Server-Umgebung anfängt, seine Fähigkeiten verbessern, die Tricks des Handwerks lernen und sich mit mehr Sicherheitsbewusstsein an die Version herantasten? Wir haben die nächste Serie „Coders Conquer Security” ins Leben gerufen, um gängige Schwachstellen der IaC zu bekämpfen. Die nächsten Blogbeiträge konzentrieren sich auf Maßnahmen, die Sie als Entwickler ergreifen können, um in Ihrem eigenen Unternehmen mit der Bereitstellung einer sicheren Infrastruktur in Form von Code zu beginnen.
Los geht's.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war, dass Banditen sein Grundstück überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr soliden Eingangstür, das Verschließen aller Fenster und das Bereithalten zahlreicher Waffen. Trotzdem wurde er eines Nachts, während er schlief, ausgeraubt, weil er vergessen hatte, die Seitentür abzuschließen. Die Banditen fanden einfach die Sicherheitsvorkehrungen unwirksam und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen Ihrer Infrastruktur zu deaktivieren, ist in etwa so. Selbst wenn Ihr Netzwerk über eine robuste Sicherheitsinfrastruktur verfügt, nützt diese nichts, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich Ihnen eine Herausforderung stellen, bevor wir zum Kern der Sache kommen:
Klicken Sie auf den obigen Link und Sie werden zu unserer gamifizierten Schulungsplattform weitergeleitet, wo Sie sofort versuchen können, eine deaktivierte Sicherheitslücke zu schließen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
Wie hast du das geschafft? Wenn Sie noch Arbeit zu erledigen haben, lesen Sie bitte Folgendes:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Bei bestimmten Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zunächst aktiviert werden, bevor sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig auf die Probe gestellt oder blockiert zu werden (z. B. um ein AWS S3-Compartiment öffentlich zugänglich zu machen). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum deaktivierte Sicherheitsfunktionen so gefährlich sind
Die Deaktivierung einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert wird, kann sie Ihre Ressourcen nicht mehr schützen.
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden vielleicht überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsvorkehrung nicht aktiv ist. Aber wenn dies der Fall ist, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens schafft die Einrichtung einer guten Sicherheit und deren anschließende Deaktivierung ein falsches Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor gängigen Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die AWS S3-Sicherheitsfunktion, die den öffentlichen Zugriff blockiert. Mit dem blockierten öffentlichen Zugriff auf Amazon S3 können Kontoadministratoren und Speicherbereichsbesitzer auf einfache Weise zentralisierte Kontrollen konfigurieren, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die jedoch Probleme beim Zugriff auf das S3-Bucket haben, entscheiden sich dafür, es öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat ein Angreifer vollständigen Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung von Informationen, sondern auch zu zusätzlichen Kosten aufgrund von Datenübertragungsgebühren führt.
Vergleichen Sie den tatsächlichen Code; werfen Sie einen Blick auf diese Auszüge aus CloudFormation:
Vulnérable :
Unternehmens-Seau:
Typ: AWS : :S3 : :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: false
BlockPublicPolicy: false
IgnorepublicACLS: false
RestrictPublicBuckets: false
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
Ignorepublicacls: wahr
RestrictPublicBuckets: wahr
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Verhindern der Deaktivierung von Sicherheitsfunktionen
Das Verhindern von Schäden für Ihr Unternehmen durch deaktivierte Sicherheitsfunktionen ist sowohl eine Frage der Politik als auch der Praxis. Es sollte eine strenge Richtlinie geben, die vorschreibt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Sobald die erforderlichen Arbeiten abgeschlossen sind, muss überprüft werden, ob die Funktionen vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion zur Rationalisierung der Abläufe dauerhaft deaktiviert werden muss, müssen andere Schutzmaßnahmen für die betroffenen Daten vorgesehen werden, um zu verhindern, dass Hacker ohne den standardmäßigen Schutz darauf zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer diese offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, stellen Sie sich Herausforderungen:
Siehe Secure Code Warrior auf den Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen weiterer Sicherheitslücken und Schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Artikel gelesen haben? Es ist an der Zeit,eine gamifizierte Sicherheitsherausforderung zu IaC auf der Secure Code Warrior -Plattformauszuprobieren, Secure Code Warrior all Ihre Cybersicherheitskenntnisse zu perfektionieren und auf den neuesten Stand zu bringen.
Diese wöchentliche Serie behandelt unsere acht wichtigsten Schwachstellen im Zusammenhang mit der Infrastruktur als Code. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Heutzutage sind Bedrohungen für die Cybersicherheit allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto höher sind die Einsätze für Cyberkriminelle: Es gibt zu viel Code zu sichern und private Daten sind zu wertvoll. Nun, es ist fast unmöglich geworden, alle Aspekte der Angriffsfläche nach der Bereitstellung von Programmen zu verfolgen und zu verteidigen.
Bestimmte Ansätze können einige dieser Symptome mildern, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept der Infrastruktur als Code (IaC) übernehmen. Natürlich gibt es wie bei jeder Entwicklung auch hier Sicherheitsrisiken, die es zu überwinden gilt. Und da Entwickler an dem Code arbeiten, der eine für das Hosting von Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann ein Entwickler, der gerade erst in einer Cloud-Server-Umgebung anfängt, seine Fähigkeiten verbessern, die Tricks des Handwerks lernen und sich mit mehr Sicherheitsbewusstsein an die Version herantasten? Wir haben die nächste Serie „Coders Conquer Security” ins Leben gerufen, um gängige Schwachstellen der IaC zu bekämpfen. Die nächsten Blogbeiträge konzentrieren sich auf Maßnahmen, die Sie als Entwickler ergreifen können, um in Ihrem eigenen Unternehmen mit der Bereitstellung einer sicheren Infrastruktur in Form von Code zu beginnen.
Los geht's.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war, dass Banditen sein Grundstück überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr soliden Eingangstür, das Verschließen aller Fenster und das Bereithalten zahlreicher Waffen. Trotzdem wurde er eines Nachts, während er schlief, ausgeraubt, weil er vergessen hatte, die Seitentür abzuschließen. Die Banditen fanden einfach die Sicherheitsvorkehrungen unwirksam und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen Ihrer Infrastruktur zu deaktivieren, ist in etwa so. Selbst wenn Ihr Netzwerk über eine robuste Sicherheitsinfrastruktur verfügt, nützt diese nichts, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich Ihnen eine Herausforderung stellen, bevor wir zum Kern der Sache kommen:
Klicken Sie auf den obigen Link und Sie werden zu unserer gamifizierten Schulungsplattform weitergeleitet, wo Sie sofort versuchen können, eine deaktivierte Sicherheitslücke zu schließen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
Wie hast du das geschafft? Wenn Sie noch Arbeit zu erledigen haben, lesen Sie bitte Folgendes:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Bei bestimmten Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zunächst aktiviert werden, bevor sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig auf die Probe gestellt oder blockiert zu werden (z. B. um ein AWS S3-Compartiment öffentlich zugänglich zu machen). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum deaktivierte Sicherheitsfunktionen so gefährlich sind
Die Deaktivierung einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert wird, kann sie Ihre Ressourcen nicht mehr schützen.
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden vielleicht überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsvorkehrung nicht aktiv ist. Aber wenn dies der Fall ist, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens schafft die Einrichtung einer guten Sicherheit und deren anschließende Deaktivierung ein falsches Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor gängigen Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die AWS S3-Sicherheitsfunktion, die den öffentlichen Zugriff blockiert. Mit dem blockierten öffentlichen Zugriff auf Amazon S3 können Kontoadministratoren und Speicherbereichsbesitzer auf einfache Weise zentralisierte Kontrollen konfigurieren, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die jedoch Probleme beim Zugriff auf das S3-Bucket haben, entscheiden sich dafür, es öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat ein Angreifer vollständigen Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung von Informationen, sondern auch zu zusätzlichen Kosten aufgrund von Datenübertragungsgebühren führt.
Vergleichen Sie den tatsächlichen Code; werfen Sie einen Blick auf diese Auszüge aus CloudFormation:
Vulnérable :
Unternehmens-Seau:
Typ: AWS : :S3 : :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: false
BlockPublicPolicy: false
IgnorepublicACLS: false
RestrictPublicBuckets: false
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
Ignorepublicacls: wahr
RestrictPublicBuckets: wahr
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Verhindern der Deaktivierung von Sicherheitsfunktionen
Das Verhindern von Schäden für Ihr Unternehmen durch deaktivierte Sicherheitsfunktionen ist sowohl eine Frage der Politik als auch der Praxis. Es sollte eine strenge Richtlinie geben, die vorschreibt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Sobald die erforderlichen Arbeiten abgeschlossen sind, muss überprüft werden, ob die Funktionen vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion zur Rationalisierung der Abläufe dauerhaft deaktiviert werden muss, müssen andere Schutzmaßnahmen für die betroffenen Daten vorgesehen werden, um zu verhindern, dass Hacker ohne den standardmäßigen Schutz darauf zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer diese offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, stellen Sie sich Herausforderungen:
Siehe Secure Code Warrior auf den Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen weiterer Sicherheitslücken und Schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Artikel gelesen haben? Es ist an der Zeit,eine gamifizierte Sicherheitsherausforderung zu IaC auf der Secure Code Warrior -Plattformauszuprobieren, Secure Code Warrior all Ihre Cybersicherheitskenntnisse zu perfektionieren und auf den neuesten Stand zu bringen.
Diese wöchentliche Serie behandelt unsere acht wichtigsten Schwachstellen im Zusammenhang mit der Infrastruktur als Code. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Heutzutage sind Bedrohungen für die Cybersicherheit allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto höher sind die Einsätze für Cyberkriminelle: Es gibt zu viel Code zu sichern und private Daten sind zu wertvoll. Nun, es ist fast unmöglich geworden, alle Aspekte der Angriffsfläche nach der Bereitstellung von Programmen zu verfolgen und zu verteidigen.
Bestimmte Ansätze können einige dieser Symptome mildern, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept der Infrastruktur als Code (IaC) übernehmen. Natürlich gibt es wie bei jeder Entwicklung auch hier Sicherheitsrisiken, die es zu überwinden gilt. Und da Entwickler an dem Code arbeiten, der eine für das Hosting von Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann ein Entwickler, der gerade erst in einer Cloud-Server-Umgebung anfängt, seine Fähigkeiten verbessern, die Tricks des Handwerks lernen und sich mit mehr Sicherheitsbewusstsein an die Version herantasten? Wir haben die nächste Serie „Coders Conquer Security” ins Leben gerufen, um gängige Schwachstellen der IaC zu bekämpfen. Die nächsten Blogbeiträge konzentrieren sich auf Maßnahmen, die Sie als Entwickler ergreifen können, um in Ihrem eigenen Unternehmen mit der Bereitstellung einer sicheren Infrastruktur in Form von Code zu beginnen.
Los geht's.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war, dass Banditen sein Grundstück überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr soliden Eingangstür, das Verschließen aller Fenster und das Bereithalten zahlreicher Waffen. Trotzdem wurde er eines Nachts, während er schlief, ausgeraubt, weil er vergessen hatte, die Seitentür abzuschließen. Die Banditen fanden einfach die Sicherheitsvorkehrungen unwirksam und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen Ihrer Infrastruktur zu deaktivieren, ist in etwa so. Selbst wenn Ihr Netzwerk über eine robuste Sicherheitsinfrastruktur verfügt, nützt diese nichts, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich Ihnen eine Herausforderung stellen, bevor wir zum Kern der Sache kommen:
Klicken Sie auf den obigen Link und Sie werden zu unserer gamifizierten Schulungsplattform weitergeleitet, wo Sie sofort versuchen können, eine deaktivierte Sicherheitslücke zu schließen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
Wie hast du das geschafft? Wenn Sie noch Arbeit zu erledigen haben, lesen Sie bitte Folgendes:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Bei bestimmten Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zunächst aktiviert werden, bevor sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig auf die Probe gestellt oder blockiert zu werden (z. B. um ein AWS S3-Compartiment öffentlich zugänglich zu machen). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum deaktivierte Sicherheitsfunktionen so gefährlich sind
Die Deaktivierung einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert wird, kann sie Ihre Ressourcen nicht mehr schützen.
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden vielleicht überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsvorkehrung nicht aktiv ist. Aber wenn dies der Fall ist, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens schafft die Einrichtung einer guten Sicherheit und deren anschließende Deaktivierung ein falsches Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor gängigen Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die AWS S3-Sicherheitsfunktion, die den öffentlichen Zugriff blockiert. Mit dem blockierten öffentlichen Zugriff auf Amazon S3 können Kontoadministratoren und Speicherbereichsbesitzer auf einfache Weise zentralisierte Kontrollen konfigurieren, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die jedoch Probleme beim Zugriff auf das S3-Bucket haben, entscheiden sich dafür, es öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat ein Angreifer vollständigen Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung von Informationen, sondern auch zu zusätzlichen Kosten aufgrund von Datenübertragungsgebühren führt.
Vergleichen Sie den tatsächlichen Code; werfen Sie einen Blick auf diese Auszüge aus CloudFormation:
Vulnérable :
Unternehmens-Seau:
Typ: AWS : :S3 : :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: false
BlockPublicPolicy: false
IgnorepublicACLS: false
RestrictPublicBuckets: false
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
Ignorepublicacls: wahr
RestrictPublicBuckets: wahr
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Verhindern der Deaktivierung von Sicherheitsfunktionen
Das Verhindern von Schäden für Ihr Unternehmen durch deaktivierte Sicherheitsfunktionen ist sowohl eine Frage der Politik als auch der Praxis. Es sollte eine strenge Richtlinie geben, die vorschreibt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Sobald die erforderlichen Arbeiten abgeschlossen sind, muss überprüft werden, ob die Funktionen vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion zur Rationalisierung der Abläufe dauerhaft deaktiviert werden muss, müssen andere Schutzmaßnahmen für die betroffenen Daten vorgesehen werden, um zu verhindern, dass Hacker ohne den standardmäßigen Schutz darauf zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer diese offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, stellen Sie sich Herausforderungen:
Siehe Secure Code Warrior auf den Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen weiterer Sicherheitslücken und Schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Artikel gelesen haben? Es ist an der Zeit,eine gamifizierte Sicherheitsherausforderung zu IaC auf der Secure Code Warrior -Plattformauszuprobieren, Secure Code Warrior all Ihre Cybersicherheitskenntnisse zu perfektionieren und auf den neuesten Stand zu bringen.
Diese wöchentliche Serie behandelt unsere acht wichtigsten Schwachstellen im Zusammenhang mit der Infrastruktur als Code. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Heutzutage sind Bedrohungen für die Cybersicherheit allgegenwärtig und unaufhörlich. Je mehr Facetten unseres Lebens digitalisiert werden, desto höher sind die Einsätze für Cyberkriminelle: Es gibt zu viel Code zu sichern und private Daten sind zu wertvoll. Nun, es ist fast unmöglich geworden, alle Aspekte der Angriffsfläche nach der Bereitstellung von Programmen zu verfolgen und zu verteidigen.
Bestimmte Ansätze können einige dieser Symptome mildern, und einer davon wird deutlich, wenn kluge Unternehmen das Konzept der Infrastruktur als Code (IaC) übernehmen. Natürlich gibt es wie bei jeder Entwicklung auch hier Sicherheitsrisiken, die es zu überwinden gilt. Und da Entwickler an dem Code arbeiten, der eine für das Hosting von Anwendungen unverzichtbare Infrastruktur generiert, ist das Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie kann ein Entwickler, der gerade erst in einer Cloud-Server-Umgebung anfängt, seine Fähigkeiten verbessern, die Tricks des Handwerks lernen und sich mit mehr Sicherheitsbewusstsein an die Version herantasten? Wir haben die nächste Serie „Coders Conquer Security” ins Leben gerufen, um gängige Schwachstellen der IaC zu bekämpfen. Die nächsten Blogbeiträge konzentrieren sich auf Maßnahmen, die Sie als Entwickler ergreifen können, um in Ihrem eigenen Unternehmen mit der Bereitstellung einer sicheren Infrastruktur in Form von Code zu beginnen.
Los geht's.
Es gibt eine Fabel aus dem amerikanischen Wilden Westen über einen Mann, der paranoid war, dass Banditen sein Grundstück überfallen und ausrauben würden. Um dem entgegenzuwirken, investierte er in alle möglichen Sicherheitsmaßnahmen, wie zum Beispiel den Einbau einer sehr soliden Eingangstür, das Verschließen aller Fenster und das Bereithalten zahlreicher Waffen. Trotzdem wurde er eines Nachts, während er schlief, ausgeraubt, weil er vergessen hatte, die Seitentür abzuschließen. Die Banditen fanden einfach die Sicherheitsvorkehrungen unwirksam und nutzten die Situation schnell aus.
Die Sicherheitsfunktionen Ihrer Infrastruktur zu deaktivieren, ist in etwa so. Selbst wenn Ihr Netzwerk über eine robuste Sicherheitsinfrastruktur verfügt, nützt diese nichts, wenn bestimmte Elemente deaktiviert wurden.
Lassen Sie mich Ihnen eine Herausforderung stellen, bevor wir zum Kern der Sache kommen:
Klicken Sie auf den obigen Link und Sie werden zu unserer gamifizierten Schulungsplattform weitergeleitet, wo Sie sofort versuchen können, eine deaktivierte Sicherheitslücke zu schließen. (Achtung: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, CloudFormation, Terraform und Ansible wählen).
Wie hast du das geschafft? Wenn Sie noch Arbeit zu erledigen haben, lesen Sie bitte Folgendes:
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. Bei bestimmten Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zunächst aktiviert werden, bevor sie funktionieren. Es ist auch möglich, dass Administratoren bestimmte Sicherheitsfunktionen deaktiviert haben, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig auf die Probe gestellt oder blockiert zu werden (z. B. um ein AWS S3-Compartiment öffentlich zugänglich zu machen). Nach Abschluss ihrer Arbeit vergessen sie möglicherweise, die deaktivierten Funktionen wieder zu aktivieren. Möglicherweise ziehen sie es auch vor, sie deaktiviert zu lassen, um ihre Arbeit in Zukunft zu erleichtern.
Warum deaktivierte Sicherheitsfunktionen so gefährlich sind
Die Deaktivierung einer oder mehrerer Sicherheitsfunktionen ist aus mehreren Gründen nicht empfehlenswert. Zum einen wurde die Sicherheitsfunktion in die Infrastrukturressourcen integriert, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn sie deaktiviert wird, kann sie Ihre Ressourcen nicht mehr schützen.
Angreifer werden immer zuerst versuchen, leicht ausnutzbare Schwachstellen zu finden, und können sogar ein Skript verwenden, um gängige Schwachstellen zu beheben. Das ist in etwa so, als würde ein Dieb alle Autos in einer Straße überprüfen, um zu sehen, ob die Türen unverschlossen sind, was viel einfacher ist, als eine Scheibe einzuschlagen. Hacker werden vielleicht überrascht sein, wenn sie feststellen, dass eine gängige Sicherheitsvorkehrung nicht aktiv ist. Aber wenn dies der Fall ist, werden sie nicht lange brauchen, um sie auszunutzen.
Zweitens schafft die Einrichtung einer guten Sicherheit und deren anschließende Deaktivierung ein falsches Gefühl der Sicherheit. Administratoren könnten glauben, dass sie vor gängigen Bedrohungen geschützt sind, wenn sie nicht wissen, dass jemand diese Schutzmaßnahmen deaktiviert hat.
Als Beispiel dafür, wie ein Angreifer eine deaktivierte Sicherheitsfunktion ausnutzen könnte, betrachten Sie die AWS S3-Sicherheitsfunktion, die den öffentlichen Zugriff blockiert. Mit dem blockierten öffentlichen Zugriff auf Amazon S3 können Kontoadministratoren und Speicherbereichsbesitzer auf einfache Weise zentralisierte Kontrollen konfigurieren, um den öffentlichen Zugriff auf ihre Amazon S3-Ressourcen zu beschränken. Einige Administratoren, die jedoch Probleme beim Zugriff auf das S3-Bucket haben, entscheiden sich dafür, es öffentlich zugänglich zu machen, um die Aufgabe so schnell wie möglich zu erledigen. Wenn sie vergessen, diese Sicherheitsfunktion zu aktivieren, hat ein Angreifer vollständigen Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zur Offenlegung von Informationen, sondern auch zu zusätzlichen Kosten aufgrund von Datenübertragungsgebühren führt.
Vergleichen Sie den tatsächlichen Code; werfen Sie einen Blick auf diese Auszüge aus CloudFormation:
Vulnérable :
Unternehmens-Seau:
Typ: AWS : :S3 : :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: false
BlockPublicPolicy: false
IgnorepublicACLS: false
RestrictPublicBuckets: false
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Sicher:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Konfiguration des öffentlichen Zugriffsblocks:
BlockPublicACLS: wahr
BlockPublicPolicy: wahr
Ignorepublicacls: wahr
RestrictPublicBuckets: wahr
Konfiguration der Versionierung:
Status: Aktiviert
Verschlüsselung des Buckets:
Konfiguration der serverseitigen Verschlüsselung:
- Standardmäßige serverseitige Verschlüsselung:
SSE-Algorithmus: „AES256”
Verhindern der Deaktivierung von Sicherheitsfunktionen
Das Verhindern von Schäden für Ihr Unternehmen durch deaktivierte Sicherheitsfunktionen ist sowohl eine Frage der Politik als auch der Praxis. Es sollte eine strenge Richtlinie geben, die vorschreibt, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Vorfälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um ein Problem zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Sobald die erforderlichen Arbeiten abgeschlossen sind, muss überprüft werden, ob die Funktionen vollständig wieder aktiviert wurden.
Wenn eine Sicherheitsfunktion zur Rationalisierung der Abläufe dauerhaft deaktiviert werden muss, müssen andere Schutzmaßnahmen für die betroffenen Daten vorgesehen werden, um zu verhindern, dass Hacker ohne den standardmäßigen Schutz darauf zugreifen können. Wenn eine erforderliche Schutzfunktion deaktiviert wurde, ist es nur eine Frage der Zeit, bis ein Angreifer diese offene Tür findet und die Situation ausnutzt.
Erfahren Sie mehr, stellen Sie sich Herausforderungen:
Siehe Secure Code Warrior auf den Blog-Seiten, um mehr über diese Sicherheitslücke zu erfahren und zu erfahren, wie Sie Ihr Unternehmen und Ihre Kunden vor den Folgen weiterer Sicherheitslücken und Schwachstellen schützen können.
Sind Sie bereit, diese Schwachstelle zu finden und zu beheben, nachdem Sie den Artikel gelesen haben? Es ist an der Zeit,eine gamifizierte Sicherheitsherausforderung zu IaC auf der Secure Code Warrior -Plattformauszuprobieren, Secure Code Warrior all Ihre Cybersicherheitskenntnisse zu perfektionieren und auf den neuesten Stand zu bringen.
Diese wöchentliche Serie behandelt unsere acht wichtigsten Schwachstellen im Zusammenhang mit der Infrastruktur als Code. Schauen Sie nächste Woche wieder vorbei, um mehr zu erfahren!
Inhaltsverzeichnis
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
Die Leistungsfähigkeit von OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.