Coder-Serie: Mit Code-Serien die Sicherheitsinfrastruktur meistern: Sicherheitsfunktionen für Menschen mit Behinderungen
Die Bedrohungen für die Cybersicherheit sind heute allgegenwärtig und unaufhörlich. Je mehr Bereiche unseres Lebens digitalisiert werden, desto größer wird auch die Gefahr durch Cyberkriminelle. Es gibt zu viele Codes, die geschützt werden müssen, und personenbezogene Daten sind zu wertvoll. Außerdem ist es fast unmöglich geworden, nach der Bereitstellung eines Programms alle Aspekte der Angriffsfläche zu erfassen und abzuwehren.
Es gibt Möglichkeiten, einige dieser Symptome zu lindern. Eine davon wird deutlich, wenn kluge Unternehmen das Konzept „Infrastructure as Code“ (IaC) übernehmen. Natürlich gibt es wie in anderen Entwicklungsbereichen auch einige Sicherheitsprobleme, die es zu überwinden gilt. Da Entwickler Code erstellen, der die erforderliche Infrastruktur für das Hosting von Anwendungen generiert, ist Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie genau sollten Entwickler, die zum ersten Mal mit einer Cloud-Server-Umgebung arbeiten, vorgehen, um sich die erforderlichen Kenntnisse und Fertigkeiten anzueignen, ihr Sicherheitsbewusstsein zu stärken und sich mit dem Build vertraut zu machen? Um die typischen Schwachstellen von IaC zu beheben, haben wir die nächste Coders Conquer Security-Reihe erstellt.In den nächsten Blogbeiträgen werden wir uns auf die Schritte konzentrieren, die Entwickler unternehmen können, um mit der Bereitstellung einer Sicherheitsinfrastruktur in Form von Code in ihrem Unternehmen zu beginnen .
Sollen wir anfangen?
Es gibt eine Fabel über einen Mann aus dem amerikanischen Wilden Westen. Es handelt sich um einen Mann, der unter Wahnvorstellungen litt, dass Banditen Bauernhöfe überfallen und ausrauben würden. Um dem entgegenzuwirken, installierte er eine sehr stabile Eingangstür, schloss alle Fenster und investierte in alle möglichen Sicherheitsvorkehrungen, wie zum Beispiel die Aufbewahrung vieler Gewehre in Reichweite. Eines Nachts vergaß er jedoch, die Seitentür abzuschließen, und wurde im Schlaf dennoch ausgeraubt. Die Räuber fanden einfach den behinderten Wachmann und nutzten die Situation schnell aus.
Das Deaktivieren von Sicherheitsfunktionen in der Infrastruktur ist vergleichbar. Selbst wenn ein Netzwerk über eine starke Sicherheitsinfrastruktur verfügt, nützt dies wenig, wenn die Komponenten deaktiviert sind.
Bevor wir richtig loslegen, werde ich eine Herausforderung versuchen.
Wenn Sie den obigen Link besuchen, gelangen Sie zu einer spielbasierten Bildungsplattform. Hier können Sie deaktivierte Sicherheitsfunktionen sofort beheben. (Hinweis: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, Cloudformation, Terraform und Ansible wählen.)
Wie geht es Ihnen? Wenn Sie noch etwas zu erledigen haben, lesen Sie bitte die folgenden Informationen.
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. In einigen Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zuerst aktiviert werden, bevor sie funktionieren. Außerdem kann es sein, dass der Administrator bestimmte Sicherheitsfunktionen deaktiviert hat, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig Herausforderungen oder Blockierungen zu erleben (z. B. AWS S3-Buckets auf öffentlich gesetzt). Nach Abschluss der Aufgabe kann es vorkommen, dass man vergisst, die deaktivierten Funktionen wieder zu aktivieren. Außerdem kann es sein, dass man es vorzieht, die Funktionen deaktiviert zu lassen, um später leichter arbeiten zu können.
Warum deaktivierte Sicherheitsfunktionen gefährlich sind
Es ist aus mehreren Gründen nicht empfehlenswert, eine oder mehrere Sicherheitsfunktionen zu deaktivieren. Einer davon ist, dass diese Sicherheitsfunktionen der Infrastruktur hinzugefügt wurden, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn Sie diese Funktionen deaktivieren, können Sie Ihre Ressourcen nicht mehr schützen.
Angreifer versuchen immer zuerst, leicht auszunutzende Schwachstellen zu finden, und können mithilfe von Skripten allgemeine Schwachstellen aufspüren. Das ist nicht anders, als wenn ein Dieb alle Autos auf der Straße durchsucht, um zu sehen, ob die Türen offen sind. Das ist viel einfacher, als Fenster einzuschlagen. Hacker sind vielleicht überrascht, dass allgemeine Sicherheitsvorkehrungen deaktiviert sind. Aber wenn dies geschieht, wird es nicht lange dauern, bis Hacker dies ausnutzen.
Zweitens führt die Deaktivierung gut eingerichteter Sicherheitsmaßnahmen zu einer falschen Sicherheitswahrnehmung. Wenn Administratoren nicht wissen, dass jemand diese Abwehrmechanismen außer Kraft gesetzt hat, könnten sie glauben, dass sie vor allgemeinen Bedrohungen geschützt sind.
Als Beispiel dafür, wie Angreifer deaktivierte Sicherheitsfunktionen ausnutzen können, betrachten wir die AWS S3-Sicherheitsfunktion „Blockieren des öffentlichen Zugriffs”. Mit Amazon S3 Block Public Access können Kontoverwalter und Bucket-Besitzer auf einfache Weise eine zentrale Kontrolle einrichten, um den öffentlichen Zugriff auf Amazon S3-Ressourcen zu beschränken.Einige Administratoren, bei denen beim Zugriff auf S3-Buckets Probleme auftreten, entscheiden sich jedoch dafür, den Bucket öffentlich zugänglich zu machen, um ihre Arbeit so schnell wie möglich zu erledigen. Wenn sie vergessen, die Sicherheitsfunktion zu aktivieren, erhalten Angreifer uneingeschränkten Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zu einem Datenleck führt, sondern auch zusätzliche Kosten für die Datenübertragung verursacht.
Vergleichen wir den tatsächlichen Code. Sehen Sie sich den folgenden CloudFormation-Ausschnitt an.
취약:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Öffentliche Zugriffssperre konfigurieren:
Öffentliche ACL sperren: false
Öffentliche Richtlinie sperren: false
Öffentliche ACL ignorieren: false
Öffentliche Bucket-Einschränkung: false
Versionskontrolle konfigurieren:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselung konfigurieren:
- Standardmäßig serverseitige Verschlüsselung:
SSE-Algorithmus: „AES 256"
Sicherheit:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Öffentliche Zugriffssperre konfigurieren:
Öffentliche ACL sperren: Ja
Öffentliche Richtlinie sperren: Ja
Öffentliche ACL ignorieren: Ja
Öffentliche Bucket-Einschränkung: Ja
Versionskontrolle konfigurieren:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselung konfigurieren:
- Serverseitige Verschlüsselung standardmäßig:
SSE-Algorithmus: „AES 256"
Verhindern von deaktivierten Sicherheitsfunktionen
Es ist ebenso eine Frage der Praxis wie der Richtlinien, dass deaktivierte Sicherheitsfunktionen keine negativen Auswirkungen auf die Organisation haben. Es muss eine klare Richtlinie geben, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Fälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um Probleme zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Nach Abschluss der erforderlichen Arbeiten muss sichergestellt werden, dass die Funktionen wieder vollständig aktiviert sind.
Um den Betrieb zu vereinfachen, müssen Sie die Sicherheitsfunktionen dauerhaft deaktivieren. Wenn keine grundlegenden Schutzfunktionen vorhanden sind, müssen Sie die betroffenen Daten mit anderen Schutzfunktionen versehen, damit Hacker nicht auf diese Daten zugreifen können. Wenn die erforderlichen Schutzfunktionen deaktiviert sind, ist es nur eine Frage der Zeit, bis Angreifer eine ungeschützte Tür finden und die Situation ausnutzen.
Informieren Sie sich genauer und stellen Sie sich der Herausforderung.
Überprüfen Sie dies . Secure Code Warrior Weitere Informationen zu dieser Schwachstelle und dazu, wie Sie Ihr Unternehmen und Ihre Kunden vor Schäden durch andere Sicherheitslücken und Schwachstellen schützen können, finden Sie auf unserer Blog-Seite.
Haben Sie den Beitrag gelesen und sind Sie bereit, diese Schwachstelle zu finden und zu beheben? Dann ist es jetzt an der Zeit, es zu versuchen.Probieren Sie die spielerische Sicherheitsherausforderung von iAC aus. Verbessern Sie alle Ihre Cybersicherheitskenntnisse Secure Code Warrior und halten Sie sich auf dem neuesten Stand.
Diese Serie ist eine wöchentliche Serie, die sich mit den acht wichtigsten Schwachstellen von Infrastructure as Code befasst. Weitere Informationen finden Sie nächste Woche!
Angreifer versuchen immer zuerst, leicht auszunutzende Schwachstellen zu finden, und können mithilfe von Skripten allgemeine Schwachstellen aufspüren. Das ist nicht anders, als wenn ein Dieb alle Autos auf der Straße durchsucht, um zu sehen, ob die Türen offen sind. Das ist viel einfacher, als Fenster einzuschlagen.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Die Bedrohungen für die Cybersicherheit sind heute allgegenwärtig und unaufhörlich. Je mehr Bereiche unseres Lebens digitalisiert werden, desto größer wird auch die Gefahr durch Cyberkriminelle. Es gibt zu viele Codes, die geschützt werden müssen, und personenbezogene Daten sind zu wertvoll. Außerdem ist es fast unmöglich geworden, nach der Bereitstellung eines Programms alle Aspekte der Angriffsfläche zu erfassen und abzuwehren.
Es gibt Möglichkeiten, einige dieser Symptome zu lindern. Eine davon wird deutlich, wenn kluge Unternehmen das Konzept „Infrastructure as Code“ (IaC) übernehmen. Natürlich gibt es wie in anderen Entwicklungsbereichen auch einige Sicherheitsprobleme, die es zu überwinden gilt. Da Entwickler Code erstellen, der die erforderliche Infrastruktur für das Hosting von Anwendungen generiert, ist Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie genau sollten Entwickler, die zum ersten Mal mit einer Cloud-Server-Umgebung arbeiten, vorgehen, um sich die erforderlichen Kenntnisse und Fertigkeiten anzueignen, ihr Sicherheitsbewusstsein zu stärken und sich mit dem Build vertraut zu machen? Um die typischen Schwachstellen von IaC zu beheben, haben wir die nächste Coders Conquer Security-Reihe erstellt.In den nächsten Blogbeiträgen werden wir uns auf die Schritte konzentrieren, die Entwickler unternehmen können, um mit der Bereitstellung einer Sicherheitsinfrastruktur in Form von Code in ihrem Unternehmen zu beginnen .
Sollen wir anfangen?
Es gibt eine Fabel über einen Mann aus dem amerikanischen Wilden Westen. Es handelt sich um einen Mann, der unter Wahnvorstellungen litt, dass Banditen Bauernhöfe überfallen und ausrauben würden. Um dem entgegenzuwirken, installierte er eine sehr stabile Eingangstür, schloss alle Fenster und investierte in alle möglichen Sicherheitsvorkehrungen, wie zum Beispiel die Aufbewahrung vieler Gewehre in Reichweite. Eines Nachts vergaß er jedoch, die Seitentür abzuschließen, und wurde im Schlaf dennoch ausgeraubt. Die Räuber fanden einfach den behinderten Wachmann und nutzten die Situation schnell aus.
Das Deaktivieren von Sicherheitsfunktionen in der Infrastruktur ist vergleichbar. Selbst wenn ein Netzwerk über eine starke Sicherheitsinfrastruktur verfügt, nützt dies wenig, wenn die Komponenten deaktiviert sind.
Bevor wir richtig loslegen, werde ich eine Herausforderung versuchen.
Wenn Sie den obigen Link besuchen, gelangen Sie zu einer spielbasierten Bildungsplattform. Hier können Sie deaktivierte Sicherheitsfunktionen sofort beheben. (Hinweis: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, Cloudformation, Terraform und Ansible wählen.)
Wie geht es Ihnen? Wenn Sie noch etwas zu erledigen haben, lesen Sie bitte die folgenden Informationen.
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. In einigen Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zuerst aktiviert werden, bevor sie funktionieren. Außerdem kann es sein, dass der Administrator bestimmte Sicherheitsfunktionen deaktiviert hat, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig Herausforderungen oder Blockierungen zu erleben (z. B. AWS S3-Buckets auf öffentlich gesetzt). Nach Abschluss der Aufgabe kann es vorkommen, dass man vergisst, die deaktivierten Funktionen wieder zu aktivieren. Außerdem kann es sein, dass man es vorzieht, die Funktionen deaktiviert zu lassen, um später leichter arbeiten zu können.
Warum deaktivierte Sicherheitsfunktionen gefährlich sind
Es ist aus mehreren Gründen nicht empfehlenswert, eine oder mehrere Sicherheitsfunktionen zu deaktivieren. Einer davon ist, dass diese Sicherheitsfunktionen der Infrastruktur hinzugefügt wurden, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn Sie diese Funktionen deaktivieren, können Sie Ihre Ressourcen nicht mehr schützen.
Angreifer versuchen immer zuerst, leicht auszunutzende Schwachstellen zu finden, und können mithilfe von Skripten allgemeine Schwachstellen aufspüren. Das ist nicht anders, als wenn ein Dieb alle Autos auf der Straße durchsucht, um zu sehen, ob die Türen offen sind. Das ist viel einfacher, als Fenster einzuschlagen. Hacker sind vielleicht überrascht, dass allgemeine Sicherheitsvorkehrungen deaktiviert sind. Aber wenn dies geschieht, wird es nicht lange dauern, bis Hacker dies ausnutzen.
Zweitens führt die Deaktivierung gut eingerichteter Sicherheitsmaßnahmen zu einer falschen Sicherheitswahrnehmung. Wenn Administratoren nicht wissen, dass jemand diese Abwehrmechanismen außer Kraft gesetzt hat, könnten sie glauben, dass sie vor allgemeinen Bedrohungen geschützt sind.
Als Beispiel dafür, wie Angreifer deaktivierte Sicherheitsfunktionen ausnutzen können, betrachten wir die AWS S3-Sicherheitsfunktion „Blockieren des öffentlichen Zugriffs”. Mit Amazon S3 Block Public Access können Kontoverwalter und Bucket-Besitzer auf einfache Weise eine zentrale Kontrolle einrichten, um den öffentlichen Zugriff auf Amazon S3-Ressourcen zu beschränken.Einige Administratoren, bei denen beim Zugriff auf S3-Buckets Probleme auftreten, entscheiden sich jedoch dafür, den Bucket öffentlich zugänglich zu machen, um ihre Arbeit so schnell wie möglich zu erledigen. Wenn sie vergessen, die Sicherheitsfunktion zu aktivieren, erhalten Angreifer uneingeschränkten Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zu einem Datenleck führt, sondern auch zusätzliche Kosten für die Datenübertragung verursacht.
Vergleichen wir den tatsächlichen Code. Sehen Sie sich den folgenden CloudFormation-Ausschnitt an.
취약:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Öffentliche Zugriffssperre konfigurieren:
Öffentliche ACL sperren: false
Öffentliche Richtlinie sperren: false
Öffentliche ACL ignorieren: false
Öffentliche Bucket-Einschränkung: false
Versionskontrolle konfigurieren:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselung konfigurieren:
- Standardmäßig serverseitige Verschlüsselung:
SSE-Algorithmus: „AES 256"
Sicherheit:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Öffentliche Zugriffssperre konfigurieren:
Öffentliche ACL sperren: Ja
Öffentliche Richtlinie sperren: Ja
Öffentliche ACL ignorieren: Ja
Öffentliche Bucket-Einschränkung: Ja
Versionskontrolle konfigurieren:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselung konfigurieren:
- Serverseitige Verschlüsselung standardmäßig:
SSE-Algorithmus: „AES 256"
Verhindern von deaktivierten Sicherheitsfunktionen
Es ist ebenso eine Frage der Praxis wie der Richtlinien, dass deaktivierte Sicherheitsfunktionen keine negativen Auswirkungen auf die Organisation haben. Es muss eine klare Richtlinie geben, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Fälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um Probleme zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Nach Abschluss der erforderlichen Arbeiten muss sichergestellt werden, dass die Funktionen wieder vollständig aktiviert sind.
Um den Betrieb zu vereinfachen, müssen Sie die Sicherheitsfunktionen dauerhaft deaktivieren. Wenn keine grundlegenden Schutzfunktionen vorhanden sind, müssen Sie die betroffenen Daten mit anderen Schutzfunktionen versehen, damit Hacker nicht auf diese Daten zugreifen können. Wenn die erforderlichen Schutzfunktionen deaktiviert sind, ist es nur eine Frage der Zeit, bis Angreifer eine ungeschützte Tür finden und die Situation ausnutzen.
Informieren Sie sich genauer und stellen Sie sich der Herausforderung.
Überprüfen Sie dies . Secure Code Warrior Weitere Informationen zu dieser Schwachstelle und dazu, wie Sie Ihr Unternehmen und Ihre Kunden vor Schäden durch andere Sicherheitslücken und Schwachstellen schützen können, finden Sie auf unserer Blog-Seite.
Haben Sie den Beitrag gelesen und sind Sie bereit, diese Schwachstelle zu finden und zu beheben? Dann ist es jetzt an der Zeit, es zu versuchen.Probieren Sie die spielerische Sicherheitsherausforderung von iAC aus. Verbessern Sie alle Ihre Cybersicherheitskenntnisse Secure Code Warrior und halten Sie sich auf dem neuesten Stand.
Diese Serie ist eine wöchentliche Serie, die sich mit den acht wichtigsten Schwachstellen von Infrastructure as Code befasst. Weitere Informationen finden Sie nächste Woche!
Die Bedrohungen für die Cybersicherheit sind heute allgegenwärtig und unaufhörlich. Je mehr Bereiche unseres Lebens digitalisiert werden, desto größer wird auch die Gefahr durch Cyberkriminelle. Es gibt zu viele Codes, die geschützt werden müssen, und personenbezogene Daten sind zu wertvoll. Außerdem ist es fast unmöglich geworden, nach der Bereitstellung eines Programms alle Aspekte der Angriffsfläche zu erfassen und abzuwehren.
Es gibt Möglichkeiten, einige dieser Symptome zu lindern. Eine davon wird deutlich, wenn kluge Unternehmen das Konzept „Infrastructure as Code“ (IaC) übernehmen. Natürlich gibt es wie in anderen Entwicklungsbereichen auch einige Sicherheitsprobleme, die es zu überwinden gilt. Da Entwickler Code erstellen, der die erforderliche Infrastruktur für das Hosting von Anwendungen generiert, ist Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie genau sollten Entwickler, die zum ersten Mal mit einer Cloud-Server-Umgebung arbeiten, vorgehen, um sich die erforderlichen Kenntnisse und Fertigkeiten anzueignen, ihr Sicherheitsbewusstsein zu stärken und sich mit dem Build vertraut zu machen? Um die typischen Schwachstellen von IaC zu beheben, haben wir die nächste Coders Conquer Security-Reihe erstellt.In den nächsten Blogbeiträgen werden wir uns auf die Schritte konzentrieren, die Entwickler unternehmen können, um mit der Bereitstellung einer Sicherheitsinfrastruktur in Form von Code in ihrem Unternehmen zu beginnen .
Sollen wir anfangen?
Es gibt eine Fabel über einen Mann aus dem amerikanischen Wilden Westen. Es handelt sich um einen Mann, der unter Wahnvorstellungen litt, dass Banditen Bauernhöfe überfallen und ausrauben würden. Um dem entgegenzuwirken, installierte er eine sehr stabile Eingangstür, schloss alle Fenster und investierte in alle möglichen Sicherheitsvorkehrungen, wie zum Beispiel die Aufbewahrung vieler Gewehre in Reichweite. Eines Nachts vergaß er jedoch, die Seitentür abzuschließen, und wurde im Schlaf dennoch ausgeraubt. Die Räuber fanden einfach den behinderten Wachmann und nutzten die Situation schnell aus.
Das Deaktivieren von Sicherheitsfunktionen in der Infrastruktur ist vergleichbar. Selbst wenn ein Netzwerk über eine starke Sicherheitsinfrastruktur verfügt, nützt dies wenig, wenn die Komponenten deaktiviert sind.
Bevor wir richtig loslegen, werde ich eine Herausforderung versuchen.
Wenn Sie den obigen Link besuchen, gelangen Sie zu einer spielbasierten Bildungsplattform. Hier können Sie deaktivierte Sicherheitsfunktionen sofort beheben. (Hinweis: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, Cloudformation, Terraform und Ansible wählen.)
Wie geht es Ihnen? Wenn Sie noch etwas zu erledigen haben, lesen Sie bitte die folgenden Informationen.
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. In einigen Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zuerst aktiviert werden, bevor sie funktionieren. Außerdem kann es sein, dass der Administrator bestimmte Sicherheitsfunktionen deaktiviert hat, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig Herausforderungen oder Blockierungen zu erleben (z. B. AWS S3-Buckets auf öffentlich gesetzt). Nach Abschluss der Aufgabe kann es vorkommen, dass man vergisst, die deaktivierten Funktionen wieder zu aktivieren. Außerdem kann es sein, dass man es vorzieht, die Funktionen deaktiviert zu lassen, um später leichter arbeiten zu können.
Warum deaktivierte Sicherheitsfunktionen gefährlich sind
Es ist aus mehreren Gründen nicht empfehlenswert, eine oder mehrere Sicherheitsfunktionen zu deaktivieren. Einer davon ist, dass diese Sicherheitsfunktionen der Infrastruktur hinzugefügt wurden, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn Sie diese Funktionen deaktivieren, können Sie Ihre Ressourcen nicht mehr schützen.
Angreifer versuchen immer zuerst, leicht auszunutzende Schwachstellen zu finden, und können mithilfe von Skripten allgemeine Schwachstellen aufspüren. Das ist nicht anders, als wenn ein Dieb alle Autos auf der Straße durchsucht, um zu sehen, ob die Türen offen sind. Das ist viel einfacher, als Fenster einzuschlagen. Hacker sind vielleicht überrascht, dass allgemeine Sicherheitsvorkehrungen deaktiviert sind. Aber wenn dies geschieht, wird es nicht lange dauern, bis Hacker dies ausnutzen.
Zweitens führt die Deaktivierung gut eingerichteter Sicherheitsmaßnahmen zu einer falschen Sicherheitswahrnehmung. Wenn Administratoren nicht wissen, dass jemand diese Abwehrmechanismen außer Kraft gesetzt hat, könnten sie glauben, dass sie vor allgemeinen Bedrohungen geschützt sind.
Als Beispiel dafür, wie Angreifer deaktivierte Sicherheitsfunktionen ausnutzen können, betrachten wir die AWS S3-Sicherheitsfunktion „Blockieren des öffentlichen Zugriffs”. Mit Amazon S3 Block Public Access können Kontoverwalter und Bucket-Besitzer auf einfache Weise eine zentrale Kontrolle einrichten, um den öffentlichen Zugriff auf Amazon S3-Ressourcen zu beschränken.Einige Administratoren, bei denen beim Zugriff auf S3-Buckets Probleme auftreten, entscheiden sich jedoch dafür, den Bucket öffentlich zugänglich zu machen, um ihre Arbeit so schnell wie möglich zu erledigen. Wenn sie vergessen, die Sicherheitsfunktion zu aktivieren, erhalten Angreifer uneingeschränkten Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zu einem Datenleck führt, sondern auch zusätzliche Kosten für die Datenübertragung verursacht.
Vergleichen wir den tatsächlichen Code. Sehen Sie sich den folgenden CloudFormation-Ausschnitt an.
취약:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Öffentliche Zugriffssperre konfigurieren:
Öffentliche ACL sperren: false
Öffentliche Richtlinie sperren: false
Öffentliche ACL ignorieren: false
Öffentliche Bucket-Einschränkung: false
Versionskontrolle konfigurieren:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselung konfigurieren:
- Standardmäßig serverseitige Verschlüsselung:
SSE-Algorithmus: „AES 256"
Sicherheit:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Öffentliche Zugriffssperre konfigurieren:
Öffentliche ACL sperren: Ja
Öffentliche Richtlinie sperren: Ja
Öffentliche ACL ignorieren: Ja
Öffentliche Bucket-Einschränkung: Ja
Versionskontrolle konfigurieren:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselung konfigurieren:
- Serverseitige Verschlüsselung standardmäßig:
SSE-Algorithmus: „AES 256"
Verhindern von deaktivierten Sicherheitsfunktionen
Es ist ebenso eine Frage der Praxis wie der Richtlinien, dass deaktivierte Sicherheitsfunktionen keine negativen Auswirkungen auf die Organisation haben. Es muss eine klare Richtlinie geben, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Fälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um Probleme zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Nach Abschluss der erforderlichen Arbeiten muss sichergestellt werden, dass die Funktionen wieder vollständig aktiviert sind.
Um den Betrieb zu vereinfachen, müssen Sie die Sicherheitsfunktionen dauerhaft deaktivieren. Wenn keine grundlegenden Schutzfunktionen vorhanden sind, müssen Sie die betroffenen Daten mit anderen Schutzfunktionen versehen, damit Hacker nicht auf diese Daten zugreifen können. Wenn die erforderlichen Schutzfunktionen deaktiviert sind, ist es nur eine Frage der Zeit, bis Angreifer eine ungeschützte Tür finden und die Situation ausnutzen.
Informieren Sie sich genauer und stellen Sie sich der Herausforderung.
Überprüfen Sie dies . Secure Code Warrior Weitere Informationen zu dieser Schwachstelle und dazu, wie Sie Ihr Unternehmen und Ihre Kunden vor Schäden durch andere Sicherheitslücken und Schwachstellen schützen können, finden Sie auf unserer Blog-Seite.
Haben Sie den Beitrag gelesen und sind Sie bereit, diese Schwachstelle zu finden und zu beheben? Dann ist es jetzt an der Zeit, es zu versuchen.Probieren Sie die spielerische Sicherheitsherausforderung von iAC aus. Verbessern Sie alle Ihre Cybersicherheitskenntnisse Secure Code Warrior und halten Sie sich auf dem neuesten Stand.
Diese Serie ist eine wöchentliche Serie, die sich mit den acht wichtigsten Schwachstellen von Infrastructure as Code befasst. Weitere Informationen finden Sie nächste Woche!
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Die Bedrohungen für die Cybersicherheit sind heute allgegenwärtig und unaufhörlich. Je mehr Bereiche unseres Lebens digitalisiert werden, desto größer wird auch die Gefahr durch Cyberkriminelle. Es gibt zu viele Codes, die geschützt werden müssen, und personenbezogene Daten sind zu wertvoll. Außerdem ist es fast unmöglich geworden, nach der Bereitstellung eines Programms alle Aspekte der Angriffsfläche zu erfassen und abzuwehren.
Es gibt Möglichkeiten, einige dieser Symptome zu lindern. Eine davon wird deutlich, wenn kluge Unternehmen das Konzept „Infrastructure as Code“ (IaC) übernehmen. Natürlich gibt es wie in anderen Entwicklungsbereichen auch einige Sicherheitsprobleme, die es zu überwinden gilt. Da Entwickler Code erstellen, der die erforderliche Infrastruktur für das Hosting von Anwendungen generiert, ist Sicherheitsbewusstsein in jeder Phase des Prozesses von entscheidender Bedeutung.
Wie genau sollten Entwickler, die zum ersten Mal mit einer Cloud-Server-Umgebung arbeiten, vorgehen, um sich die erforderlichen Kenntnisse und Fertigkeiten anzueignen, ihr Sicherheitsbewusstsein zu stärken und sich mit dem Build vertraut zu machen? Um die typischen Schwachstellen von IaC zu beheben, haben wir die nächste Coders Conquer Security-Reihe erstellt.In den nächsten Blogbeiträgen werden wir uns auf die Schritte konzentrieren, die Entwickler unternehmen können, um mit der Bereitstellung einer Sicherheitsinfrastruktur in Form von Code in ihrem Unternehmen zu beginnen .
Sollen wir anfangen?
Es gibt eine Fabel über einen Mann aus dem amerikanischen Wilden Westen. Es handelt sich um einen Mann, der unter Wahnvorstellungen litt, dass Banditen Bauernhöfe überfallen und ausrauben würden. Um dem entgegenzuwirken, installierte er eine sehr stabile Eingangstür, schloss alle Fenster und investierte in alle möglichen Sicherheitsvorkehrungen, wie zum Beispiel die Aufbewahrung vieler Gewehre in Reichweite. Eines Nachts vergaß er jedoch, die Seitentür abzuschließen, und wurde im Schlaf dennoch ausgeraubt. Die Räuber fanden einfach den behinderten Wachmann und nutzten die Situation schnell aus.
Das Deaktivieren von Sicherheitsfunktionen in der Infrastruktur ist vergleichbar. Selbst wenn ein Netzwerk über eine starke Sicherheitsinfrastruktur verfügt, nützt dies wenig, wenn die Komponenten deaktiviert sind.
Bevor wir richtig loslegen, werde ich eine Herausforderung versuchen.
Wenn Sie den obigen Link besuchen, gelangen Sie zu einer spielbasierten Bildungsplattform. Hier können Sie deaktivierte Sicherheitsfunktionen sofort beheben. (Hinweis: Die Seite wird in Kubernetes geöffnet, aber über das Dropdown-Menü können Sie zwischen Docker, Cloudformation, Terraform und Ansible wählen.)
Wie geht es Ihnen? Wenn Sie noch etwas zu erledigen haben, lesen Sie bitte die folgenden Informationen.
Sicherheitsfunktionen können aus verschiedenen Gründen deaktiviert werden. In einigen Anwendungen und Frameworks sind sie möglicherweise standardmäßig deaktiviert und müssen zuerst aktiviert werden, bevor sie funktionieren. Außerdem kann es sein, dass der Administrator bestimmte Sicherheitsfunktionen deaktiviert hat, um bestimmte Aufgaben einfacher ausführen zu können, ohne ständig Herausforderungen oder Blockierungen zu erleben (z. B. AWS S3-Buckets auf öffentlich gesetzt). Nach Abschluss der Aufgabe kann es vorkommen, dass man vergisst, die deaktivierten Funktionen wieder zu aktivieren. Außerdem kann es sein, dass man es vorzieht, die Funktionen deaktiviert zu lassen, um später leichter arbeiten zu können.
Warum deaktivierte Sicherheitsfunktionen gefährlich sind
Es ist aus mehreren Gründen nicht empfehlenswert, eine oder mehrere Sicherheitsfunktionen zu deaktivieren. Einer davon ist, dass diese Sicherheitsfunktionen der Infrastruktur hinzugefügt wurden, um vor bekannten Exploits, Bedrohungen oder Schwachstellen zu schützen. Wenn Sie diese Funktionen deaktivieren, können Sie Ihre Ressourcen nicht mehr schützen.
Angreifer versuchen immer zuerst, leicht auszunutzende Schwachstellen zu finden, und können mithilfe von Skripten allgemeine Schwachstellen aufspüren. Das ist nicht anders, als wenn ein Dieb alle Autos auf der Straße durchsucht, um zu sehen, ob die Türen offen sind. Das ist viel einfacher, als Fenster einzuschlagen. Hacker sind vielleicht überrascht, dass allgemeine Sicherheitsvorkehrungen deaktiviert sind. Aber wenn dies geschieht, wird es nicht lange dauern, bis Hacker dies ausnutzen.
Zweitens führt die Deaktivierung gut eingerichteter Sicherheitsmaßnahmen zu einer falschen Sicherheitswahrnehmung. Wenn Administratoren nicht wissen, dass jemand diese Abwehrmechanismen außer Kraft gesetzt hat, könnten sie glauben, dass sie vor allgemeinen Bedrohungen geschützt sind.
Als Beispiel dafür, wie Angreifer deaktivierte Sicherheitsfunktionen ausnutzen können, betrachten wir die AWS S3-Sicherheitsfunktion „Blockieren des öffentlichen Zugriffs”. Mit Amazon S3 Block Public Access können Kontoverwalter und Bucket-Besitzer auf einfache Weise eine zentrale Kontrolle einrichten, um den öffentlichen Zugriff auf Amazon S3-Ressourcen zu beschränken.Einige Administratoren, bei denen beim Zugriff auf S3-Buckets Probleme auftreten, entscheiden sich jedoch dafür, den Bucket öffentlich zugänglich zu machen, um ihre Arbeit so schnell wie möglich zu erledigen. Wenn sie vergessen, die Sicherheitsfunktion zu aktivieren, erhalten Angreifer uneingeschränkten Zugriff auf die in diesem S3-Bucket gespeicherten Informationen, was nicht nur zu einem Datenleck führt, sondern auch zusätzliche Kosten für die Datenübertragung verursacht.
Vergleichen wir den tatsächlichen Code. Sehen Sie sich den folgenden CloudFormation-Ausschnitt an.
취약:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Öffentliche Zugriffssperre konfigurieren:
Öffentliche ACL sperren: false
Öffentliche Richtlinie sperren: false
Öffentliche ACL ignorieren: false
Öffentliche Bucket-Einschränkung: false
Versionskontrolle konfigurieren:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselung konfigurieren:
- Standardmäßig serverseitige Verschlüsselung:
SSE-Algorithmus: „AES 256"
Sicherheit:
Unternehmens-Bucket:
Typ: AWS: :S3: :Bucket
Eigenschaften:
Öffentliche Zugriffssperre konfigurieren:
Öffentliche ACL sperren: Ja
Öffentliche Richtlinie sperren: Ja
Öffentliche ACL ignorieren: Ja
Öffentliche Bucket-Einschränkung: Ja
Versionskontrolle konfigurieren:
Status: Aktiviert
Bucket-Verschlüsselung:
Serverseitige Verschlüsselung konfigurieren:
- Serverseitige Verschlüsselung standardmäßig:
SSE-Algorithmus: „AES 256"
Verhindern von deaktivierten Sicherheitsfunktionen
Es ist ebenso eine Frage der Praxis wie der Richtlinien, dass deaktivierte Sicherheitsfunktionen keine negativen Auswirkungen auf die Organisation haben. Es muss eine klare Richtlinie geben, dass Sicherheitsfunktionen nur unter ganz bestimmten Umständen deaktiviert werden dürfen. Fälle, in denen Funktionen vorübergehend deaktiviert werden müssen, um Probleme zu beheben oder Anwendungen zu aktualisieren, müssen protokolliert werden. Nach Abschluss der erforderlichen Arbeiten muss sichergestellt werden, dass die Funktionen wieder vollständig aktiviert sind.
Um den Betrieb zu vereinfachen, müssen Sie die Sicherheitsfunktionen dauerhaft deaktivieren. Wenn keine grundlegenden Schutzfunktionen vorhanden sind, müssen Sie die betroffenen Daten mit anderen Schutzfunktionen versehen, damit Hacker nicht auf diese Daten zugreifen können. Wenn die erforderlichen Schutzfunktionen deaktiviert sind, ist es nur eine Frage der Zeit, bis Angreifer eine ungeschützte Tür finden und die Situation ausnutzen.
Informieren Sie sich genauer und stellen Sie sich der Herausforderung.
Überprüfen Sie dies . Secure Code Warrior Weitere Informationen zu dieser Schwachstelle und dazu, wie Sie Ihr Unternehmen und Ihre Kunden vor Schäden durch andere Sicherheitslücken und Schwachstellen schützen können, finden Sie auf unserer Blog-Seite.
Haben Sie den Beitrag gelesen und sind Sie bereit, diese Schwachstelle zu finden und zu beheben? Dann ist es jetzt an der Zeit, es zu versuchen.Probieren Sie die spielerische Sicherheitsherausforderung von iAC aus. Verbessern Sie alle Ihre Cybersicherheitskenntnisse Secure Code Warrior und halten Sie sich auf dem neuesten Stand.
Diese Serie ist eine wöchentliche Serie, die sich mit den acht wichtigsten Schwachstellen von Infrastructure as Code befasst. Weitere Informationen finden Sie nächste Woche!
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
