Die Sicherheitsbranche verliert kollektiv den Verstand, wenn neue Schwachstellen in Software entdeckt werden. OpenSSL ist da keine Ausnahme, und Ende Oktober und Anfang November 2022 überschwemmten zwei neue Schwachstellen die Newsfeeds. Entdeckung und Offenlegung sind nur der Anfang dieses nie endenden Schwachstellenzyklus. Betroffene Organisationen müssen Abhilfe schaffen, was für diejenigen an vorderster Front der IT besonders schmerzhaft ist. Sicherheitsverantwortliche müssen eine effektive Cybersicherheitsstrategie aufrechterhalten, um einen Teil des Lärms um neue Schwachstellen zu filtern, Auswirkungen auf Lieferketten zu erkennen und ihre Vermögenswerte entsprechend zu sichern.
Angriffe auf die Lieferkette werden nicht verschwinden
In ungefähr einem Jahr haben wir unter schweren Schwachstellen in Komponenten gelitten, einschließlich log4j, Frühling Rahmen und OpenSSL. Die Ausnutzung älterer Schwachstellen hört auch bei Implementierungen, die falsch konfiguriert sind oder die bekannte anfällige Abhängigkeiten verwenden, nie auf. Im November 2022 erfuhr die Öffentlichkeit von einem Angriffskampagne gegen die Federal Civilian Executive Branch (FCEB), zurückzuführen auf eine staatlich geförderte iranische Bedrohung. Diese US-Bundesbehörde betrieb eine VMware Horizon-Infrastruktur, die die Log4Shell-Schwachstelle enthielt, die als erster Angriffsvektor diente. FCEB wurde von einer komplexen Angriffskette getroffen, die Lateral Movement, Credential Compromise, System Compromise, Network Persistence, Endpoint Protection Bypass und Cryptojacking umfasste.
Unternehmen fragen sich vielleicht: „Warum OSS überhaupt konsumieren?“ nach Sicherheitsvorfällen durch anfällige Pakete wie OpenSSL oder Log4j. Angriffe auf die Lieferkette nehmen weiter zu, da die Wiederverwendung von Komponenten für Partner und Lieferanten „wirtschaftlich sinnvoll“ ist. Wir entwickeln Systeme, indem wir bestehenden Code umfunktionieren, anstatt von Grund auf neu zu erstellen. Dies dient dazu, den Engineering-Aufwand zu reduzieren, operativ zu skalieren und schnell zu liefern. Open-Source-Software (OSS) gilt im Allgemeinen aufgrund der öffentlichen Prüfung als vertrauenswürdig. Software ändert sich jedoch ständig, und Probleme entstehen durch Codierungsfehler oder verknüpfte Abhängigkeiten. Neue Probleme werden auch durch die Weiterentwicklung von Test- und Ausnutzungstechniken aufgedeckt.
Behebung von Schwachstellen in der Lieferkette
Unternehmen benötigen geeignete Tools und Prozesse, um moderne Designs zu sichern. Herkömmliche Ansätze wie Vulnerability Management oder Point-in-Time-Assessments alleine können da nicht mithalten. Vorschriften können diese Ansätze immer noch zulassen, wodurch die Kluft zwischen „sicher“ und „konform“ aufrechterhalten wird. Die meisten Organisationen streben danach, ein gewisses Maß an DevOps-Reife zu erreichen. „Kontinuierlich“ und „automatisiert“ sind gemeinsame Merkmale von DevOps-Praktiken. Sicherheitsprozesse sollten sich nicht unterscheiden. Sicherheitsverantwortliche müssen im Rahmen ihrer Sicherheitsstrategie während der Build-, Bereitstellungs- und Laufzeitphasen den Fokus behalten:
- Kontinuierlich in CI/CD scannen: Versuchen Sie, Build-Pipelines zu sichern (dh nach links zu verschieben), aber geben Sie zu, dass Sie nicht den gesamten Code und verschachtelten Code scannen können. Der Erfolg von Shift-Left-Ansätzen wird durch die Wirksamkeit des Scanners, die Korrelation der Scannerausgabe, die Automatisierung von Freigabeentscheidungen und die Fertigstellung des Scanners innerhalb von Freigabefenstern begrenzt. Tools sollten dabei helfen, das Risiko von Ergebnissen zu priorisieren. Nicht alle Ergebnisse sind umsetzbar, und Schwachstellen können in Ihrer Architektur möglicherweise nicht ausgenutzt werden.
- Während der Lieferung kontinuierlich scannen: Komponentenkompromittierung und Umgebungsdrift treten auf. Anwendungen, Infrastruktur und Workloads sollten während der Bereitstellung gescannt werden, falls etwas in der digitalen Lieferkette kompromittiert wurde, als es aus Registrierungen oder Repositories bezogen und gebootstrapped wurde.
- Kontinuierlich zur Laufzeit scannen: Die Laufzeitsicherheit ist der Ausgangspunkt vieler Sicherheitsprogramme, und die Sicherheitsüberwachung untermauert die meisten Cybersicherheitsbemühungen. Sie benötigen jedoch Mechanismen, die Telemetriedaten in allen Arten von Umgebungen sammeln und korrelieren können, einschließlich Cloud-, Container- und Kubernetes-Umgebungen. Während der Laufzeit gesammelte Erkenntnisse sollten auf frühere Build- und Bereitstellungsphasen zurückgeführt werden. Identitäts- und Dienstinteraktionen
- Priorisieren Sie während der Laufzeit aufgedeckte Schwachstellen: Alle Organisationen kämpfen damit, genügend Zeit und Ressourcen zu haben, um alles zu scannen und zu reparieren. Die risikobasierte Priorisierung ist von grundlegender Bedeutung für die Arbeit mit Sicherheitsprogrammen. Die Internetpräsenz ist nur ein Faktor. Ein weiterer Faktor ist der Schweregrad der Schwachstelle, und Organisationen konzentrieren sich häufig auf Probleme mit hohem und kritischem Schweregrad, da davon ausgegangen wird, dass sie die größten Auswirkungen haben. Dieser Ansatz kann immer noch Zyklen von Engineering- und Sicherheitsteams verschwenden, da sie möglicherweise Schwachstellen jagen, die zur Laufzeit nie geladen werden und die nicht ausgenutzt werden können. Verwenden Sie Runtime Intelligence, um zu überprüfen, welche Pakete tatsächlich in laufende Anwendungen und Infrastrukturen geladen werden, um das tatsächliche Sicherheitsrisiko für Ihr Unternehmen zu ermitteln.
Wir haben geschaffen produktspezifische Anleitung um Kunden durch den jüngsten OpenSSL-Wahnsinn zu führen.
Die neueste OpenSSL-Schwachstelle und Log4Shell erinnern uns an die Notwendigkeit einer Vorbereitung auf Cybersicherheit und einer effektiven Sicherheitsstrategie. Wir müssen uns daran erinnern, dass CVE-IDs nur die bekannten Probleme in öffentlicher Software oder Hardware sind. Viele Schwachstellen werden nicht gemeldet, insbesondere Schwachstellen in selbst erstelltem Code oder Fehlkonfigurationen in der Umgebung. Ihre Cybersicherheitsstrategie muss verteilte und vielfältige Technologien moderner Designs berücksichtigen. Sie benötigen ein modernisiertes Vulnerability-Management-Programm, das Einblicke in die Laufzeit nutzt, um Behebungsarbeiten für Engineering-Teams zu priorisieren. Sie benötigen außerdem Funktionen zur Bedrohungserkennung und -reaktion, die Signale umgebungsübergreifend korrelieren, um Überraschungen zu vermeiden.
Über den Autor
.png?width=690&quality=80&format=webply&disable=upscale "Lieferkettenrisiken haben Sie im Stich gelassen? Bleib ruhig und werde strategisch!")
Michael Isbitski, Director of Cybersecurity Strategy bei Sysdig, forscht und berät seit über fünf Jahren zum Thema Cybersicherheit. Er ist versiert in Cloud-Sicherheit, Container-Sicherheit, Kubernetes-Sicherheit, API-Sicherheit, Sicherheitstests, mobiler Sicherheit, Anwendungsschutz und sicherer kontinuierlicher Bereitstellung. Er hat zahllose Organisationen weltweit bei ihren Sicherheitsinitiativen und der Unterstützung ihres Geschäfts geführt.
Vor seiner Forschungs- und Beratungserfahrung lernte Mike viele harte Lektionen an vorderster Front der IT mit über 20 Jahren Praktiker- und Führungserfahrung mit Schwerpunkt auf Anwendungssicherheit, Schwachstellenmanagement, Unternehmensarchitektur und Systemtechnik.
