Kommentar zu Sicherheitsrisiken von Big Data

Web Application Security für Big Data

| Autor / Redakteur: Mark Kraynak / Peter Schmitz

Es gibt eine weit verbreitete, aber falsche Annahme, dass operative Big Data Applikationen nicht durch übliche Web-App-Angriffe verwundbar sind und man deshalb auch keine Web Application Firewall dafür braucht.
Es gibt eine weit verbreitete, aber falsche Annahme, dass operative Big Data Applikationen nicht durch übliche Web-App-Angriffe verwundbar sind und man deshalb auch keine Web Application Firewall dafür braucht. (Bild: Imperva)

SQL-Injections sind längst nicht das einzige Problem von Web-Anwendungen. Selbst mit NoSQL-Datenbanken gibt es Gefahren für Big Data Web-Anwendungen, wie zum Beispiel OS Command-Injections und Remote File Inclusions.

Im ersten Teil dieser Kommentarreihe habe ich bereits angesprochen, wie wichtig ein gutes Monitoring für Big Data Anwendungen ist, und warum Sicherheitsexperten sich nicht wundern sollten, dass dieses Feature selten standardmäßig in die Lösung integriert ist.

Was einen allerdings viel mehr beunruhigen sollte, ist die sehr weit verbreitete aber falsche Annahme über das Bedrohungspotenzial von operativen Big Data Applikationen. Also Anwendungen mit web Front-Ends (genau wie „normale“ Web Apps), aber mit einer Art NoSQL Back-End, wie beispielsweise MongoDB oder Cassandra.

Schon oft habe ich sogenannte IT-Experten sagen hören: „Wir brauchen keine Web Application Firewall für diese Anwendung, weil es eine NoSQL Datenbank ist und man SQL nicht bei NoSQL einschleusen kann“. Dieser Irrglaube kann sehr gefährlich sein. Was die Sicherheit einer solchen Anwendung betrifft, bin ich persönlich sogar noch besorgter, als ich es bei einer simplen Web + Transactional RDBMS wäre.

Fehleinschätzung von NoSQL-Sicherheiheitsrisiken

Zunächst einmal sind SQL-Injections, wenn sie auch eine der gefährlichsten und häufigsten Web App-Bedrohungen sind, längst nicht das einzige Problem. OS Command-Injections und Remote File Inclusions sind nur einige der Gefahren, denen Web-Anwendungen ausgeliefert sind, egal welche Back-End-Technologie sie verwenden. Solche Schwachstellen erlauben es dem Angreifer, Kontrolle über den Web Application Server zu bekommen und Verbindung zum NoSQL Back-End aufzunehmen, um so Zugriff auf große Mengen an sensiblen Daten zu erlangen.

Mark Kraynak ist Senior Vice President beim IT-Sicherheitsspezialisten Imperva.
Mark Kraynak ist Senior Vice President beim IT-Sicherheitsspezialisten Imperva. (Bild: Imperva)

Zum anderen haben weiteren Arten der Einschleusung, abgesehen von SQL, das gleiche Risikoprofil für NoSQL wie eine SQL-Injection es für RDBMS hat. Oder besser gesagt: Sie haben den selben Effekt, aber der Risikofaktor ist sogar noch höher, da NoSQL als Anwendungs-Back-End relativ neu ist und es noch nicht ganz klar ist, an welchen Stellen sie angreifbar sind. Außerdem haben die Sicherheitsexperten weniger Erfahrung damit, diese Technologie abzusichern. In diesem Szenario wird Virtual Patching unerlässlich – und das bedeutet auch WAF.

Ein Beispiel: MongoDB ist das am weitesten verbreitete NoSQL Back-End, das wir bei Imperva beobachten konnten (dicht gefolgt von Cassandra auf Platz 2). Web-Anwendungen, die MongoDB nutzen, sind nachweislich durch Javascript-Injections angreifbar. Im dritten Teil dieser Serie werden wir auf das Thema „Big Data Javascript-Injection“ weiter eingehen. Application-Sicherheit ist jedenfalls elementar für jede Online-Anwendung, egal ob das Back-End „Big“ ist, oder nicht.

Schafft Big Data mehr IT-Sicherheitsprobleme?

Kommentar zu Fehlern bei der Big Data Security

Schafft Big Data mehr IT-Sicherheitsprobleme?

19.08.14 - Es ist kein Geheimnis, dass sich bei jedem neuen IT-Trend erst im Nachgang um die Sicherheit gekümmert wird. Diese Entwicklung ist derzeit auch beim Thema Big Data zu beobachten; an effektiven Sicherheitsfunktionen mangelt es vielen der führenden Big Data-Plattformen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42915808 / Datenbanken)