:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/15/ff15bff08f3786c0748546eeaa5f39af/0115423531.jpeg ""Alles was Sie zu Data Security Posture Management wissen sollten", ein Interview von Oliver Schonschek, Insider Research, mit Sebastian Mehle von Varonis. (Bild: Vogel IT-Medien / Varonis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risiken von Serverless Computing Lambda Security und Serverlose Angriffe
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Serverlose Implementierungen schaffen Effizienz, Flexibilität und Freiheit für Entwickler. Deutlich zeigt sich das an der Leistungsfähigkeit von Amazon Web Services (AWS) Lambda. Die Möglichkeit, neue Anwendungen schnell zu starten, ohne eine größere Infrastrukturverwaltung und einen höheren Overhead-Aufwand zu schaffen, eröffnet also Chancen – aber schafft neue Herausforderungen zugleich.
Mit Serverlosen Implementierungen wie AWS Lambda können Entwickler viel schneller als zuvor arbeiten und Code für jede Art von Anwendung oder Backend-Dienst skalieren. Eine Bereitstellung oder Serververwaltung ist nicht mehr erforderlich. Bei der Nutzung von serverlosen Anwendungen geben die Administratoren allerdings die Kontrolle über den größten Teil der Sicherheitsmodule an einen Cloud-Provider ab, im Guten wie im Schlechten. Sie besitzen keine Möglichkeit mehr zum OS Hardening, Admin-Rechte, SSH und Segmentation. Die Ausnahme, wo sie die Kontrolle behalten, ist die Konfiguration der Struktur und die genaue Anwendung – von dort aber muss die Sicherheit kommen.
Neue Angriffswege liegen offen
AWS Lambda verändert mit seinen serverlosen Funktionen, die kurzlebig sind und darum wenig Angriffsfläche bieten, die Art und Weise, wie Angreifer an diese Systeme herangehen. Zum einen starten sie kontinuierliche stateless (zustandlosen) Angriffe, bei denen sie eine oder mehrere Anwendungsschwächen gezielt ausnutzen. Damit versuchen sie einen kleinen Teil des Gesamtangriffs durchzuführen, und wiederholen den Vorgang so oft, bis der Angriff abgeschlossen ist.
Zum anderen umgehen sie den vorgelagerten Schutz mit Supply-Chain-Injection-Angriffen. Hierbei nutzen Angreifer die Abhängigkeit der Funktionen von Drittanbieter-Code aus, indem sie eines dieser Module suchen, das sich selbst nur unzureichend schützt und daher auf Sicherheitslösungen von Herstellern angewiesen ist. Der Angreifer injiziert dann seinen Code in dieses Modul und wartet darauf, dass der Angriff auf die Funktionen durchdringt.
Ziel ist es stets und bleibt es: Erfolgreiche Eindringlinge sollten nicht länger als ein paar Minuten in einem System bleiben können, bis sie entdeckt werden. Die Tatsache, dass Cloud-Anbieter absichtlich nur vage angeben, wie und wann sie serverlose Laufzeiten erneut verwenden, führt zu der Tatsache, dass die eigentlich kurzlebigen Funktionen in Wirklichkeit stunden- oder sogar tagelang in Betrieb sein können. Aufgrund dessen müssen Unternehmen davon ausgehen, dass ein Angreifer sicherlich einen Weg finden wird, um in einem System zu bleiben und größeren Schaden anzurichten, wenn er nicht gezielt daran von Sicherheitslösungen gehindert wird.
Nur eine Zeile veränderter Code hat fatale Auswirkungen
Ein Beispiel für eine mögliche Attacke: Wenn ein Angreifer eine Evaluations-Anweisung verändert. Im Grunde genommen kann er nur zusätzliche Zeilen in die jeweilige Tabelle einfügen. Der Schaden sieht auf den ersten Blick also gering aus, sogar dann, wenn der gefälschte Container noch länger so bestehen bleibt. Was aber wäre, wenn ein Angreifer seine Daten an eine Lambda-Funktion sendet?
Anstatt nur einige Zahlungsinformationen zu erhalten, injiziert dieser Workload tatsächlich etwas Code in die Funktion. Von nun an wird der Angreifer jedes Mal, wenn ein Benutzer seine Kreditkarteninformationen an die Anwendung weitergibt, eine Kopie davon erhalten. Wenn der Angreifer schlau ist, wird er versuchen, so viele Container wie möglich zu infizieren. Dies kann er dadurch erreichen, dass er diesen Angriff mehrere hundert Mal parallel sendet und dabei viele Container gleichzeitig fälscht.
Die Herausforderung besteht also darin, dass es eine einmalige Lastspitze von einer oder mehrerer Angriffs-Workloads gibt. Danach folgt nichts, was als bösartig eingestuft werden könnte. Unbemerkt könnten auf diese Weise über Stunden oder Tage sensible Daten abfließen, ohne dass der Administrator des Containers dies bemerkt.
Best Practices für Least Privilege
Sehr schwierig wird es, diese Herausforderungen zu bestehen, da IT-Sicherheit in gewisser Weise das Gegenteil der Software-Entwicklung ist. Sicherheit ist der Prozess der Begrenzung, während Software-Entwicklung schafft, erweitert und ermöglicht. Der Instinkt eines Entwicklers ist es, Hindernisse zu beseitigen. Ihm zu vermitteln, dass er sich einigen Beschränkungen der Sicherheit wegen unterwerfen soll, ist eine enorme Aufgabe für die Kommunikation. Ein Teil der AWS Lambda Security Best Practices beinhaltet daher, dass Entwickler darüber nachdenken sollten, was sie für ihre Prozesse eigentlich nicht brauchen und deshalb weglassen könnten. Außerdem einige zusätzliche Schwierigkeiten:
- Sicherheit braucht Zeit, Entwickler aber haben wenig Zeit.
- Die Sicherheit kommt den Entwicklern früher oder später in die Quere, also ist es für sie am einfachsten, eine Wildcard zu verwenden.
- Mangelnde Sichtbarkeit, um zu wissen, welche Berechtigungen die Entwickler überhaupt benötigen – und welche nicht – erschwert die Kontrolle.
- Mangelnde Granularität der Definition von Zugangsberechtigungen kompliziert die Bewachung der sensiblen Bereiche.
- Mangel an Bewusstsein oder Achtsamkeit für das Problem erschwert die Kommunikation.
- Zu viele Ressourcen werden gebunden.
Vorteile des Serverless Computings für die IT-Sicherheit
Serverlose Strukturen erfordern zwar eine komplette Umstellung des Sicherheitsansatzes, bringen aber eine Vielzahl von Möglichkeiten zur Schaffung besserer, granularer und kontextbezogener Sicherheit mit sich. Ein Vergleich mit Containern bietet sich an: Wenn ein großer Container viele Funktionen ausführt, dann müssen die Verantwortlichen ihn in die Lage versetzen, viele Dinge zu tun. Der Umstieg auf kleinere Mikrodienste ermöglicht es dagegen, feinkörnigeres Identity and Access Management einzusetzen, um genauer zu verwalten, wer einen Zugriff auf bestimmte Bereiche erhält. Noch wichtiger ist dabei, dass ein erfolgreicher Angreifer, der eine Schwachstelle in einer der Funktionen ausnutzt, nur Zugriff auf die begrenzten Möglichkeiten dieser Funktion erhält. Der große Bauchladen von Berechtigungen aus denen er in Ruhe wählen konnte, den jeder große Container vor sich her trug, bleibt ihm verwehrt.
Sicherheitsrichtlinien können also gezielt auf jede dieser kleinen Einheiten angewendet werden. AWS Lambda, wie die meisten Cloud-Anbieter, ermöglicht es den Unternehmen auf diese Weise, die Angriffsfläche ihrer IT-Systeme deutlich zu verkleinern.
Schutz durch einfache organisatorische Maßnahmen möglich
Noch mehr Sicherheit erreichen Unternehmen beim Betreiben von serverlosen IT-Systemen über Anbieter, wie AWS Lambda, mit den folgenden Ratschlägen:
- IT-Verantwortliche sollten den Entwicklern überzeugend vermitteln, von Beginn ihrer Arbeit an nur sicheren Code zu schreiben.
- Die Anwendungen sollten von modernen und an serverlose Strukturen angepasste Sicherheitslösungen spezialisierter Anbieter geschützt werden. Diese müssen unbedingt in der Lage sein, auch die sehr gefährlichen Zero-Day-Attacken zu blockieren.
- Der Einsatz von Sicherheitswerkzeugen, die Container jeder Größe zwingen, sich regelmäßig zu erneuern, bevor sie und ihre Funktionen zu lange leben, verkleinert die Angriffsfläche enorm.
Fazit: Serverless Computing sicher nutzen und profitieren
Letztlich stellen serverlose Architekturen einen sehr willkommenen technologischen Sprung nach vorn in der Software-Entwicklung dar. Sie stehen dabei gleichermaßen für Herausforderungen als auch Chancen bei der Absicherung von Anwendungen. Es ist daher von entscheidender Bedeutung, sämtliche Risiken für die IT-Sicherheit zu betrachten und stets die Augen offen zu halten. Die IT-Verantwortlichen müssen außerdem sicherstellen, dass durchgängig die richtigen Werkzeuge und Verhaltensweisen von allen Beteiligten eingesetzt und an den Tag gelegt werden, um die Systeme, Benutzer und Daten zu schützen.
Über die Autorin: Christine Schönig ist Regional Director Security Engineering CER bei Check Point Software Technologies.
(ID:46742896)
:quality(80)/p7i.vogel.de/wcms/77/33/7733c6793c45bdf2bca55ba97f8eb90b/0112114753.jpeg "Unter Serverless Computing versteht man die serverlose Bereitstellung dynamischer Backend-Dienste.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/87/2b/872baa9c81710a1e4ec700a9b71111e4/0111189732.jpeg "Function-as-a-Service (FaaS) ist ein Servicemodell des Cloud Computings, bei dem Funktionen als Service aus der Cloud bereitgestellt werden. (Bild: gemeinfrei)")