:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risiken von Serverless Computing Lambda Security und Serverlose Angriffe
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Serverlose Implementierungen schaffen Effizienz, Flexibilität und Freiheit für Entwickler. Deutlich zeigt sich das an der Leistungsfähigkeit von Amazon Web Services (AWS) Lambda. Die Möglichkeit, neue Anwendungen schnell zu starten, ohne eine größere Infrastrukturverwaltung und einen höheren Overhead-Aufwand zu schaffen, eröffnet also Chancen – aber schafft neue Herausforderungen zugleich.
Mit Serverlosen Implementierungen wie AWS Lambda können Entwickler viel schneller als zuvor arbeiten und Code für jede Art von Anwendung oder Backend-Dienst skalieren. Eine Bereitstellung oder Serververwaltung ist nicht mehr erforderlich. Bei der Nutzung von serverlosen Anwendungen geben die Administratoren allerdings die Kontrolle über den größten Teil der Sicherheitsmodule an einen Cloud-Provider ab, im Guten wie im Schlechten. Sie besitzen keine Möglichkeit mehr zum OS Hardening, Admin-Rechte, SSH und Segmentation. Die Ausnahme, wo sie die Kontrolle behalten, ist die Konfiguration der Struktur und die genaue Anwendung – von dort aber muss die Sicherheit kommen.
Neue Angriffswege liegen offen
AWS Lambda verändert mit seinen serverlosen Funktionen, die kurzlebig sind und darum wenig Angriffsfläche bieten, die Art und Weise, wie Angreifer an diese Systeme herangehen. Zum einen starten sie kontinuierliche stateless (zustandlosen) Angriffe, bei denen sie eine oder mehrere Anwendungsschwächen gezielt ausnutzen. Damit versuchen sie einen kleinen Teil des Gesamtangriffs durchzuführen, und wiederholen den Vorgang so oft, bis der Angriff abgeschlossen ist.
Zum anderen umgehen sie den vorgelagerten Schutz mit Supply-Chain-Injection-Angriffen. Hierbei nutzen Angreifer die Abhängigkeit der Funktionen von Drittanbieter-Code aus, indem sie eines dieser Module suchen, das sich selbst nur unzureichend schützt und daher auf Sicherheitslösungen von Herstellern angewiesen ist. Der Angreifer injiziert dann seinen Code in dieses Modul und wartet darauf, dass der Angriff auf die Funktionen durchdringt.
Ziel ist es stets und bleibt es: Erfolgreiche Eindringlinge sollten nicht länger als ein paar Minuten in einem System bleiben können, bis sie entdeckt werden. Die Tatsache, dass Cloud-Anbieter absichtlich nur vage angeben, wie und wann sie serverlose Laufzeiten erneut verwenden, führt zu der Tatsache, dass die eigentlich kurzlebigen Funktionen in Wirklichkeit stunden- oder sogar tagelang in Betrieb sein können. Aufgrund dessen müssen Unternehmen davon ausgehen, dass ein Angreifer sicherlich einen Weg finden wird, um in einem System zu bleiben und größeren Schaden anzurichten, wenn er nicht gezielt daran von Sicherheitslösungen gehindert wird.
Nur eine Zeile veränderter Code hat fatale Auswirkungen
Ein Beispiel für eine mögliche Attacke: Wenn ein Angreifer eine Evaluations-Anweisung verändert. Im Grunde genommen kann er nur zusätzliche Zeilen in die jeweilige Tabelle einfügen. Der Schaden sieht auf den ersten Blick also gering aus, sogar dann, wenn der gefälschte Container noch länger so bestehen bleibt. Was aber wäre, wenn ein Angreifer seine Daten an eine Lambda-Funktion sendet?
Anstatt nur einige Zahlungsinformationen zu erhalten, injiziert dieser Workload tatsächlich etwas Code in die Funktion. Von nun an wird der Angreifer jedes Mal, wenn ein Benutzer seine Kreditkarteninformationen an die Anwendung weitergibt, eine Kopie davon erhalten. Wenn der Angreifer schlau ist, wird er versuchen, so viele Container wie möglich zu infizieren. Dies kann er dadurch erreichen, dass er diesen Angriff mehrere hundert Mal parallel sendet und dabei viele Container gleichzeitig fälscht.
Die Herausforderung besteht also darin, dass es eine einmalige Lastspitze von einer oder mehrerer Angriffs-Workloads gibt. Danach folgt nichts, was als bösartig eingestuft werden könnte. Unbemerkt könnten auf diese Weise über Stunden oder Tage sensible Daten abfließen, ohne dass der Administrator des Containers dies bemerkt.
Best Practices für Least Privilege
Sehr schwierig wird es, diese Herausforderungen zu bestehen, da IT-Sicherheit in gewisser Weise das Gegenteil der Software-Entwicklung ist. Sicherheit ist der Prozess der Begrenzung, während Software-Entwicklung schafft, erweitert und ermöglicht. Der Instinkt eines Entwicklers ist es, Hindernisse zu beseitigen. Ihm zu vermitteln, dass er sich einigen Beschränkungen der Sicherheit wegen unterwerfen soll, ist eine enorme Aufgabe für die Kommunikation. Ein Teil der AWS Lambda Security Best Practices beinhaltet daher, dass Entwickler darüber nachdenken sollten, was sie für ihre Prozesse eigentlich nicht brauchen und deshalb weglassen könnten. Außerdem einige zusätzliche Schwierigkeiten:
- Sicherheit braucht Zeit, Entwickler aber haben wenig Zeit.
- Die Sicherheit kommt den Entwicklern früher oder später in die Quere, also ist es für sie am einfachsten, eine Wildcard zu verwenden.
- Mangelnde Sichtbarkeit, um zu wissen, welche Berechtigungen die Entwickler überhaupt benötigen – und welche nicht – erschwert die Kontrolle.
- Mangelnde Granularität der Definition von Zugangsberechtigungen kompliziert die Bewachung der sensiblen Bereiche.
- Mangel an Bewusstsein oder Achtsamkeit für das Problem erschwert die Kommunikation.
- Zu viele Ressourcen werden gebunden.
Vorteile des Serverless Computings für die IT-Sicherheit
Serverlose Strukturen erfordern zwar eine komplette Umstellung des Sicherheitsansatzes, bringen aber eine Vielzahl von Möglichkeiten zur Schaffung besserer, granularer und kontextbezogener Sicherheit mit sich. Ein Vergleich mit Containern bietet sich an: Wenn ein großer Container viele Funktionen ausführt, dann müssen die Verantwortlichen ihn in die Lage versetzen, viele Dinge zu tun. Der Umstieg auf kleinere Mikrodienste ermöglicht es dagegen, feinkörnigeres Identity and Access Management einzusetzen, um genauer zu verwalten, wer einen Zugriff auf bestimmte Bereiche erhält. Noch wichtiger ist dabei, dass ein erfolgreicher Angreifer, der eine Schwachstelle in einer der Funktionen ausnutzt, nur Zugriff auf die begrenzten Möglichkeiten dieser Funktion erhält. Der große Bauchladen von Berechtigungen aus denen er in Ruhe wählen konnte, den jeder große Container vor sich her trug, bleibt ihm verwehrt.
Sicherheitsrichtlinien können also gezielt auf jede dieser kleinen Einheiten angewendet werden. AWS Lambda, wie die meisten Cloud-Anbieter, ermöglicht es den Unternehmen auf diese Weise, die Angriffsfläche ihrer IT-Systeme deutlich zu verkleinern.
Schutz durch einfache organisatorische Maßnahmen möglich
Noch mehr Sicherheit erreichen Unternehmen beim Betreiben von serverlosen IT-Systemen über Anbieter, wie AWS Lambda, mit den folgenden Ratschlägen:
- IT-Verantwortliche sollten den Entwicklern überzeugend vermitteln, von Beginn ihrer Arbeit an nur sicheren Code zu schreiben.
- Die Anwendungen sollten von modernen und an serverlose Strukturen angepasste Sicherheitslösungen spezialisierter Anbieter geschützt werden. Diese müssen unbedingt in der Lage sein, auch die sehr gefährlichen Zero-Day-Attacken zu blockieren.
- Der Einsatz von Sicherheitswerkzeugen, die Container jeder Größe zwingen, sich regelmäßig zu erneuern, bevor sie und ihre Funktionen zu lange leben, verkleinert die Angriffsfläche enorm.
Fazit: Serverless Computing sicher nutzen und profitieren
Letztlich stellen serverlose Architekturen einen sehr willkommenen technologischen Sprung nach vorn in der Software-Entwicklung dar. Sie stehen dabei gleichermaßen für Herausforderungen als auch Chancen bei der Absicherung von Anwendungen. Es ist daher von entscheidender Bedeutung, sämtliche Risiken für die IT-Sicherheit zu betrachten und stets die Augen offen zu halten. Die IT-Verantwortlichen müssen außerdem sicherstellen, dass durchgängig die richtigen Werkzeuge und Verhaltensweisen von allen Beteiligten eingesetzt und an den Tag gelegt werden, um die Systeme, Benutzer und Daten zu schützen.
Über die Autorin: Christine Schönig ist Regional Director Security Engineering CER bei Check Point Software Technologies.
(ID:46742896)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934668/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932310/original.jpg "Cyberkriminelle erweitern ihren Aktionsradius drastisch und fügen ihrem Angriffswerkzeugkasten Malware hinzu, die auf Linux-basierte Betriebssysteme abzielt. (Alexander Limbach - adobe.stock.com)")