Morten Stengaard von Secunia über eine neue Form der Web Application Security Schwachstellen erkennen und gezielt beheben

Autor / Redakteur: Das Interview führte Dr. Andreas Bergler / Dr. Andreas Bergler

Angreifer nutzen zunehmend Schwächen im Anwendungscode, um sie via Internet zu attackieren. Dadurch geraten geschäftstragende Web-Applikationen und -Daten vermehrt in Gefahr. Morten R. Stengaard, Chief Technical Officer bei Secunia, hat sich im Interview zum Applikationsschutz auf Servern und Endpunkten geäußert.

Firma zum Thema

Morten R. Stengaard, Chief Technical Officer bei Secunia
Morten R. Stengaard, Chief Technical Officer bei Secunia
(Bild: Secunia)

Andreas Bergler: Wie dringend erachten Sie es für Unternehmen, ihre Web-Applikationen und -Daten besser zu schützen?

Stengaard: Die Gefahr, dass wichtige Geschäftsressourcen via Internet attackiert werden, ist mittlerweile extrem hoch. Unzählige Einfalltore in den Web-Anwendungen motivieren die Angreifer zusätzlich zuzuschlagen.

Nach einer Erhebung des Web Application Security Consortium weisen 97 Prozent aller Server-Web-Applikationen kritische Programmierschwachstellen auf. Hinzu kommen die unzähligen Schwachstellen innerhalb der Anwendungen, die auf PCs und Laptops laufen. In den Unternehmen ist somit höchste Eile geboten, die richtigen Schutzvorkehrungen einzuziehen.

Bergler: Können Sie exemplarisch einige Angriffsformen nennen, mit denen Angreifer die Schwächen innerhalb der Programmierung gezielt ausnutzen?

Stengaard: Ihr Waffenarsenal ist gut bestückt mit Cross Site Scripting, Injection Flaws, Malicious File Execution, Insecure Direct Object Reference über Cross Site Request Forgery, Information Leakage, Improper Error Handling, Broken Authentication and Session-Management, Insecure Cryptographic Storage, Insecure Communications und Failure to Restrict URL Access.

Dies ist nur ein kleiner Ausschnitt des Arsenals, das zudem von den Angreifern progressiv um immer intelligentere Angriffsformen erweitert wird. Insider gehen davon aus, dass mittlerweile rund um den Globus jeden Tag etwa 70.000 neue Malware-Bedrohungen hinzukommen. Das Problem: Cyber-Attacken können quasi von jedem Punkt der Erde aus ausgeführt werden.

Bergler: Was sollten Unternehmen zur Abwehr der wachsenden Gefahr aus dem Internet tun?

Stengaard: Sie sollten eine Abwehr formieren, die den Hebel an vier Stellen ansetzt: Schwächen erkennen, Schwächen ausloten und bewerten, für die kritischen Schwachstellen Patches erstellen, diese Patches schnell aufspielen und über die Zeit professionell verwalten. Alle vier Stufen sollten weitgehend automatisiert ablaufen. Nur unter dieser Voraussetzung wird sich der Zeit- und Kostenaufwand für die Schutzvorkehrungen in engen Grenzen halten und das Patch-Management über die Zeit verlässlich greifen.

Elementar für einen hohen Schutz ist die Intelligenz der Sicherheitslösung. Der Secunia Corporate Software Inspector (CSI) beispielsweise versteht sich auf die Identifikation und Analyse von mehr als 20.000 Schad-Codes, mit denen Angreifer Microsoft-Anwendungen, Third-Party-Programme sowie Applikationen unter Linux und Mac OSX adressieren. Und, ganz wichtig: Die im Schwachstellen-Erkennungsmodul, dem Vulnerability Intelligence Manager, integrierte Intelligenz muss natürlich mit der Bedrohung aus dem Internet Schritt halten können.

Wichtig ist also auch die Analysekompetenz und Größe des Analyseteams des Lieferanten der Sicherheitslösung. Denn allein im Verlauf 2012 wurden fast 1.000 neue Schwachstellen identifiziert und bezüglich ihrer potenziellen Schadensauswirkungen in Unternehmen bewertet. Das Resultat: Gut die Hälfte der neu entdeckten Malware-Bedrohungen wurde vom Secunia-Team als „für Unternehmen kritisch“ eingestuft.

Bergler: Was sollte das Vulnerability-Scanning-Modul für einen wirkungsvollen Schutz von Web-Applikationen und -Daten beherrschen?

Stengaard: Dieses Modul muss dazu in der Lage sein, von zentraler Stelle aus die Programme in allen Versionen auf sämtlichen Servern und Endpunkten des Unternehmens mittels Scan-Regeln auf Programmierschwachstellen hin zu untersuchen. Idealerweise werden die potenziellen Schwächen automatisch anhand eines Datei-Signatur-Verfahrens erkannt und anschließend die Programme ebenso automatisch aufgeschlüsselt und aufgelistet, je nachdem wie zahlreich und kritisch die Schwachstellen darin sind.

Anhand dieser an der Konsole eingeblendeten Liste können die Sicherheitsverantwortlichen die Schwachstellen in den Programmen nach ihrer Priorität für das Unternehmen abarbeiten. Einmal erstellt, muss diese Liste natürlich fortlaufend aktualisiert und gegebenenfalls neu geordnet werden, sobald neue Scan-Regeln hinzukommen.

Generell gilt: Kleinere, damit weniger komplexe Anwendungen bergen tendenziell ein geringeres Angriffsrisiko in sich. Hoch sind die Risiken hingegen bei komplexen beziehungsweise breit eingesetzten Anwendungen, weil sie für das Unternehmen einen hohen geschäftlichen Stellenwert haben.

Bergler: Was sollte aus der automatisch erstellten Liste noch hervorgehen?

Stengaard: Hilfreich ist, wenn an der Konsole für jedes Programm und jede Programmversion das Installations- und End-of-Life-Datum angezeigt wird. Wird außerdem für jede kritische Programmierschwachstelle der betriebswirtschaftliche Stellenwert für das Unternehmen ausgewiesen, schärft das zusätzlich den Überblick und unterstützt darin, Wichtiges von weniger Wichtigem zu unterscheiden.

Bergler: Patch-Erstellung und Patch-Management sind die Säulen 3 und 4 der Sicherheitslösung. Worauf sollten die Unternehmen bei diesen Modulen achten?

Stengaard: Das Modul Patch-Erstellung sollte viele vorkonfigurierte Patches für Programme unter Windows, Linux und OSX vorhalten. Das beschleunigt das Patch-Management für die Schwachstellen, die zuvor über das Modul Vulnerability Scanning identifiziert und für das Unternehmen als kritisch bewertet wurden. Nicht fehlen sollte die Funktionalität, um darüber eigen entwickelte Spezial-Software zu scannen und für die Scan-Ergebnisse Patches zu erstellen.

Diese Spezialaufgaben übernimmt innerhalb der Secunia-Lösung CSI ein Package-System. Es hält Software-Werkzeuge vor, um Regeln für das Scannen eigenentwickelter Programme, Treiber und Plug-ins zu erstellen oder anzupassen. Anhand dieser Regeln bekommen die Sicherheitsverantwortlichen zudem an der Konsole angezeigt, auf welchen Servern oder Endpunkten die betreffende Spezial-Software läuft.

Bergler: Einige Programmschwachstellen dürften so kritisch sein, dass bei verdächtigen Vorfällen eine sofortige Alarmierung erfolgen sollte. Wie sollte diese Anforderung gelöst werden?

Stengaard: Smart Groups sind dafür ein probates Mittel. Sie steuern Funktionen zur Datensegmentierung und -filterung bei, um bei Bedarf automatisch an der Konsole zu alarmieren und Abwehrmaßnahmen vorzuschlagen. So kann ein sofortiger Alarm ausgelöst werden, sobald besonders kritische Programmschwachstellen involviert sind oder mittels Scan bisher unbekannte Programme innerhalb der IT-Infrastruktur identifiziert werden.

Alternativ können Smart Groups auf Programme mit kritischen Service Level Agreements ausgerichtet werden, um bei Unter- respektive Überschreitung zu alarmieren. Mit der Alarmierung greifen automatisch die Module Patch-Erstellung und Patch-Management, um die Gefahr ad hoc zu bannen.

Auch für die nachweisliche Einhaltung von Compliance-Richtlinien leisten Smart Groups hervorragende Dienste. Sie geben beispielsweise per Filter Auskunft darüber, welche Programme besonders unsicher sind, welche bisher noch nicht gedeckten kritischen Schwachstellen älter als 30 Tage sind und welche Auswirkungen für das Unternehmen besonders gravierend ausfallen.

(ID:42389921)