Häufige Arten von Sicherheitslücken und Möglichkeiten, sie zu beheben

Veröffentlicht: 2022-07-11

Eine Schwachstelle im Exchange Server von Microsoft trug zu einer großen Serie von Cyberangriffen bei, von denen über 60.000 Privatunternehmen in den USA betroffen waren. Und nur einen Monat zuvor hatte ein Luft- und Raumfahrtunternehmen, Bombardier, die Daten seiner Mitarbeiter und Lieferanten aufgrund von Schwachstellen in seiner Dateiübertragungs-App eines Drittanbieters verletzt.

Es gibt viele Arten von Sicherheitslücken, die Ihr IT-System auf das Radar von Hackern bringen können. Von schlechten Codierungspraktiken bis hin zu defekten externen Komponenten, egal aus welchem ​​Grund, viele Unternehmen werden am Ende aufgedeckt. Um dieses Problem zu mindern, profitieren Unternehmen von QA- und Testdiensten, um ihre eigene Software und Netzwerke zu bewerten und die Sicherheitsrisiken von Komponenten externer Anbieter zu bewerten.

Welche Arten von Sicherheitslücken könnten Ihr System also in diesem Moment Cyberbedrohungen aussetzen? Wie zeigen sich Schwachstellen? Und wie können wir sie mildern?

Was ist eine Software-Schwachstelle und woher kommt sie?

Eine Sicherheitslücke ist eine unbeabsichtigte System- oder Komponenteneigenschaft, die das Risiko eines Eindringens oder Datenverlusts erhöht, entweder durch versehentliches Offenlegen, vorsätzlichen Angriff oder Konflikte mit neuen Komponenten. Eine solche Schwachstelle kann ein Designfehler, ein Implementierungsfehler, eine Fehlkonfiguration usw. sein.

Bevor wir fortfahren, klären wir den Unterschied zwischen einer Schwachstelle, einem Exploit und einer Bedrohung.

  • Eine Schwachstelle existiert im System ohne Zutun von Außenstehenden
  • Ein Exploit ist die Art und Weise, wie Eindringlinge eine vorhandene Systemschwäche für einen Angriff ausnutzen
  • Eine Bedrohung ist der eigentliche Vorfall, wenn ein oder mehrere Exploits eine Schwachstelle nutzen, um in ein System einzudringen

Sicherheitsexperten können Schwachstellen sofort nach ihrer Entdeckung mithilfe von Software-Patches, Hardwareaustausch und Systemneukonfiguration beseitigen. Durch die Schulung der Endbenutzer in Sicherheitspraktiken und die Aktualisierung aller Komponenten werden Schwachstellen ebenfalls verhindert und minimiert. Darüber hinaus müssen die Sicherheitsteams bedenken, dass mit der Weiterentwicklung der Systeme neue Schwachstellen auftreten. Daher müssen Unternehmen ihre Software, Hardware und Netzwerke systematisch auf neue Schwachstellen scannen und diese beheben, bevor sie entdeckt und ausgenutzt werden.

Immer wieder tauchen neue Sicherheitslücken auf, da die National Vulnerability Database (NVD) der US-Regierung im ersten Quartal 2022 über 8.000 neue Einträge veröffentlichte. Mit diesem rasanten Tempo können viele Unternehmen nicht Schritt halten und lassen jahrelang offene Schwachstellen offen Systeme. Eine Studie über Software-Schwachstellen ergab, dass 75 % der im Jahr 2020 durchgeführten Angriffe Schwachstellen ausnutzten, die mindestens zwei Jahre alt waren, während sich 18 % auf Schwachstellen stützten, die bereits 2013 gemeldet wurden!

Wie gelangen Sicherheitslücken in Software und Netzwerke?

Untersuchungen zufolge entsprechen 75 % der von Softwareanbietern entwickelten Anwendungen nicht den Top-10-Standards des Open Web Application Security Project (OWASP). Diese Standards sind öffentlich zugänglich. Warum schaffen es so viele immer noch nicht, eine sichere Anwendung zu erstellen? Hier sind die Hauptgründe:

Anfälliger Code von Drittanbietern und andere Komponenten. Es ist gängige Praxis, Komponenten von Drittanbietern wiederzuverwenden, da dies den Entwicklungsprozess erheblich beschleunigt. Benutzer neigen jedoch dazu, die Sicherheit dieser Teile auf die leichte Schulter zu nehmen und sie oft ohne gründliche Bewertung einzusetzen. Gleiches gilt für das Kopieren und Einfügen von Code aus Quellen wie Stack Overflow, ohne dessen Sicherheit zu bewerten.

Unsichere Codierungspraktiken. Neuere Studien zeigen, dass Sicherheit für die meisten Entwickler nicht einmal auf dem Radar ist. In einem Experiment, das die Einstellung von 1.200 Entwicklern untersuchte, kamen die Forscher zu dem Schluss, dass nur 14 % der Sicherheit beim Schreiben von Code Priorität einräumen. Beachten Sie auch, dass viele Organisationen von ihren Entwicklern verlangen, Code schnell und unter engen Fristen zu erstellen, was einfach keinen Raum für eine gründliche Sicherheitsbewertung lässt und zu Schwachstellen im Code führt.

Sich schnell verändernde Cyberangriffslandschaft. Angreifer entdecken ständig neue Wege, um die Sicherheit von Anwendungen zu verletzen. So können Teile, die früher als immun galten, heute angreifbar werden. Wenn das IT-Team Anwendungen und Netzwerke nicht systematisch auf Schwachstellen untersucht und nicht alle Software auf dem neuesten Stand hält, ist es nur eine Frage der Zeit, bis sich Schwachstellen zeigen.

Klassifizierung von Sicherheitslückentypen

Es gibt zwei Plattformen, OWASP und CWE, die eine zuverlässige und detaillierte Liste von Sicherheitslücken anbieten. Sie aktualisieren ihre Auflistungen, um aufkommende Schwachstellen aufzunehmen. Beide Ressourcen können verwendet werden, um Programmierer, Tester und Ingenieure zu schulen.

OWASP ist eine gemeinnützige globale Community, die regelmäßig eine OWASP-Liste mit den 10 wichtigsten Software-Schwachstellen veröffentlicht. Common Weakness Enumeration (CWE) ist eine Zusammenstellung von Software- und Hardware-Schwachstellen, die ebenfalls von einer engagierten Community entwickelt wurde, und umfasst 25 Einträge.

Hier sind 18 der prominentesten Sicherheitslücken, die wir in diesem Artikel hervorheben möchten, sortiert nach Domänen. Diese können sich in beliebigen IT-Systemen wie der Cloud, IoT-basierten Konfigurationen und mobilen Apps manifestieren.

1. Mangel an starken Verschlüsselungsverfahren

Auch wenn die Verschlüsselung einen Cyberangriff nicht stoppen würde, ist es wichtig sicherzustellen, dass sensible Daten auch dann sicher bleiben, wenn ihre Speicherplattform verletzt wird. Angreifer können verschlüsselte Daten erst missbrauchen, nachdem sie sie entschlüsselt haben, was dem angegriffenen Unternehmen Zeit gibt, die notwendigen Maßnahmen zu ergreifen, z. B. die betroffenen Parteien zu benachrichtigen und Gegenmaßnahmen gegen Identitätsdiebstahl vorzubereiten.

Untersuchungen zeigen, dass viele Unternehmen keine unmittelbaren Pläne haben, Daten auf USB-Sticks, Laptops und Desktops zu verschlüsseln. Apropos Datenschutzbestimmungen: Die DSGVO fordert die Verschlüsselung nicht explizit, sondern beschreibt sie als „angemessene technische und organisatorische Maßnahmen“ zur Datensicherheit.

In seinem Bericht „Cost of a Data Breach“ wies IBM darauf hin, dass Verschlüsselung einer der einflussreichsten Faktoren ist, der die durchschnittlichen Kosten von Datenschutzverletzungen reduzieren kann.

2. Offenlegung sensibler Daten

Daten können durch menschliches Versagen offengelegt werden, wenn ein fahrlässiger Mitarbeiter sie in eine öffentliche Datenbank oder eine Website hochlädt. Aber diese Art von Sicherheitslücke kann auch durch interne Prozesse unterstützt werden, die es einem unbefugten Mitarbeiter ermöglichen, sich Zugang zu sensiblen Daten zu verschaffen und diese zu manipulieren.

Egress, ein Cybersicherheitsunternehmen, führte eine Umfrage durch, die aufdeckte, dass 83 % der US-Unternehmen versehentlich vertrauliche Daten über E-Mail, Dateifreigabe, Collaboration-Software und Messaging-Apps preisgegeben haben.

3. Unzureichender Schutz der Transportschicht

Diese Art von Schwachstelle befasst sich mit dem Informationsaustausch zwischen der Client- und der Serveranwendung. Solche Informationen können sensible Daten enthalten, einschließlich Benutzeranmeldeinformationen und Kreditkartendaten. Wenn der Datentransport nicht gesichert ist, kann die Kommunikation abgehört werden und Angreifer können sich Zugang zu den Daten verschaffen und die Verschlüsselung entschlüsseln, wenn schwache Algorithmen verwendet werden.

4. Falsch konfigurierte Systemkomponenten und riskante Interaktionen

Die falsche Konfiguration von Komponenten und Interaktionen zwischen ihnen ist ein weiteres Sicherheitsproblem, auf das wir häufig stoßen. Beispielsweise vergisst der Administrator beim Einrichten eines IT-Systems, die Standardeinstellungen des Herstellers zu überschreiben und Verzeichnislisten zu deaktivieren, wodurch das System ungeschützt bleibt. Ein weiteres Beispiel ist das Vergessen, den Zugriff auf externe Geräte einzuschränken.

Apropos Interaktionen: Es ist ratsam, dass Anwendungen einen Zero-Trust-Ansatz verfolgen und jede Eingabe als riskant betrachten, bevor sie verifiziert und als legitim bewiesen wird. Dies trägt dazu bei, Angriffe wie Cross-Site-Scripting zu vermeiden, bei denen Angreifer eine Anwendung mit nicht vertrauenswürdigen Daten füllen.

Dieser Aspekt ist besonders relevant für Cloud-basierte Lösungen. Eine Studie berichtete, dass Server-Fehlkonfigurationen zu 200 Cloud-Verstößen in zwei Jahren beigetragen haben. Eine andere Studie zeigt, dass rund 70 % der Cloud-Sicherheitsverletzungen mit einer fehlerhaften Architektur beginnen. Beispielsweise wurden 2019 in den USA 750.000 Anträge auf Geburtsurkunden durch einen falsch konfigurierten AWS-Speicher-Bucket offengelegt.

5. Schwache serverseitige Kontrolle

Dieser Sicherheitslückentyp steht für alles, was auf der Serverseite schief gehen kann, von schlechter Authentifizierung bis hin zu Sicherheitsfehlkonfigurationen, die Angriffe ermöglichen, wie z.

Beispielsweise kann eine Fehlkonfiguration in einem Datenbankserver dazu führen, dass Daten über eine einfache Websuche zugänglich werden. Und wenn es Administratoranmeldeinformationen enthält, können Eindringlinge Zugriff auf den Rest des Systems erhalten.

6. Remote-Code-Ausführung

Dies bedeutet, dass Software-Sicherheitslücken, die von Ihrem System präsentiert werden, Eindringlingen ermöglichen, bösartigen Code über das Internet auf Ihren Geräten auszuführen. Wenn beispielsweise ein Mitarbeiter auf einer Website eines Drittanbieters auf einen E-Mail-Link klickt, injiziert der Hacker hinter diesem Setup den Computer des Opfers mit Malware und übernimmt von dort aus die Kontrolle. Der Außenstehende kann auf sensible Daten zugreifen oder die Maschine sperren und Lösegeld verlangen.

7. Bekannte betriebssystembasierte Schwachstellen

Jedes Betriebssystem hat seine Liste von Software-Schwachstellen. Einige Listen werden online veröffentlicht, damit jeder sie einsehen kann. Hier ist zum Beispiel die Liste der 10 größten Schwachstellen des Windows 10-Betriebssystems und hier ist die entsprechende Auflistung für OS X. Es ist Sache der Sicherheitsteams, diese Punkte zu überprüfen und anzugehen, um die Angriffsmöglichkeiten zu minimieren.

8. Ausführen von Skripten ohne Virenprüfung

Dies ist eine häufige Sicherheitslücke, die in bestimmten Webbrowsern vorhanden ist. Beispielsweise erlaubt Safari die Ausführung „vertrauenswürdiger“ Skripts ohne ausdrückliche Benutzererlaubnis. Hacker neigen dazu, diese Schwachstelle auszunutzen, indem sie versuchen, einen bösartigen Code auszuführen, der mit einem „sicheren“ Skript verwechselt werden kann. Glücklicherweise ist es oft möglich, dieses „Feature“ zu deaktivieren.

9. Schwache Anmeldeinformationen

Eindringlinge können sich Zugang verschaffen, indem sie die Zugangsdaten von Benutzern brutal erzwingen. Dies ist besonders einfach, wenn allein das Passwort „123456“ von über 23 Millionen Menschen verwendet wird. Dies gilt zusätzlich zu Passwörtern wie „admin“, „password“ und „qwerty“, die ebenfalls gebräuchlich und ziemlich leicht zu hacken sind.

Diese Art von Software-Schwachstelle wird als von Menschen verursacht angesehen, aber Unternehmen können Maßnahmen ergreifen, die Mitarbeiter dazu zwingen würden, stärkere Optionen zu wählen und ihre Anmeldeinformationen oft genug zu ändern. Dies ist angesichts der Rolle, die schwache Anmeldeinformationen bei der Systemsicherheit spielen, von entscheidender Bedeutung. Statistiken zeigen, dass 80 % der Sicherheitsverletzungen durch schwache Passwörter ermöglicht wurden und dass 61 % der Benutzer dazu neigen, eine Sicherheitsphrase für mehrere Dienste zu verwenden.

10. Verwendung von Komponenten mit bekannten Schwachstellen

Die Bereitstellung von Drittanbieterkomponenten wie Bibliotheken, APIs, Datensätzen und Frameworks kann den Aufwand für die Inbetriebnahme Ihres Systems erheblich reduzieren. Aber es kann auch Schwachstellen einführen. Es ist wichtig, sorgfältig zu bleiben und diese Komponenten zu bewerten, um sicherzustellen, dass sie keine Hintertüren offen lassen, um auf sensible Daten zuzugreifen.

Auch das Herunterladen und Verwenden von Bildern von Drittanbietern kann gefährlich sein. Im Jahr 2021 wurden 30 Docker-Hub-Images mit einem Downloadvolumen von 20 Millionen bereitgestellt, um Cryptomining-Malware zu verbreiten.

11. Unsicheres Design

Dies ist ein relativ neuer Sicherheitslückentyp, der 2021 auf OWASP auftauchte. Die Organisation fordert sichere Entwurfsmuster, Bedrohungsmodellierung und Referenzarchitektur, um Schwachstellen von Anfang an zu beseitigen.

Sicheres Design ist eine Methode, die Bedrohungen ständig bewertet und die Robustheit des Codes gewährleistet. Es fördert systematische Tests gegen bekannte Angriffsmethoden. Es betrachtet Sicherheit als einen wesentlichen Bestandteil der Softwareentwicklung, nicht als Add-on oder nettes Feature.

12. Sicherheitsfehler in APIs

Anwendungsprogrammierschnittstellen (APIs) ermöglichen die Interaktion von Softwarekomponenten miteinander, was ein wesentlicher Bestandteil eines IT-Systems ist. APIs mit schwachen Sicherheitsmaßnahmen können jedoch mehrere Lücken öffnen, z. B. eine fehlerhafte Authentifizierung, und Code-Injection und andere böswillige Praktiken zulassen.

Beispielsweise kann eine rücksichtslos erstellte API, die sich auf die Clientseite verlässt, um Informationen zu filtern, bevor sie den Benutzern präsentiert werden, Daten offenlegen und zum Abrufen verfügbar machen. Sensible Daten müssen serverseitig gefiltert werden. Hier ist ein weiteres Beispiel für diese Art von Sicherheitslücke: Wenn eine API die Anzahl eingehender Anfragen nicht beschränkt, kann sie die Gelegenheit für Denial-of-Services-Angriffe (DoS) eröffnen.

Hier ist die OWASP-Liste der 10 wichtigsten API-bezogenen Sicherheitslücken, die Sie berücksichtigen sollten. Unsichere APIs haben in den vergangenen Jahren vielen Angriffen Tür und Tor geöffnet. Ein berüchtigtes Beispiel stammt von LinkedIn, wo ein böswilliger Akteur die authentifizierungsfreie API der Plattform nutzte, um Daten von 700 Millionen Benutzern herunterzuladen. Mithilfe einer ähnlichen API-Verletzung hat ein Eindringling Informationen über 1,3 Millionen Clubhouse-Benutzer abgerufen und in einem Hacker-Forum veröffentlicht.

13. Unzureichende Authentifizierung

Schwache Authentifizierungsmaßnahmen ermöglichen es Hackern, die Option „Passwort vergessen“ auszunutzen, um Konten zurückzusetzen oder einen Kontoübernahmeangriff zu initiieren. Es hilft dem Eindringling, wenn die Authentifizierungsfrage so etwas wie das Geburtsdatum oder den Kosenamen des Benutzers ist, da dies dank sozialer Medien öffentlich zugängliche Informationen sind. Die Befolgung eines Multi-Faktor-Authentifizierungsprozesses erhöht die Sicherheit. Leider zeigen Untersuchungen, dass nur 26 % der US-Unternehmen diese starke Authentifizierungsmethode verwenden.

14. Unzureichende Überwachung und Protokolle

Protokolle speichern Daten zu Systemereignissen, Netzwerkaktivitäten und Benutzeraktionen. Durch die Überwachung von Protokollen können Sicherheitsteams alle kürzlich stattgefundenen Aktivitäten beobachten und verdächtige Ereignisse identifizieren. Wenn Protokolle nicht systematisch überprüft werden, entsteht eine Informationslücke, in der Software-Schwachstellen und böswillige Aktivitäten unentdeckt bleiben.

15. Superuser-Privilegien

Je weniger Daten ein Benutzer abrufen kann, desto weniger Schaden kann sein Konto anrichten, wenn es kompromittiert wird. Einige Unternehmen gewähren Superuser-Rechten jedoch immer noch nachlässig links und rechts und beschränken den Zugriff der Mitarbeiter nicht auf das, was sie zur Erfüllung ihrer täglichen Aufgaben benötigen. Wenn ein Eindringling ein Konto auf Administratorebene ergreift, kann er Antivirensoftware und Firewall deaktivieren, schädliche Apps installieren, den Besitz von Dateien übernehmen usw.

Untersuchungen zufolge beginnen 74 % der Datenschutzverletzungen mit dem Missbrauch privilegierter Zugangsdaten.

16. Veraltete Software

Die meisten Unternehmen wissen, dass ein rechtzeitiges Software-Update der Schlüssel zu einem sicheren System ist. Es scheint jedoch, dass nur wenige diese Praxis tatsächlich befolgen. Cybernews berichtet über eine aktuelle Studie, die die Häufigkeit von Software-Updates untersucht. Diese Untersuchung wurde über einen Zeitraum von 18 Monaten durchgeführt und ergab, dass 95 % der untersuchten Websites tatsächlich auf veralteter Software mit bekannten Schwachstellen laufen. Das Forschungsteam entdeckte auch, dass ein durchschnittliches Softwareprodukt in der Regel vier Jahre hinter seinem neuesten Patch zurückbleibt.

Darüber hinaus stellte Kaspersky fest, dass Unternehmen, die veraltete Software verwenden, im Falle eines Verstoßes wahrscheinlich 47 % mehr Kosten entstehen.

Ein Beispiel: Bei der Hotelkette Marriott wurden 500 Millionen Datensätze durch eine Sicherheitsverletzung kompromittiert, die auf eine ungepatchte Software zurückzuführen war.

17. Schwachstellen im Quellcode

Code-Schwachstellen schleichen sich während der Softwareentwicklung ein. Beispielsweise kann ein Programm vertrauliche Daten unverschlüsselt übertragen oder eine zufällige Zeichenfolge verwenden, die nicht wirklich zufällig ist. Solche Fehler werden oft während der Software-Testphase abgefangen.

Laut einer kürzlich durchgeführten Secure Code Warrior-Umfrage gaben 86 % der teilnehmenden Entwickler zu, dass sie die Anwendungssicherheit beim Schreiben eines Codes nicht als oberste Priorität betrachten, wobei 36 % dies auf knappe Fristen zurückführen. Die Umfrage ergab auch, dass 33 % der Befragten nicht einmal verstehen, was ihren Code angreifbar macht.

18. SQL-Injection

Dieser Sicherheitslückentyp ist für Websites und Anwendungen relevant, die von Structured Query Language (SQL) unterstützt werden. Es ermöglicht dem Angreifer, vom Benutzer bereitgestellte SQL-Anweisungen zu ändern und den Interpreter dazu zu bringen, unbeabsichtigte Befehle auszuführen und Zugriff auf die Datenbank zu gewähren. Auf diese Weise können Eindringlinge sensible Daten manipulieren, indem sie sensible Felder ersetzen/löschen/modifizieren.

Dies ist eine ziemlich alte Schwachstelle, die bereits 2019 für über 65 % der Angriffe auf Software-Apps verantwortlich war.

Systemspezifische Arten von Sicherheitslücken und wie diese Software-Schwachstellen verhindert werden können

Nachdem wir allgemeine Sicherheitslücken hervorgehoben haben, gehen wir zu anwendungs- und systemspezifischen Schwachstellen über und finden heraus, wie Sie Ihre Systeme davor schützen können.

Die Wolke

Es gibt eine umfangreiche Liste möglicher Arten von Sicherheitslücken in der Cloud, unabhängig davon, ob es sich um Azure, AWS, GCP oder einen anderen Cloud-Anbieter handelt. Unser Cloud-Experte Alexey Zhadov unterteilt diese Schwachstellen in Schichten und gibt Tipps, wie man sie verhindert.

Schwachstellen auf Systemebene

Auf welchem ​​Cloud-Dienst Ihre Software auch immer läuft, es gibt immer ein Betriebssystem unter der Haube. Auch wenn Sie nur auf ein Control Panel für Ihre Ressource zugreifen können. Jedes Betriebssystem hat seine „Löcher“ und „Hintertüren“. Betriebssystementwickler suchen ständig nach diesen Schwachstellen und versuchen, die Grundlagen abzudecken. Aus diesem Grund ist es wichtig, Ihre Software auf dem neuesten Stand zu halten und bei bekannten Problemen über die neuesten Entwicklungen im Bereich Cybersicherheit informiert zu sein.

Sicherheitslücken in der Netzwerkschicht

Jede Cloud-Ressource wird in einem Cloud-Netzwerk ausgeführt. Und damit kommt die Möglichkeit, sich extern mit der Ressource zu verbinden. Das Sicherheitsteam muss sicherstellen, dass die Netzwerkkonfiguration angemessen ist. Öffnen Sie niemals Ports, die Sie nicht bereitstellen möchten, verwenden Sie Whitelisting von IPs, die Sie kennen, und von Netzwerken, von denen erwartet wird, dass sie sich mit Ihrer Lösung verbinden. Seien Sie vorsichtig beim Öffnen einer direkten Verbindung zu RDP/SSH-Ports von anderen Orten als bekannten IPs.

Sicherheitslücken in der Konfigurationsebene

Die Cloud muss gemäß den Anforderungen und Zielen des Benutzers richtig konfiguriert sein und diese Konfiguration muss immer auf dem neuesten Stand gehalten werden. Richten Sie Richtlinien und Verfahren für die Konfigurationsverwaltung ein und überwachen Sie alle verdächtigen Aktivitäten.

Schwachstellen des menschlichen Faktors

Vergessen Sie nicht Endbenutzer und Administratoren, die Zugriff auf die Cloud-Lösung haben. Kontodiebstahl ist eine der häufigsten Schwachstellen in jedem IT-System. Wenn ein Eindringling Zugriff auf die Zugangsdaten eines anderen Kontos erhält, kann er das System innerhalb der Rechte des Kontos frei betreten und manipulieren, und niemand wird ihn daran hindern, bis er eine Benachrichtigung von dem gehackten Benutzer erhält. Hier ist die Liste der häufigsten Arten von Sicherheitslücken in Cloud-Anwendungen:

  • Falsch konfigurierte Netzwerke und Firewalls
  • Falsch konfigurierter Cloud-Speicher
  • Unsichere APIs
  • Schlechte Zugriffsverwaltung
  • Kontodiebstahl
  • Böswillige Insider
  • Systemschwachstellen
  • Sicherheitslücken bei gemeinsam genutzten Mandanten
  • Fehlende Multifaktor-Authentifizierung für Benutzer und Geräte, die dem Netzwerk beitreten möchten

Alexey empfiehlt ein paar einfache Regeln, die Unternehmen zum Schutz ihrer Cloud-Systeme implementieren können:

  • Betriebssysteme aktuell halten
  • Schützen Sie Ihre Netzwerke
  • Verwenden Sie Bastion-Server, um auf Ihren geschlossenen Perimeter zuzugreifen
  • Konfigurieren Sie Netzwerksicherheitsgruppen und Zugriffssteuerungslisten
  • Beschränken Sie den Zugriff auf unnötige Ports
  • Konfigurieren Sie Überwachung und Protokollierung, wenn möglich
  • Implementieren Sie eine Multi-Faktor-Zugriffskontrolle für alle Benutzer
  • Verwenden Sie Firewalls und DDoS-Schutz
  • Verwenden Sie Cloud-Tools, um die Einhaltung von Sicherheitsstandards zu überprüfen, z. B. Azure Security Center

Web Applikationen

Alexey ging auch auf Software-Sicherheitsprobleme ein, die Webanwendungen heimsuchen. Durch das Ausnutzen dieser Schwachstellen können Angreifer der Anwendung und der Organisation als Ganzes schweren Schaden zufügen. Hier sind die häufigsten Angriffe auf Web-Apps, die auf Sicherheitslücken in Web-Apps zurückzuführen sind:

  • SQL-Injektion
  • Cross-Site-Scripting
  • Wegdurchquerung
  • Remote-Befehlsausführung

Wenn Cyberkriminelle diese Angriffe erfolgreich starten, können sie Malware einschleusen, Benutzerkonten kompromittieren, auf eingeschränkte Informationen zugreifen und vieles mehr. Also, wie testet man Software auf Schwachstellen? Alexey empfiehlt, Sicherheitstests für Webanwendungen durchzuführen, um die folgenden Parameter zu bewerten:

  • Eingabevalidierung. Wie kann die Anwendung Eingaben verarbeiten und böswillige Eingaben erkennen und blockieren?
  • Serverkonfiguration. Verwendet es eine starke Verschlüsselungsmethode?
  • Authentifizierungsverwaltung. Welche Autorisierungsarten werden erzwungen? Können sich Benutzer für schwache Passwörter entscheiden?
  • Berechtigungsoptionen. Kann sich die App vor Privilegieneskalationen schützen?
  • Geschäftslogik. Können Benutzer ungültige Daten einfügen? Können sie Authentifizierungsschritte überspringen? Können Benutzer die Integrität der App und ihrer Daten beschädigen?

Mobile Anwendungen

Wenn wir von der Sicherheit mobiler Apps sprechen, können wir neben der Anwendung auch Sicherheitslückentypen nicht außer Acht lassen, die das Gerät selbst aufweist. Alexey Zhadov, unser Cloud- und Mobile-Experte, teilte auch allgemeine Probleme mit, die mobile Apps betreffen:

  • Schwache serverseitige Kontrolle
  • Unsichere Datenspeicherung
  • Unzureichender Schutz der Transportschicht
  • Unbeabsichtigtes Datenleck
  • Schlechte Autorisierung und Authentifizierung
  • Schlechte Kryptografie
  • Clientseitige Injektion
  • Nicht vertrauenswürdige Eingaben
  • Unsachgemäße Sitzungsbehandlung
  • Fehlender binärer Schutz
  • Unsachgemäße Verwendung des Betriebssystems
  • Unsicherer Datenverkehr und API-Aufrufe
  • Code-Manipulation und Geräte mit Jailbreak
  • Unzureichende Protokollierung und Überwachung
  • Sicherheitsfehlkonfigurationen

Um mobile Anwendungen zu sichern, empfiehlt Alexey einige einfache Praktiken, die Unternehmen beim Design und der Wartung von Apps implementieren können:

Open-Source-Code-Bewertung: Die meisten mobilen Anwendungen verwenden Open-Source-Bibliotheken von Drittanbietern, die für alle verfügbar sind. Dies rationalisiert den Entwicklungsprozess, öffnet aber auch Hintertüren für potenzielle Eindringlinge. Daher ist es zwingend erforderlich, den Code von Drittanbietern streng auf Software-Sicherheitslücken zu testen, bevor er in die App integriert wird.

Starke Kryptographiepraktiken: Verschlüsseln und Entschlüsseln von Daten während der Übertragung. Mit einer starken Datenverschlüsselungstechnik werden Anwendungsdaten wie Quellcode, Benutzerinformationen und Anmeldeinformationen Ihr App-Speicher gesichert. Sobald die Daten verschlüsselt sind, können Hacker sie nicht interpretieren, selbst wenn sie Zugriff auf den ursprünglichen Inhalt erhalten.

Code-Signing-Zertifikat: Entwickler können mobile Anwendungen signieren, um sie vor Cyberangriffen zu schützen und das Vertrauen der Benutzer zu gewinnen. Eine solche Signatur stellt sicher, dass der Code nach dem Signieren der App nicht interpretiert oder verändert wurde. Das Sicherheitsteam kann mehrere Optionen für Codesignaturzertifikate mit bescheidenen Preisen finden. Diese Praxis ist sowohl kostengünstig als auch zuverlässig.

Daten-Cache-Schutz: Zwischengespeicherte Daten enthalten Informationen, die von der App abgerufen werden, um beim schnelleren erneuten Öffnen zu helfen, um die Leistung der App zu verbessern. Der Datencache wird im Allgemeinen ohne zusätzliche Sicherheitsmaßnahmen auf dem Gerät eines Benutzers gespeichert. Es ist sicherer, ein Passwort zu generieren und die Anwendung zu sperren. Darüber hinaus empfiehlt Alexey, zwischengespeicherte Daten regelmäßig zu löschen und sich über eine sichere Netzwerkverbindung anzumelden.

Sichere Datenspeicherung: Jede Anwendung enthält Daten, die Eindringlinge missbrauchen können. Es enthält Informationen sowohl von Benutzern als auch von App-Entwicklern. Daher ist es wichtig, diese Daten sicher in einem gesicherten Cloud-Speicher zu speichern, anstatt sich auf lokale Speichereinheiten zu verlassen.

Authentifizierungs- und Autorisierungstechniken: Es ist wichtig, eine Multi-Faktor-Authentifizierung einzurichten, um Datendiebstahl zu verhindern. Es umfasst Benutzer-ID, Passwort, PIN, OTP usw. Die Autorisierung sollte immer serverseitig erfolgen, um Rollen und Berechtigungen der authentifizierten Benutzer zu überprüfen.

Datenlöschung und Gerätesperre: Diese Funktion wird hauptsächlich in Anwendungen verwendet, die vertrauliche Daten wie persönliche, finanzielle, Gesundheitsinformationen usw. enthalten. Es handelt sich um eine Sicherheitsebene, bei der entfernte Daten nach mehreren erfolglosen Anmeldeversuchen von Seiten des Benutzers gelöscht werden Anwendung wird automatisch gesperrt. Es verbietet Benutzern auch, anstelle von Großbuchstaben, Sonderzeichen, Alphabeten, Zahlen usw. eine fortlaufende Nummer für ihr Passwort zu wählen.

Reverse-Engineering-Gegenmaßnahmen: Hacker verwenden Reverse-Engineering, um die Funktionalität der Anwendung zu manipulieren. Durch den Zugriff auf den Quellcode der App können Hacker den Authentifizierungsprozess umgehen, ihren Standort fälschen und die Daten stehlen. Die Durchsetzung der Laufzeitsicherheit ist von größter Bedeutung, um Reverse Engineering entgegenzuwirken. Es verhindert, dass Eindringlinge die internen Funktionen einer App ändern, indem sie ihre Codestruktur ändern, um das Verhalten der Anwendung zu beeinflussen.

IoT-Lösungen

Was IoT-Lösungen aus Sicherheitssicht einzigartig macht, ist, dass die Fähigkeiten jedes Geräts durch seine Nutzungsanforderungen eingeschränkt sind. Es gibt keinen Platz, um ausgefallene Sicherheitsfunktionen zu implementieren, die zusätzliche Kapazität, Speicher oder Strom verbrauchen, was IoT-Geräte anfällig macht.

Unser IoT-Experte Yahor Paloika hebt die folgenden Arten von Sicherheitslücken in verbundenen Geräten hervor:

  • Hartcodierte Anmeldeinformationen. IoT-Geräte werden mit hartcodierten Passwörtern geliefert, die Administratoren manchmal vergessen zu ändern, was Hackern die Möglichkeit gibt, mit diesen bekannten Anmeldeinformationen leicht in das System einzudringen.
  • Ungeschützte Netzwerke. Einige Netzwerke erzwingen keine starke Authentifizierung, sodass Eindringlinge Geräte hinzufügen, das Setup neu konfigurieren können, um den Datenfluss zu ändern, Daten abzufangen und ihre eigenen Daten einzuspeisen, um Sensormesswerte zu imitieren.
  • Schwaches Update-Management. Viele IoT-Geräte arbeiten unabhängig und verlassen sich nicht auf menschliche Eingriffe, um Updates durchzuführen. In diesem Fall ist ein Update-Verwaltungssystem dafür verantwortlich, dass automatische Updates über einen verschlüsselten Kanal ankommen, von einer verifizierten Quelle stammen und nicht beschädigt sind. Wenn ein solches System schwach ist, ermöglicht es Eindringlingen, die aktualisierte Software und Firmware zu beschädigen und das Verhalten des Geräts zu ändern.
  • Veraltete Codemodule. Wenn Sie vergessen, veraltete Module zu entfernen, die nicht mehr verwendet werden, haben Hacker genug Zeit, um ihre Software-Sicherheitsprobleme zu untersuchen und Schlupflöcher zu finden, um in das System einzudringen. Alle Module, die nicht Teil der Funktionalität angeschlossener Geräte sind, müssen entfernt werden.
  • Datenschutz. Alle Daten, die innerhalb des IoT-Netzwerks zirkulieren, müssen verschlüsselt werden, und nur autorisierte Benutzer können darauf zugreifen.

Das Hacken von IoT-Systemen kann verheerende Auswirkungen haben. Beispielsweise könnte ein Forscherteam in einem Experiment in die Software von IoT-Geräten im Jeep Cherokee eindringen und böswillige Befehle über das Unterhaltungssystem des Jeeps senden. Sie manipulierten die Klimaanlage, senkten die Temperatur, schalteten die Windschutzscheiben ein und deaktivierten anschließend zum Entsetzen des Fahrers die Bremsen. Zum Glück war es nur ein Experiment. Hier sind einige Tipps, die Yahor zum Schutz von IoT-Systemen empfiehlt:

  • Verwenden Sie ein vorhandenes sicherheitsintensives kryptografisches Protokoll wie Transport Layer Security (TLS), um die Kommunikation in einem IoT-Netzwerk zu unterstützen und den Mangel an integrierter Sicherheit auszugleichen
  • Verfügen Sie über ein modernes integriertes Schlüssel- und Zertifikatsverwaltungs-Subsystem, das die erforderliche Verschlüsselung und Sicherheitsstufe bietet. Außerdem empfiehlt Yahor, Schlüssel und Zertifikate mindestens alle sechs Monate zu aktualisieren
  • Richten Sie ein zuverlässiges Passwortverwaltungssystem ein, um sichere Passwörter zu generieren und diese systematisch zu ändern
  • Implementieren Sie ein Update-Verwaltungssystem, das nur sichere Updates von einer legitimen Quelle durchlässt und alle Versuche blockiert, beschädigte Änderungen zu erzwingen

KI-Lösungen

Es gibt einen Aspekt, der Lösungen für künstliche Intelligenz (KI) und maschinelles Lernen (ML) wesentlich von den anderen in diesem Artikel erwähnten Systemen unterscheidet – es ist die Tatsache, dass solche Modelle oft darauf trainiert werden, Vorhersagen zu treffen, und dieser Trainingsprozess führt mehrere ein Arten von Sicherheitslücken. Unser KI-Experte Maksym Bochok hat die beliebtesten Schwächen hervorgehoben:

  • Der Angreifer kann den Trainingsdatensatz manipulieren und das Modell dazu zwingen, falsche Regeln zu lernen und falsche Vorhersagen zu treffen
  • ML-Ingenieure entscheiden sich möglicherweise für vorhandene vortrainierte Modelle, die sie online finden, und diese Modelle können bereits bösartig sein. Sie könnten beispielsweise den Trojaner-Virus oder andere Malware enthalten.
  • Der Eindringling kann sich den Algorithmus selbst beschaffen und den Code, die Gewichtungen und andere Parameter anpassen, um das Verhalten des Modells zu ändern.

Darüber hinaus wird KI häufig mit anderen Technologien wie IoT und der Cloud kombiniert, wodurch sie anfällig für die Sicherheitslücken wird, die von diesen Systemen eingeführt werden.

Zur Sicherung von KI-Systemen empfiehlt unser Experte Folgendes:

  • Stellen Sie bei der Verwendung von vortrainierten Modellen und externen Datasets sicher, dass sie keine Malware enthalten
  • Testen Sie Ihre Algorithmen systematisch auf die gewünschte Ausgabe, um sicherzustellen, dass niemand die Übereinstimmungsregeln manipuliert oder Verzerrungen eingeführt hat usw.
  • Überwachen Sie Datendrifts (Änderungen der Eingabedaten)
  • Erkennen Sie Ausreißer, da Eindringlinge potenziell gefährliche Daten einfügen können, um das Modell auf die gewünschte Ausgabe zu verzerren
  • Suchen Sie in Ihrem Trainingsdatensatz nach möglichen Ausreißern
  • Verwenden Sie allgemeine KI-Sicherheitsbewertungstools wie Counterfit. Es wird dazu beitragen, dass Algorithmen zuverlässig und robust sind.
  • Profitieren Sie von bestehenden Datenschutz-Tools und schützen Sie vertrauliche Daten bei der Speicherung und Nutzung. Ein Beispiel ist das Tool Imperva, das als externe Firewall dienen kann.

Zu einer letzten Anmerkung

Wenn Sie ein erfolgreiches Unternehmen sind, besteht eine gute Chance, dass jemand versucht, in Ihr System einzudringen, um entweder Lösegeld zu fordern oder den Ruf zu schädigen. Und da Hacker ständig nach Schlupflöchern suchen, die sie ausnutzen können, arbeitet Ihr IT-Team daran, Risiken zu reduzieren. Um sicherzustellen, dass Sie dieses Rennen gewinnen, wenden Sie sich an ein erfahrenes Sicherheits- und Testunternehmen, das Ihnen bei der Beurteilung des Zustands Ihres Systems hilft und Empfehlungen zur Verbesserung gibt.

Um zu verhindern, dass Ihre Anwendungen durch verschiedene Arten von Sicherheitslücken offengelegt werden, achten Sie in der Zwischenzeit auf die Konfiguration Ihres Systems, stellen Sie sicher, dass Ihre gesamte Software auf dem neuesten Stand ist, und schulen Sie Ihre Mitarbeiter in sicheren Verfahren.

Haben Sie Zweifel an der Sicherheit Ihres bestehenden Systems? Oder möchten Sie eine Anwendung unter Berücksichtigung der Sicherheit erstellen? Schreiben Sie dem ITrex-Team eine Nachricht! Unsere Sicherheitsexperten testen Ihre Hard- und Software auf Schwachstellen und schlagen Verbesserungen vor.

Ursprünglich am 6. Juli 2022 unter https://itrexgroup.com veröffentlicht.