Cloud-basiertes Sicherheits-Scanning
Das Schwachstellen-Management (Vulnerability Management, VM) hat sich über viele Jahre hinweg als eine Möglichkeit entwickelt, Software- und Sicherheits-Fehlkonfigurationen, die von Cyberkriminellen ausgenutzt werden, um in Systeme einzudringen, zu identifizieren und entsprechend darauf zu reagieren.Traditionell handelte es sich dabei um Netzwerk-Lösungen im Bereich Firewall. In der letzten Zeit jedoch hat sich der Schwerpunkt auf öffentliche Web- und Cloud-Anwendungen verlagert, die zunehmend zur Aufbewahrung von großen Volumen gefährdeter Daten eingesetzt werden.
TweetIn einem kürzlich veröffentlichten Bericht wurde geschätzt, dass mittlerweile 41% der Unternehmens-Workloads in irgendeiner Form in einer öffentlichen oder privaten Cloud ausgeführt werden - eine Zahl, die bis zum Jahr 2018 auf 60 % steigen wird. Ein wachsender Anteil dessen befindet sich bei öffentlichen Software-as-a-Service-Anbietern (SaaS), die durch die von Gartner so bezeichneten Cloud-Access-Service-Broker (CASBs) verwaltet werden. Diese mittlere Schicht bietet die Fähigkeit, Cloudsicherheitsrichtlinien (Verschlüsselung), Transparenz (Integration mit SIEM), Gefahrenabwehr (Aufdecken von Anomalien) und Compliance (Reporting) durchzusetzen.
Gegenüber der Vielzahl an Web- und Cloud-Anwendungen weist das traditionelle Schwachstellenmanagement immanente Einschränkungen auf, vor allem die Annahme, dass Angreifer herkömmliche Ressourcen im Visier haben, die von Sicherheitsschichten wie Angriffserkennungssystemen und Firewalls geschützt werden. Zudem wird das Schwachstellen-Scanning seiner Natur nach unregelmäßig durchgeführt und stellt daher kein Sicherheitsmodell mehr dar, das der Aufgabe des Schutzes von öffentlichen Anwendungen gewachsen ist. Um genau diese Probleme zu lösen, wurde die Cloud-basierte Schwachstellenanalyse als eine neue Schicht der Sicherheitsdienstleistungen positioniert.
Obwohl die Technik hinter solchen Diensten sehr komplex ist, sind sie in der Regel so konzipiert, dass sie unglaublich einfach zu bedienen sind, und bieten die Sicht auf die Perimeter der Anwendungen aus dem Blickwinkel des Angreifers an. In der einfachsten Form loggt sich der Administrator in den Service ein und legt die Anwendungen und IP-Adressen fest. Danach werden andere Parameter vom VM-Bewertungsdienst automatisiert. Darüber hinaus können sie in einem mandantenfähigen Modus bereitgestellt werden, der Managed-Services-Providern (MSPs) ermöglicht, Cloud-basierte Schwachstellen-Scannings als Teil einer umfassenden Palette an Dienstleistungen anzubieten.
Sind solche Dienste Teil einer lokalen Schwachstellen-Management-Plattform, können sie zudem mit den gleichen Sicherheitsrichtlinien wie diese Systeme verwaltet werden. Durch diesen integrierten Ansatz soll vermieden werden, dass die Cloud-basierte Schwachstellenanalyse zu einem „Sonderfall“ wird, der durch ein paralleles Managementsystem gesichert werden muss und dadurch die Kosten sowie das Risiko von Sicherheitslücken erhöht.
Eine verwandte Entwicklung sind plattformspezifische Cloud-Scan-Dienste wie zum Beispiel Amazons Inspector für AWS. Eines der dabei auftretenden Probleme ist die Tatsache, dass solche Dienste naturgemäß mit einer spezifischen Cloudplattform verbunden sind. Ferner beheben sie (bislang) keine Probleme, sondern informieren den Kunden gegen Zahlung einer Abonnement-Gebühr lediglich über das Bestehen von Problemen. Für die meisten Cloudkunden bietet Inspector die Möglichkeit, Probleme während der Bereitstellung von Anwendungen des Entwicklungsteams automatisch zu identifizieren.
Ein anderes häufig genanntes Plattformwerkzeug ist der Google Cloud Security Scanner für Entwickler, die das Platform-as-a-Service-Entwicklungssystem (PaaS) des Unternehmens für Webanwendungen benutzen. Hierbei handelt es sich in erster Linie um ein Werkzeug, das eher für Entwickler als für Sicherheitsteams gedacht ist, aber es erinnert uns daran, dass Cloud-basiertes Scanning auf einer Vielzahl von Ebenen zu einer Standarddienstleistung wird.
Scanning und AnalyseDie Aufgabe der Cloud-basierten Scan-Systeme besteht im Erkennen und Überprüfen von „Assets“ (einschließlich eventuell unbekannter Systeme, die in der Cloud ausgeführt werden) auf Sicherheitslücken wie Cross-Site-Scripting (CSS), Cross-Site Request Forgery (CSRF), SQL-Injection und Directory Traversal – allesamt häufig genutzte Routen von Angreifern, um Daten zu kompromittieren. Der Branchenstandard der Sicherheitsschwachstellen von Web-Anwendungen ist die zuletzt im Jahr 2013 veröffentlichte Rangliste OWASP Top 10, die 2016 aktualisiert werden soll.
Darüber hinaus ermöglichen sie vielfach das Aufspüren von in gültige Clouddienste eingeschleuster Schadsoftware, unsicheren APIs und in einigen Fällen den eindeutigen Missbrauch von Cloudsystemen bis hin zu Man-In-The-Cloud-Angriffen, die sich gegen öffentliche Dienste richten.
Die wesentlichen Merkmale des Cloud-basierten Scannings sind vielfältig, u.a.:
Durch die Möglichkeit, Authentifizierungsdienste von Drittanbietern wie Microsoft Live Services zu nutzen, müssen keine individuellen Authentifizierungsdaten für die Benutzer erstellt werden, die den Scanner einsetzen dürfen.
In Idealfall sollten die Scanvorgänge automatisiert werden und keine zusätzliche Skripte benötigen.
Die Anzahl der IPs, die zu einem bestimmten Preis in einem Scanvorgang einthalten sind, könnte durch ein Abonnement beschränkt (oder nicht beschränkt) werden (für gewöhnlich erfolgt die Preisgestaltung von Web-Anwendungen separat)
Die Scanvorgänge sollten sowohl planmäßig als auch ad-hoc erfolgen
Der Zugang zu den Scans wird durch HTML5-Schnittstellen auf jedem Browser und Gerät ermöglicht, die diesen Standard unterstützen
Die Möglichkeit, durch die Einteilung der Assets in Gruppen die Planung der Scanvorgänge zu vereinfachen
Im Anschluss an einen Scanvorgang wird eine Reihe von unterschiedlichen Berichtsarten erstellt. Die erste Art ist die Schwachstellenanalyse. Diese bietet Information darüber, was geprüft wurde, welche Arten von Sicherheitslücken gefunden wurden, sowie einige Hinweise, wie sie behoben werden können. Dieser Prozess kann nie perfekt sein, und gelegentliche False Positives sind unvermeidbar. Daher ist die Tiefe der gebotenen Erklärung stets eine entscheidende Ressource.
Normalerweise bewertet dieser Scan die Schwere der Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS) und gibt an, ob in einer herkömmlichen Penetrations-Testing-Plattform wie Open-Source Metasploit-Framework oder Core Impact ein Exploit vorhanden ist. Die Tatsache, dass in diesen Tools das Vorhandensein eines Exploits erwähnt wird, ist wichtig, weil dies dabei entscheiden hilft, welche Sicherheitslücken zuerst behoben werden sollten.
Eine zweite Schicht des Reportings ist die Compliance, die auf Regelungen wie PCI-DSS, SOX und HIPAA zugeschnitten wird und ggf. in einem eigenen Reporting-Format erfolgt. Diese gibt an wie sich eine entdeckte Schwachstelle auf jede dieser Regelungen auswirken wird. Die letzte Schicht ist die Nachbildung dieser Prozedur für Standard- oder benutzerdefinierte Web-Anwendungsreportings.
Auch hier können die Reporting-Funktionen von Cloud-basierten Scan-Engines in einigen Fällen in lokale Schwachstellenmanagement-Systeme integriert werden, um einen umfassenden Überblick über die Compliance eines Unternehmens zu ermöglichen.
FazitZweifellos erscheint Cloud-basiertes Scanning als eine überzeugende Technik, nicht zuletzt deshalb, weil es die Anwendungen – genauso wie ein Angreifer – von außen betrachtet. Es hat allerdings auch Schwächen und stellt kein Allheilmittel dar.
Das Cloud-basierte Scanning allein kann die entdeckten Sicherheitslücken nicht beseitigen. Das ist ein Grund dafür, warum es am besten als Bestandteil eines größeren Schwachstellenmanagement-Systems genutzt wird, das dazu in der Lage ist – das bloße Aufspüren von Sicherheitslücken gibt keinen Hinweis darüber, wie und über welchen Zeitraum diese geschlossen werden. Das ist ebenso wichtig für Compliance und Reporting, die am besten unternehmensweit durchgeführt werden.
