Im September 2014 traf eine weitere Bombe, „Shellshock“, die Sicherheitsgemeinschaft in Form einer Reihe von Schwachstellen in „Bash“, einer Komponente der meisten UNIX-basierten Systeme. Es hat das Potenzial, großen Schaden anzurichten, und die Community war in einem Rausch, als sie versuchte, jedes betroffene System zu reparieren. Es wurden bereits Millionen von Angriffsversuchen auf fast jedes System im Internet geworfen, und einige Angreifer haben versucht, daraus einen sich selbst replizierenden „Wurm“ zu machen. Um als sicher zu gelten, müssen die Netzwerke von Anbietern durch mehrschichtige Firewalls und Angriffserkennungssysteme geschützt werden. Diese Netzwerke müssen außerdem von einem 24x7x365 Security Operations Center (SOC) überwacht werden. Der einzige Sicherheitsansatz, der Bestand hat, ist eine „SECURITY IN DEPTH“-Strategie, ähnlich der von LiveOps, mit mehreren überlappenden und redundanten Schutzebenen.
Bei LiveOps verwenden wir einen ganzheitlichen Sicherheitsansatz. Von dem Moment an, in dem ein Projekt ins Auge gefasst und auf das Reißbrett gesetzt wird, über seine Entwicklungs- und Testschritte bis nach seiner Bereitstellung überprüft unser Anwendungssicherheitsteam jeden Schritt. Sicherheit muss ein integraler Bestandteil davon sein, wie ein Anbieter seine Plattform in jeder Phase des Softwareentwicklungslebenszyklus entwirft und baut – kein nachträglicher Einfall. Darüber hinaus sollte das Sicherheitssystem gründlich getestet werden, um nachzuweisen, dass die Lösung die branchenüblichen Sicherheitsanforderungen erfüllt oder übertrifft. Cloud-basierte Systeme erfordern eine Überwachung rund um die Uhr, um die Sicherheit und Integrität von Kundendaten zu gewährleisten, vor Sicherheitsbedrohungen oder Datenschutzverletzungen zu schützen und unbefugten Zugriff auf Kundendaten zu verhindern.
Sobald ein System in unseren sicheren Rechenzentren platziert wird, wird es überwacht und geprüft, gepatcht und analysiert. Die Daten bleiben bis zum Schluss gesichert, wenn Jahre später die Festplatte, auf der die Daten gespeichert sind, in einem industriellen Schredder auf einem Recyclinghof ihre letzte Ruhestätte findet.
Immer wenn eine Schwachstelle aufgedeckt wird, wie bei Shellshock (oder einer von Dutzenden weniger sichtbaren Schwachstellen, die jeden Monat entdeckt werden), überprüft das LiveOps-Team die Auswirkungen, entscheidet über einen Behebungsplan und implementiert ihn mit dem entsprechenden Team.
Im Fall von Shellshock bestand unser Ansatz aus den folgenden sieben Schritten:
- Suchen Sie mit automatisierten Scans von mehreren Anbietern und manuellen Tests nach allen Fällen öffentlicher Schwachstellen. (Es wurden keine gefunden.)
- Aktualisieren Sie die Web Application Firewall-Regeln und benachrichtigen Sie das Security Operation Center-Team.
- Überprüfen Sie die IDS-Protokolle auf Angriffsversuche. (Es wurden verschiedene Versuche gesehen, aber keiner war erfolgreich.)
- Vollständiger Rollout der entsprechenden Patches mit verschiedenen Iterationen.
- Testen Sie den Proof-of-Concept-Code, um den Erfolg des Patchens auf jedem Computer zu überprüfen.
- Führen Sie interne Schwachstellenscans durch, um sicherzustellen, dass keine Kästchen übersehen wurden.
- Führen Sie eine „White-Box“-Überprüfung des gesamten Produktionsquellcodes für die „Bash“-Nutzung durch.
Einige dieser Aufgaben wurden parallel ausgeführt und erforderten Anstrengungen des gesamten Teams, aber wir haben es geschafft, dieses Problem schnell, ohne Sicherheitsrisiken und ohne Auswirkungen auf die Produktionsprozesse zu lösen.
Was können Sie als Nutzer von Cloud-Systemen tun?
Abgesehen von den üblichen Best Practices für die Sicherheit (zu denen wir unsere Kunden immer gerne beraten), ist das Einzige, was Sie tun müssen, wachsam zu bleiben und sicherzustellen, dass Sie Ihren Cloud-Anbieter ordnungsgemäß überprüfen.
Vorfälle wie dieser werden in Zukunft wieder vorkommen. Stellen Sie sicher, dass Sie einen Partner auswählen, der für sie bereit ist.
Bild mit freundlicher Genehmigung von Stuart Miles bei FreeDigitalPhotos.net.
