News und Produkte
Risiko durch ungeschützte Kubernetes-Instanzen
Zwischen Oktober 2020 und Februar 2021 haben Forscher von Palo Alto Networks regelmäßig ungesicherte Kubernetes-Cluster im Internet gescannt und analysiert. Kubernetes-Cluster können und sollten für mehr Sicherheit speziell konfiguriert werden – bleiben sie hingegen ungesichert, können sie von jedem, der ihre IPs, Ports und APIs kennt, anonym angesprochen werden, warnt das Unternehmen. Die Security-Analysten identifizierten im Rahmen ihrer Suche 2100 ungesicherte Kubernetes-Cluster, die aus 5300 Knoten, 31340 CPUs und 75270 sogenannten Pods bestanden. In diesen ungesicherten Clustern sah man eine breite Palette von Anwendungen, die auch von Unternehmen aus E-Commerce, Finanzen und Gesundheitswesen betrieben wurden. Reichlich vorhandene Rechenressourcen und eine große Menge sensibler Informationen in Anwendungen – wie API-Token, Datenbank-Credentials, Quellcode und personenbezogene Daten – machen solche ungesicherten Cluster zu attraktiven Zielen für Angreifer.
Palo Alto Networks entdeckte zudem auch Malware und bösartige Aktivitäten (z. B. Kryptojacking) in einigen der ungesicherten Kubernetes-Cluster. Während der meiste beobachtete Schadcode in Pods als Container lief, wurde dennoch ein Teil direkt auf dem Host bereitgestellt: Offenbar hatte die Malware also die Isolierung der containerisierten Anwendungen umgangen oder durchbrochen und konnte auf Ressourcen des zugrunde liegenden Hosts zugreifen – sie stellte damit auch ein Risiko für die gesamte Cloud-Umgebung dar, die einen solchen Cluster hostet. Denn auf dieser Zugriffsebene sind weitere laterale oder vertikale Bewegungen möglich, wie die Forscher gezeigt haben – einschließlich der Extraktion von Anmeldeinformationen, der Kompromittierung von Registrierungen und dem Zugriff auf die Daten und das Netzwerk des Hosts.
Zu den Problemen schwacher Kubernetes-Sicherheit gehören etwa:
- Übermäßig freizügige Fähigkeiten: Jedem Container wird eine Teilmenge von Fähigkeiten gewährt, die von den Anforderungen der Anwendung abhängen. Bestimmte Fähigkeiten gewähren hochprivilegierte Rechte und ermöglichen Containern so auch den Zugriff auf die Kernel-Module des Hosts. Wird ein solcher Container kompromittiert, können auch Angreifer leicht Zugriff auf den Host erlangen.
- Gemeinsam genutzte Namespaces: Eine containerisierte Anwendung kann in einer Sandbox-Umgebung laufen, weil jede Ressource des Containers – wie Prozesse, Netzwerk und Dateisystem – in isolierten Namespaces untergebracht ist. In manchen Fällen muss ein Container jedoch seine Namespaces mit anderen Containern oder dem Host teilen. Muss ein Container zum Beispiel den Netzwerkverkehr des Hosts erfassen, dann muss er im Netzwerk-Namensraum des Hosts laufen. Dieser gemeinsam genutzte Namespace stellt einen Kanal für Angreifer dar, um vom Container auf den Host zu gelangen.
- Ungepatchte Sicherheitslücken: Ungepatchte Container-Laufzeitumgebungen oder Knoten-Betriebssysteme stellen ebenfalls ein Risiko für den Ausbruch aus Containern dar. Da Container den Betriebssystem-Kernel des Hosts gemeinsam nutzen, können die meisten Kernel-Exploits zu einer Privilegienerweiterung führen und einen Ausbruch ermöglichen.
- Gestohlene Token: Service-Account-Token befinden sich in Containern und werden von Anwendungen zur Authentifizierung bei API-Servern verwendet. Wenn sie gestohlen werden, können sich Angreifer als berechtigte Anwendungen ausgeben und API-Server ausnutzen, um sich lateral oder vertikal zu bewegen.
- Gestohlene Cloud-Konto-Anmeldeinformationen: Angreifer können über kompromittierte Anwendungen oder Container auf Cloud-Credentials zugreifen und damit Zugriff auf die Cloud-Umgebung erhalten, welche die Kubernetes-Cluster hostet – mit meist enormen Konsequenzen.
Zu den wichtigsten Gegenmaßnahmen für diese Probleme gehören laut Palo Alto neben einem zeitnahen Patchen bekannter Schwachstellen der Schutz von Netzwerken und Identitäten über strikte Firewallregeln und gegenseitige TLS-Authentifizierung beziehungsweise eine rollenbasierte Zugriffskontrolle (RBAC) und die Umsetzung des Least-Privilege-Prinzips. (www.paloaltonetworks.com)
Gehalt von vielen Cyber-Security-Experten stagniert
Obwohl IT-Security in vielen Unternehmen oberste Priorität hat und Fachkräfte mit entsprechender Erfahrung immer knapper werden, wirkt sich diese Situation offenbar nicht auf die Gehälter aus: Zwei Drittel der Cyber-Security-Profis erhielten 2020 keine Gehaltserhöhung (Ø aller IT-Skills: 63 %), 40 % gaben sogar an, voriges Jahr weniger verdient zu haben (Ø aller IT-Skills: 15 %) – zu diesem Ergebnis kommt zumindest der aktuelle IT-Gehälter & Hot Skills Report 2021 der Personalberatung Harvey Nash, für den weltweit über 6000 IT-Fach- und Führungskräfte befragt wurden.
„Das Pandemie-Jahr 2020 hat die Dynamik der Tech-Welt nicht ausgebremst – im Gegenteil: IT-Fach- und Führungskräfte gehören weiterhin zu den am dringendsten benötigten Mitarbeitern“, erklärt Christian Umbs, Managing Director bei Harvey Nash in Deutschland. „Das spiegelt sich in attraktiven Gehaltserhöhungen wider: In Deutschland erhielten 32 % aller IT-Experten trotz schwieriger wirtschaftlicher Lage eine Gehaltserhöhung. Interessanterweise gehören Cyber-Security-Spezialisten nicht wie in den letzten Jahren zu denjenigen, die sich am ehesten über ein Gehaltsplus freuen konnten – obwohl sie nach wie vor zu den gefragtesten Fachkräften weltweit zählen.“
Diese Entwicklung sehe man als kritisch an, da sie den ohnehin schon großen Mangel an Cyber-Security-Profis weiter verstärken könnte – 35 % der befragten Unternehmen hatten bereits Schwierigkeiten, die richtigen Security-Talente zu finden. Als Durchschnittsgehalt eines CISO in Festanstellung hat die Studie für Deutschland 95.000 € im Jahr ermittelt – Security-Specialists verdienen im Mittel 80.000 €. Bei den Tagessätzen für IT-Freelancer kamen beide Positionen auf durchschnittlich 1075 €.
Bei den gefragtesten Skills steht Cyber-Security in vielen Ländern ganz oben (Quelle: Harvey Nash IT-Gehälter & Hot Skills Report 2021).
Im Branchenvergleich konnten sich übrigens Tech-Experten im Healthcare-Umfeld in den letzten 12 Monaten am häufigsten über einen Gehaltssprung freuen: Mehr als jeder Zweite (54 %) verdient dort der Umfrage zufolge mehr als noch vor einem Jahr. Auf Platz zwei der Branchen mit der besten Gehaltsentwicklung landen Retail und die Freizeitindustrie (50 %) gefolgt von Charity und Non-Profit-Organisationen (43 %), Technologie und Telekommunikation (39 %) sowie Finanzdienstleistungen (36 %).
Der Hot Skills & IT-Gehälter Report 2021 steht unter www.harveynash.de/ gehaelter-it kostenlos als 14-seitiges PDF zum Download bereit (Registrierung erforderlich). (www.harveynash.de)
Neues Modell für IAM-Risiken
Die IDEE GmbH hat in Zusammenarbeit mit dem Cyber Accelerator Program des UK National Cyber Security Centre (NCSC) ein holistisches Bedrohungsmodell zur Bewertung der Risiken im Identity- und Access-Management (IAM) entwickelt. Mit seiner Hilfe soll es für Chief Information Security Officers (CISOs) einfacher werden, IAM-spezifische Risikofaktoren in ihrer Infrastruktur aufzudecken und passende Lösungen zu implementieren.
Ähnlich wie andere Modelle auch, folgt das IDEE Risk Model der Risikoanalyse des Centre for Internet Security (CIS) und etablierten Standards zur Risikobewertung, wie ISO/IEC 27005, NIST SP 800-30 und RISK IT. Dabei identifiziert es jedoch nicht nur die Bedrohungen für eine Organisation, sondern quantifiziert das Risiko, um es für den CISO verständlicher und messbarer zu machen. Außerdem liefert es Empfehlungen für Security Controls, die eine Organisation implementieren könnte, um gefundene Bedrohungen zu beseitigen. Und nicht zuletzt ist das Modell so aufgebaut, dass es auch für nicht-technische Stakeholder eine Grundlage für den Vergleich verschiedener IAM-Konfigurationen bietet.
Um das Modell zu nutzen, muss zunächst eine Aufstellung der vorgesehenen oder eingerichteten Sicherheitsmaßnahmen erfolgen – untergliedert nach den Methoden zur Identifizierung der Nutzer bei der initialen Registrierung, Methoden zur Authentifizierung und Autorisierung, Maßnahmen zur Account-Verwaltung sowie Sicherheitsmaßnahmen abseits der IAM-Prozesse. Die entsprechenden Fragen und Antworten finden Interessierte in einem interaktiven Fragebogen auf https://threatmodel.getidee.com – auf dieser Grundlage errechnet der IDEE-Server kostenlos einen Risiko-Score und erstellt einen schlaglichtartigen Bericht, der per E-Mail übermittelt wird (Registrierung erforderlich) und neben den Risiko-Scores für alle erfassten Faktoren unter anderem auch bekannte Schwachstellen, Bedrohungen und Empfehlungen für Schutzmaßnahmen auflistet. (Quelle: www.getidee.com)
Exemplarischer Start des Frage-/Anwortdialogs des IAM Risk Calculator
Firmen, Finanzen & Fusionen
Cohesity startet mit Backup as a Service in Europa: Das Angebot „DataProtect delivered as a Service“ wird dazu auf Amazon Web Services in der Region Frankfurt gehostet. London folgt voraussichtlich im Sommer, Paris im Herbst 2021. Der Dienst unterstützt eine Reihe von Workloads, darunter Instanzen und Server-Infrastrukturen von Amazon EC2 und Amazon RDS, SaaS-Anwendungen von Microsoft 365 sowie Datenquellen wie VMware, Network-Attached Storage (NAS) oder SQL-Server. (Quelle: www.cohesity.com)
Institut für Cyber Security & Privacy (ICSP) gegründet: Das neue Institut der Hochschule Bonn-Rhein-Sieg (H-BRS) hat im Juni die Arbeit aufgenommen. Es soll Forschung, Lehre und Transfer zu Themen der Sicherheit und Privatheit in der digitalen Welt am Fachbereich Informatik der Hochschule bündeln, die nationale und internationale Forschung in diesem Bereich nachhaltig mitgestalten sowie Bachelor- und Masterstudierenden „eine herausragende fachspezifische Ausbildung“ bieten. (Quelle: www.h-brs.de/inf/)
HYPR startet Deutschland-Vertrieb: Der US-amerikanische Anbieter von passwortlosen Multi-Faktor-Authentifizierungs-Lösungen will seine Vertriebsaktivitäten in Zentraleuropa vom neuen Standort Heilbronn aus koordinieren. Im Fokus steht dabei zunächst das Deutschland-Geschäft. (Quelle: www.hypr.com)
Okta mit neuen DACH-Niederlassungen: Nachdem der Anbieter von Identity- und Access-Management (IAM) aus der Cloud bereits im Juni 2019 seinen ersten DACH-Standort in München eröffnet hat, folgte im Juli eine Schweizer Dependance. So möchte man sich noch stärker in der Region engagieren, eng mit Unternehmen in der Schweiz zusammenarbeiten und ihnen erstklassige Technologie und regionalen Support bieten. (Quelle: www.okta.com/de/)
Ping Identity übernimmt SecuredTouch: Mit der Akquisition des Spezialisten für die Abwehr von Online-Betrug und Bot-Angriffen baut Ping Identity die Kompetenzen im Bereich der Identitätsbetrugserkennung weiter aus. SecuredTouch ermöglicht durch den Einsatz von Verhaltensbiometrie und künstlicher Intelligenz (Machine- und Deep Learning) das potenziell frühzeitige Erkennen bösartiger digitaler Aktivitäten. Bot-Erkennung und Schutz vor Kontoübernahmen sollen eine sichere und nahtlose Benutzererfahrung bieten. (Quellen: www.pingidentity.de / www.securedtouch.com)
Kooperation von Rhebo und KPMG: Mit der Partnerschaft zur Absicherung industrieller Netze stärkt Rhebo seinen Marktzugang mit einem ganzheitlichen Beratungsansatz. KPMG möchte Industrieunternehmen durch einen breit gefächerten Ansatz bei der digitalen Transformation unterstützen. (Quellen: https://rhebo.com / https://home.kpmg/de/de/)
Sophos übernimmt Capsule8: Die mit der Akquisition übernommene Sicherheitstechnologie für Laufzeittransparenz sowie Detection & Response bei Linux-Servern und Cloud-Containern will das Unternehmen in sein Adaptive Cybersecurity Ecosystem (ACE) integrieren – Early-Access-Programme mit der neuen Technologie dürften noch im Laufe des aktuellen Geschäftsjahres starten. (Quellen: www.sophos.de / www.Capsule8.com)
Tenable kooperiert mit Deloitte beim Schutz von Fertigungsumgebungen: Die strategische Zusammenarbeit soll Smart-Manufacturing-Initiativen in Fortune-500-Umgebungen beschleunigen und sichern. Tenable und Deloitte entwickeln und implementieren dazu „industrietaugliche Sicherheitslösungen, um Unternehmen dabei zu helfen, Cyberrisiken in ihren Fertigungsumgebungen auf der ganzen Welt zu verstehen, zu verwalten und zu reduzieren“. (Quellen: www.tenable.com / www.deloitte.com/de/)
Trend Micro kündigt erweiterte Zusammenarbeit mit Microsoft an: Die neue Kooperation umfasst sowohl die Entwicklung von cloudbasierten Cybersicherheitslösungen auf Microsoft Azure als auch die Schaffung von Co-Selling-Möglichkeiten über den Azure Marketplace. Die Sicherheitsexpertise von Trend Micro soll gepaart mit Microsofts Cloud-Computing-Plattform gemeinsamen Kunden dabei helfen, ihre digitale Transformation weiter voranzutreiben. (Quellen: www.trendmicro.com/de_de/ / www.microsoft.com/security/)
Universität des Saarlandes gründet Zentrum für Fragen rund um Recht und Digitalisierung: Das Saarbrücker Zentrum für Recht und Digitalisierung (ZRD Saar) soll Wissenschaft und Praxis an der Schnittstelle von Recht und Informatik vernetzen. Ziel ist es, aktuelle Fragen, die sich beim digitalen Wandel in der Praxis stellen, zu erforschen, bestehende Forschung sichtbar zu machen und neue Projekte anzustoßen – unter anderem, indem es Expert:inn:en mit Studierenden ins Gespräch bringt. (Quellen: www.zrd-saar.de / www.uni-saarland.de)
Zscaler und ServiceNow integrieren Lösungen: Das kombinierte Angebot baut auf der Cloud-Sicherheit Threat Intelligence von Zscaler auf und beschleunigt Arbeitsabläufe zur Erkennung von und Reaktion auf Sicherheitsvorfälle(n). Die Integration vereinfacht den Sicherheits-Teams gemeinsamer Kunden den Einblick in Datenströme über eine einzige Konsole. (Quellen: www.zscaler.com / www.servicenow.com)