Der Wechsel in die Cloud hat dazu geführt, dass die Tage der externen Exposition, die durch den Satz von IP-Bereichen in Ihrer Firewall definiert wurde, vorbei sind. Die Angriffsfläche von heute besteht aus vielen mit dem Internet verbundenen Assets, deren Offenlegung auf Domänenebene kontrolliert wird.
Das bedeutet, dass Webanwendungen schnell zu einem attraktiven Ziel für Angreifer geworden sind, insbesondere unbekannte und vergessene Assets – und das sind sie reichlich in modernen Umgebungen. Wie können sich Unternehmen also verteidigen?
Wir sprachen mit Rickard Carlsson, CEO und Mitbegründer von Detectify um sich über Best Practices zu informieren, um die gesamte externe Angriffsfläche eines Unternehmens aufzudecken, umsetzbare Ratschläge zum Aufdecken von DNS-Eigenschaften zu geben und eine vollständige Bestandsaufnahme von Webanwendungen und deren Sicherheitsstatus zu erhalten.
BN: Was IT-Trends in Unternehmen sind die erweiterte externe Angriffsfläche vorantreiben?
RC: Angriffsflächen für Unternehmen werden von Tag zu Tag komplizierter und schwieriger zu verwalten. Eine Zunahme von Multi-Cloud-Strategien trägt wesentlich dazu bei, da verschiedene Clouds unterschiedliche Kontrollen und Einstellungen haben, wobei ein Standardaspekt in AWS in Azure, GCP usw. völlig anders funktioniert. Darüber hinaus hat die schnelle Cloud-Akzeptanz Unternehmensressourcen in Mitleidenschaft gezogen hinter Legacy-Firewalls, was Sicherheitsteams dazu zwingt, neue Methoden zu ihrer Sicherung einzuführen. Remote-Arbeitsunterstützung ist ein weiterer Faktor, da „Arbeitsgeräte“ für persönlichere Anwendungsfälle verwendet werden, häufig weniger sichere Websites besuchen und Infektionen von infizierten IoT-Heimgeräten verbreiten.
Jede Organisation hat mehrere Angriffsflächen und muss Berücksichtigen Sie individuelle Faktoren, die die jeweilige Expansion vorantreiben. Bei der Betrachtung der externen Angriffsfläche sind die wachsende Zahl von mit dem Internet verbundenen Anwendungen und nuancierten Softwareentwicklungspraktiken in modernen Unternehmensumgebungen starke Einflussfaktoren. Der Großteil des heutigen Neugeschäftswerts wird durch digitales Neugeschäft oder die Digitalisierung von Altgeschäft generiert, wobei die Entwicklungsgeschwindigkeit im Vordergrund steht – Unternehmen können sich keine langwierigen Freigabeprozesse mehr leisten. Dies beschleunigt das organisatorische Innovationstempo (was großartig ist), aber Teams brauchen eine neue Toolbox, um sicherzustellen, dass Geschwindigkeit nicht zu Lasten der Sicherheit geht.
BN: Warum haben Unternehmen Schwierigkeiten, ihre externe Exposition zu definieren?
RC: Die Zeiten, in denen Server in Bürokellern standen und deren Gefährdung durch eine Reihe von IP-Bereichen in ihrer Firewall definiert wurde, sind lange vorbei. Die heutige Infrastruktur ist mit Webanwendungen gefüllt, und die Offenlegung wird auf Domänenebene (DNS) gesteuert, mit Verweisen auf interne Dienste und Dienste von Drittanbietern. Infolgedessen erweitern Unternehmen gleichzeitig ihre Angriffsfläche und laden potenzielle Cyber-Bedrohungen ein. Organisationen müssen Hunderte und Aberhunderte von Domänen und noch mehr Subdomänen überwachen, um einen vollständigen Überblick über die Gefährdung von außen zu erhalten.
Erschwerend kommt hinzu, dass Organisationen regelmäßig Assets oder Technologien zur Angriffsfläche hinzufügen, ohne das Sicherheitsteam zu benachrichtigen , wodurch jede Garantie entfällt, dass die Vermögenswerte den Sicherheitsstandards des Unternehmens entsprechen. Dies führt zu Richtlinienverstößen, die Tage, Monate oder sogar Jahre unentdeckt bleiben können und ein enormes Risiko für das Unternehmen darstellen. Wenn Sie nicht wissen, was Sie exponieren, wie können Sie es schützen?
BN: Welche Rolle spielen interne Sicherheitsrichtlinien beim Schutz der externen Angriffsfläche?
RC: Sicherheit ist keine Einheitsgröße. Jedes Unternehmen hat seine eigenen Sicherheitsworkflows und unterschiedliche Kriterien zur Bestimmung des akzeptablen Risikos. Das Compliance-Framework fordert die Teams auf, alles basierend auf der CVSS-Kritikalität zu patchen, aber das CVSS-Modell ist fehlerhaft. Dinge können einen hohen CVSS haben, aber die tatsächliche Auswirkung/Wahrscheinlichkeit, dass die Schwachstelle aufgedeckt wird, wäre aufgrund des geschäftlichen Kontexts geringer. In Wirklichkeit stellen nur sehr wenige CVEs eine legitime Gefahr dar. Und obwohl es keinen Mangel an neuen CVE-Entdeckungen gibt, konzentrieren sie sich auf traditionelle Softwarekomponenten. Viele moderne Cloud-/AppSec-Probleme beruhen auf Fehlkonfigurationen, Kombinationen von Tools oder Entwicklerfehlern, die nicht durch CVEs abgedeckt sind.
Produktsicherheits-und AppSec-Teams müssen ihre eigenen einzigartigen Richtlinien für Unternehmensressourcen basierend auf dem Geschäftskontext anwenden. Die proaktive Lösung von Richtlinienverstößen ist oft ein effektiverer Ansatz als die reaktive Suche nach Schwachstellen, da Verstöße leicht dazu führen können, dass Vermögenswerte ohne Schutz offengelegt werden. Die Herausforderung besteht darin, dass die meisten Vulnerability-Management-Anbieter One-Size-Fits-All-Lösungen anbieten, die Kunden dazu zwingen, aus einem Menü mit voreingestellten Bedingungen zu wählen, die oft nicht auf ihr Unternehmen zutreffen.
Die heutigen Teams benötigen wirklich benutzerdefinierte Richtlinien, die Verstöße automatisch erkennen, sobald sie online gestellt werden. Diese Fähigkeiten sind schwer zu bekommen, aber wir arbeiten daran, das zu ändern.
BN: Was ist „Linksverschiebung“ und welche Auswirkungen hat sie auf die Ermöglichung effektiver DevSecOps?
RC: Shifting left bezieht sich auf die agile Softwareentwicklungsmethodik, bei der Sicherheitstests und-kontrollen früher im Anwendungslebenszyklus verschoben werden, um Schwachstellen so schnell wie möglich zu erkennen. Das Problem ist, dass der Begriff der Verschiebung nach links von einem standardmäßigen linearen Entwicklungsprozess abhängt, und diese Zeiten sind vorbei.
In der Vergangenheit wurde der Lebenszyklus der Softwareentwicklung durch aufeinanderfolgende Phasen nach dem Wasserfallmodell definiert–Anforderungserfassung, Design, Implementierung, Test, Bereitstellung und Wartung, wobei die nächste Phase erst beginnt, nachdem die vorherige abgeschlossen ist. Heutzutage bewegt sich die Softwareentwicklung praktisch mit Lichtgeschwindigkeit, in einer nahezu kontinuierlichen Schleife ohne separate Phasen. Die Grenzen zwischen Vorproduktion und Produktion und alle Linien dazwischen sind praktisch verschwunden.
BN: Was sind Best Practices für das Testen von Apps während ihres gesamten Entwicklungsprozesses und Produktlebenszyklus?
RC: Es ist wichtig, Tests vor der Produktion durchzuführen, aber der Großteil des Hackings findet nach der Bereitstellung statt, und die Produktion ist das, was zählt. Die Teams müssen ihre Bemühungen darauf konzentrieren, sowohl nach links als auch nach rechts zu wechseln und in jeder Phase kontinuierlich Kontrollen zu implementieren. Eine nahezu echtzeitfähige Sicherheitsstrategie, die so transparent wie möglich eng in DevOps-Pipelines integriert ist, ist der beste Weg, um mit den heutigen blitzschnellen Entwicklungszyklen Schritt zu halten, ohne sie zu verlangsamen.
Um dies zu erreichen, müssen Unternehmen Liefern Sie Sicherheitsinformationen so schnell wie möglich an Software-Ingenieure, indem Sie einige Schlüsselprinzipien befolgen:
Machen Sie sich bewusst, dass ständig neue Schwachstellen entstehen und dass Geschwindigkeit Unternehmen sicherer macht. Der beste Weg, um die Identifizierungs-und Bereitstellungszyklen zu beschleunigen, besteht darin, die Feedback-Schleife zu beschleunigen. Begrenzen Sie die Abhängigkeit von manuellen Verfahren mit kontinuierlicher, automatisierter Technologie, die die Entwicklungszyklen nicht verlangsamt. Positionieren Sie Sicherheitsteams innerhalb der Organisation als Ermöglicher statt als Blocker. Automatisierte Technologie ermöglicht es Sicherheitsexperten, mit Entwicklern zusammenzuarbeiten (anstatt sie zu verlangsamen), um in Echtzeit explorative Tests durchzuführen, anstatt einzelne Schwachstellen zu finden und zu beheben.
Bildnachweis: fotogestoeber/Shutterstock