15.09.2020
CyberArk
Gefahr aus den Tiefen der eigenen Apps
Autor: Bernhard Lauer
Suppachok N / shutterstock.com
Privilegierte Zugriffsrechte besitzen nicht nur Administratoren, sie finden sich auch in Applikationen, Tools und Systemen. Diese nicht-menschlichen privilegierten Zugriffsrechte stellen eine erhebliche Gefahr für Unternehmensanwendungen und -daten dar, mahnt CyberArk.
Die privilegierten Zugangsdaten sind in den Applikationen statisch hinterlegt und werden in der Regel nie geändert. Außerdem liegen sie meistens im Klartext oder in einer einfachen Verschlüsselung vor. Gelangt ein externer Angreifer oder auch böswilliger Insider in ihren Besitz, kann er unter Umständen die vollständige Kontrolle über die gesamte IT-Infrastruktur eines Unternehmens übernehmen.
"Um dieses Sicherheitsrisiko zu beseitigen, müssen Unternehmen die in Skripten oder Konfigurationsdateien eingebetteten statischen Zugangsdaten eliminieren", betont Michael Kleist, Regional Director DACH bei CyberArk. "Alle Anmeldeinformationen und vertraulichen Zugangsdaten sollten zentral gesichert, automatisch verwaltet und rotiert sowie dynamisch zur Laufzeit zur Verfügung gestellt werden. Damit wird die Sicherheit entscheidend erhöht."
Bei der Vermeidung beziehungsweise Beseitigung von dauerhaft hinterlegten Anmeldeinformationen sind verschiedene Vorgehensweisen möglich beziehungsweise erforderlich.
Verzicht auf hartkodierte Zugangsdaten
Erstens muss ein Unternehmen bei Neuentwicklungen konsequent auf eine hartkodierte Programmierung von Zugangsdaten verzichten. Zweitens können für klassische Applikationen wie SAP, Standardsysteme wie ServiceNow, Rapid7 oder Tenable und Application Server fertige Integrationslösungen genutzt werden; solche Lösungen stellt etwa CyberArk gemeinsam mit den Applikationsherstellern bereit. Drittens sollte ein Unternehmen bei selbstentwickelten Applikationen mit eigenständiger Logik die gegebenenfalls aufwendigeren Veränderungen in Abhängigkeit von einer Kritikalitäts- und Risikobewertung sukzessive in Angriff nehmen. Hier besteht oft die Möglichkeit, selbstgebaute Skripte mit klassischen Suchen-und-Ersetzen-Verfahren zügig zu überarbeiten. Allerdings sind vereinzelt durchaus auch umfangreiche Source-Code-Veränderungen erforderlich.
Konkret sollte ein Unternehmen bei der Beseitigung eingebetteter Anmeldeinformationen und konsistenten Verwaltung und Überwachung privilegierter Zugriffe drei verschiedene Ebenen berücksichtigen:
- Auf der Applikationsebene sind die Applikation-zu-Applikation-Verbindungen zu beachten. Alle technischen Verknüpfungen zwischen Teilen einer Applikationslandschaft erfordern einen privilegierten Zugang für den Datenzugriff, auch wenn es nur um Lese- und nicht um Änderungsrechte geht. Solche Verbindungen bestehen etwa zwischen Applikation und Datenbank, zwischen Applikation und Middleware-Produkten oder auch direkt zwischen Anwendungen.
- Auf Toolebene ist vor allem die Automation zu beachten, die in immer stärkerem Maße an Bedeutung gewinnt. Hier geht es um Lösungen wie Jenkins, Puppet, Chef, OpenShift oder auch RPA. Darüber hinaus gibt es weitere Tools, die über privilegierte Rechte bis hin zum Domain-Admin-Level verfügen: ein klassisches Beispiel sind Schwachstellen-Scanner.
- Auf der technologischen Systemebene geht es um System-zu-System-Verbindungen, also um die in vielen Systemen vorhandenen Service-Accounts. Windows etwa verfügt über eine große Anzahl solcher Accounts, um Services im richtigen Kontext zu starten und zu stoppen und um eine Automation auf einem granularen Level zuzulassen.
"Aus Sicherheitssicht führt an einer Verwaltung und Überwachung aller Anmeldeinformationen und vertraulichen Zugangsdaten, die von nicht-menschlichen Benutzern verwendet werden, kein Weg vorbei", so Kleist. "Die Beseitigung fest programmierter Anmeldeinformationen und ihre Rotation gemäß definierter Richtlinien ist eine wesentliche Komponente eines stringenten Secrets-Management und damit für die Erhöhung der Unternehmenssicherheit von erheblicher Bedeutung.
Pilot-Features
Google Maps-Funktionen für nachhaltigeres Reisen
Google schafft zusätzliche Möglichkeiten, um umweltfreundlichere Fortbewegungsmittel zu fördern. Künftig werden auf Google Maps verstärkt ÖV- und Fußwege vorgeschlagen, wenn diese zeitlich vergleichbar mit einer Autofahrt sind.
>>
Codeerzeugung per KI
Code ist sich viel ähnlicher als erwartet
Eine Studie zeigt, dass einzelne Codezeilen zu 98,3 Prozent redundant sind, was darauf hindeutet, dass Programmiersprachen eine einfache Grammatik haben. Die Machbarkeit von KI-erzeugtem Code war also zu erwarten.
>>
JavaScript Framework
Hono werkelt im Hintergrund
Das JavaScript-Framework Hono ist klein und schnell. Ein weiterer Vorteil ist, dass Hono auf vielen Laufzeitumgebungen zum Einsatz kommen kann.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>