Im Dezember wurde eine kritische Zero-Day-Schwachstelle im verbreiteten Log4j-Framework gemeldet. Jen Easterly, Director der Cybersecurity and Infrastructure Security Agency (CISA), bezeichnete diese aufgrund der allgegenwärtigen Nutzung von Log4j als „die schwerwiegendste Sicherheitslücke bezeichnete, die ich in meiner jahrzehntelangen Karriere gesehen habe“.
Das ist keine Übertreibung. Auf schätzungsweise drei Milliarden Geräten läuft Log4j. Public-Cloud-Provider, große Softwarehersteller und Unternehmen des privaten und öffentlichen Sektors sind alle in großem Umfang betroffen. Was können Unternehmen aus diesem Ereignis lernen? Pure Storage meint: Mit konsequenter Systemhygiene und einem einsatzbereiten Patch-Programm können sich Unternehmen durchaus auf ein Ereignis dieses Ausmaßes vorbereiten.
Der Wettlauf um Updates und Patches (und die Risiken bei Nichtaktualisierung)
Die Bequemlichkeit und Verfügbarkeit dieses Open-Source-Codes (den Entwickler verwenden können, anstatt jedes Mal ein neues Protokollierungsmodul zu erstellen) bedeutet auch, dass die Sicherheitslücke weit verbreitet ist. Experten sagen, dass die Anzahl der Dienste und Websites, mit denen sie verbunden ist, sie zur größten Sicherheitslücke aller Zeiten macht.
Cybersicherheitsexperten in großen und kleinen Unternehmen mussten über die Feiertage arbeiten, um den Code in allen mit dem Internet verbundenen Instanzen zu beheben. Die Entwickler arbeiteten Tag und Nacht, um Sicherheitslücken, Backdoors oder bösartigen Code zu finden, und werden wahrscheinlich in den kommenden Wochen weitere Schritte unternehmen, um die Probleme zu beheben.
Ein Update mit einem Patch wurde zwischenzeitlich veröffentlicht, aber die Lehre daraus ist, dass zu viele Unternehmen ohne einen Plan überrascht wurden. Diejenigen, die nicht in der Lage sind, schnell zu patchen, müssen mit ernsthaften Konsequenzen rechnen, und die Privatwirtschaft muss mit Konsequenzen rechnen, wenn sie ihre Systeme nicht aktualisiert. In den USA hat das CISA zivilen Bundesbehörden eine Frist für das Update gesetzt. Dies ist ein noch nie dagewesenes Ausmaß an Überwachung, und alle müssen darauf vorbereitet sein, falls dies zur Norm wird.
Bessere Sicherheitsvorkehrungen und Datenhygiene mit einem Patching-Programm aufrechterhalten
Für den Fall, dass sich etwas Ähnliches wiederholt, sind nach Meinung von Pure Storage einige Maßnahmen wichtig, um vorbereitet zu sein:
Härtung der Sicherheitsposition praktizieren: Unabhängig davon, ob es ein bestimmtes Problem gibt, vor dem es die Umgebung zu schützen gilt, sollten Unternehmen die Best Practices zur Verbesserung der Sicherheitslage anwenden.
- Beschränkung der Managementschnittstellen auf eine Reihe von vertrauenswürdigen Netzwerken.
- Eine zusätzliche Härtung der Sicherheitslage kann erreicht werden, indem der gesamte Zugriff auf die Steuerebene über eine Jump Box (Bastion Host) und der ausgehende Internetzugang auf vertrauenswürdige Ziele beschränkt wird. Pure Storage empfiehlt nachdrücklich die allgemein anerkannte Best Practice, den Internetzugang zu administrativen Anmeldeschnittstellen, einschließlich Verbindungen über SSH, TLS, Remote-Konsolen und Remote-Desktop-Mechanismen, stark einzuschränken, wenn nicht sogar ganz zu blockieren.
- Genaue Überwachung des Arrays auf abnormale oder unerwartete Workload-/IO-Spitzen oder Auslastungen als Frühindikator.
- Aktivierung von Edge-Erkennungs-/Schutzmechanismen in den Firewall-/IDS-/IPS-Systemen, um anomale Zugriffs- oder Verkehrsmuster zu erkennen.
Konsequente Systemhygiene umsetzen: Dies ist der wichtigste Aspekt eines jeden Sicherheitsprogramms. Daten- und Systemhygiene sind Teil der kollektiven Prozesse, die dafür sorgen, dass Daten sauber, dedupliziert, organisiert und korrekt sind.
Kommunikationsplan bereithalten: Im Beitrag A 6-Point Plan for the ‘During’ of a Data Breach ist ausführlich beschrieben, wie socj externe Mitteilungen an Kunden, Medien und Aufsichtsbehörden vorbereiten lassen.
Sicherstellen, dass alle Systeme rechtzeitig gepatcht werden können. Einige allgemeine Richtlinien für Zeitpläne könnten wie folgt aussehen:
- 24 Stunden für kritische Sicherheitslücken
- Ein bis drei Tage für hohe Anfälligkeit
- Eine bis zwei Wochen bei mittlerem Risiko
- Zwei bis vier Wochen für Schwachstellen mit geringem Risiko
Schnell einsatzbereites Patch-Team: Es ist unbedingt erforderlich, ein Team bereitzuhalten, das die Schwachstelle schnell erkennt, den Patch erstellt und testet, bevor er zur Verfügung gestellt wird. Sinnvoll ist es, ein Betriebsteam aufzustellen, das sich speziell auf die Bereitstellung kritischer Patches konzentriert. Wenn das Unternehmen viel Code erstellt, sollten es Entwickler hinzuziehen, die Software-Patches erstellen können.
Sich über den verwendeten Open-Source-Code auf dem Laufenden halten: Wenn Unternehmen den Code anderer verwenden, sollten die Verantwortlichen ein Programm zur Überwachung des Open-Source-Codes einrichten, damit sie möglichst genau wissen, welche Versionen sie verwenden und wo.
Überblick, ob und welchen Open-Source-Code und welche Systeme die Lieferanten verwenden und wo und wie sie von den Produkten genutzt werden: Open-Source-Code ist weit verbreitet, doch können Störungen, die sich nicht kontrollieren oder beheben lassen, zu Unterbrechungen in der Code-Supply-Chain führen. Außerdem gilt es einen Sicherungs- und Wiederherstellungsplan für kritische Systeme bereitzuhalten, die von Systemen Dritter abhängen. Wenn beispielsweise eine Public-Cloud-Instanz ausfällt, sollten die IT-Fachkräfte darauf vorbereitet sein, kritische Systeme über eine Co-Location- oder Private-Cloud-Umgebung wieder in Betrieb zu nehmen, wenn sie das können.
Aktualisierung der Systeme aller Benutzer auf die neuesten Versionen: Die Aktualisierung von Systemen und die kontinuierliche Schulung und Weiterbildung der Mitarbeiter, Kunden und Partner ist immer wichtig. Während einer Sicherheitsverletzung gilt es besonders wachsam gegenüber Phishing-Angriffen zu sein. Dies ist eine der häufigsten Methoden, mit denen sich Hacker Zugang zum System verschaffen, wenn es eine bekannte Schwachstelle gibt.
www.purestorage.com