App-Sicherheit: Der Elefant im trüben Raum

Okay, Kinder. Es ist Zeit, dass wir „dieses Gespräch“ führen. Sie wissen schon, das ist das Ding, über das Sie mit Ihren Freunden geflüstert haben, aber sich bisher nicht zu fragen trauten, weil natürlich alle anderen Bescheid wissen und Sie nicht den Eindruck erwecken wollten, uncool zu sein, indem Sie zugeben, dass Sie es nicht wirklich wissen.  

Außer, dass sie es nicht tun, oder zumindest, wenn sie es tun, dann reden sie auch nicht darüber. Und es ist wirklich höchste Zeit, dass wir darüber sprechen, wie wir bei der Nutzung der Cloud die richtigen Vorsichtsmaßnahmen treffen. Sie wissen, wie Sie Ihre Apps in der Cloud vor Infektionen und Angriffen schützen.

Ja, heute sprechen wir endlich über Application in der Cloud.

Keine Verschlüsselung. Kein Identitäts- und Zugriffsverwaltung. Und nicht Netzwerksicherheit.

Application .

Trotz all der Dokumente, Forschungsergebnisse, Ratschläge und allgemeinen Diskussionen zum Thema „Cloud-Sicherheit“, die heute im Internet verfügbar sind, erwähnen nur sehr wenige* den Begriff „App-Sicherheit“.  Ich kann Forschungsergebnisse und Statistiken zur Verwendung von Verschlüsselung finden, dazu, wer Daten in der Cloud schützen sollte (und wer nicht) und wer welche Art von Identitäts- und Zugriffsverwaltung verwendet, um den Zugriff auf Apps überall und jederzeit zu sperren. Aber zum Thema Application ? Keine Ahnung. Nichts. Null. Null.

Das ist wirklich überraschend (und beunruhigend), wenn man bedenkt, dass Web-Apps laut dem jüngsten Verizon Data Breach Investigation Report (DBIR) die zweithäufigste Ursache für Sicherheitsvorfälle bei Finanzdienstleistungen sind, gleich hinter der bösartig klingenden Crimeware.  Es ist auch überraschend, wenn man eine Analyse der 25 größten Sicherheitsverletzungen dieses Jahrhunderts durchführt und herausfindet, dass fast die Hälfte (44 %) über eine Application durchgeführt wurde. Dies ist auch deshalb entmutigend, weil es einen Zusammenhang zwischen einer abnehmenden Sicherheitslage und der Migration von Applications in die Cloud zu geben scheint.

Die Realität ist, dass Verschlüsselung kein Allheilmittel ist.

Ich wiederhole das, diesmal in Großbuchstaben, um zu betonen, wie ernst die Lage ist: VERSCHLÜSSELUNG IST KEIN ALLHEILMITTEL.

Das Gleiche gilt für die Netzwerksicherheit oder die Identitäts- und Zugriffsverwaltung.

All diese Dinge sind gut, aber einzeln betrachtet sind sie nur ein Teil eines viel größeren Schutzsystems. Ein Schutzkonzept, das die Application berücksichtigen sollte (was jedoch oft nicht der Fall ist).

Die Netzwerksicherheit wird einen HTTP-DDoS-Angriff nicht stoppen. Identitäts- und Zugriffsverwaltung werden die Ausnutzung einer Sicherheitslücke auf einer Webplattform wie Heartbleed oder Apache Killer nicht verhindern.

Die Verschlüsselung wird einen SQLi nicht stoppen. Durch die Verschlüsselung von Schadcode wird dieser lediglich vor den unzähligen Diensten im Netzwerk verborgen, die darauf ausgelegt sind, ihn zu finden.

Die Application ist ihrem Zweck nach eine öffentlich zugängliche Ressource. Wir stellen es zur Verfügung und erwarten – nein, wir ermutigen, wir verführen, wir flehen – die Verbraucher, damit zu interagieren. Um es zu benutzen. Um es zu installieren. Um es oft zu besuchen. Es ist eine Application , und das bedeutet, dass Applications für jeden Aspekt des Geschäfts von entscheidender Bedeutung sind, ob sie nun Kundenkontakt, Mitarbeiterkontakt oder den Betrieb interner Systeme betreffen. Wir verlassen uns heutzutage bei fast allem, was wir tun, auf Applications . Und doch scheinen wir nie an Sicherheit zu denken, wenn wir darüber sprechen.

Es ist wirklich an der Zeit, dass wir der Application mehr Aufmerksamkeit schenken und nicht nur der Datensicherheit , Netzwerksicherheit oder verschlüsselten Kommunikation. Daten sind am anfälligsten, wenn sie in der Application verarbeitet werden. Das liegt daran, dass es zu diesem Zeitpunkt im Klartext vorliegt und vollständig unter der Kontrolle dieser Application steht. Die Application kann die Daten anzeigen, ändern und an jeden übermitteln, der sie herausbekommt (und angesichts der zunehmenden Verbreitung von Bots, Spidern und Malware zunehmend auch an alle anderen).

Das bedeutet, dass wir der Absicherung von Applications gegen Missbrauch und Angriffe mehr Aufmerksamkeit widmen müssen. Von der Plattform (dem Web- oder App-Server) über die Protokolle (TCP und HTTP) bis hin zum eigentlichen Code selbst. Wir müssen die unzähligen Methoden, mit denen Angreifer den gesamten Application ausnutzen, scannen und bereinigen, erkennen und uns dagegen verteidigen.

Laut F-Secure Labs hat sich die Häufigkeit von Angriffen auf Application von unter 20 % im Jahr 2012 auf 40 % im Jahr 2013 verdoppelt, und Neustar hat 2014 festgestellt, dass 55 % der DDoS-Ziele Opfer von Smokescreening wurden (volumetrischer DDoS als Deckmantel für die echten Angriffe auf Application ), wobei auf fast 50 % der Ziele Malware/Viren installiert waren und 26 % Kundendaten verloren gingen.

Application stellen eine reale und erhebliche Bedrohung dar, insbesondere wenn diese in die Cloud verlagert werden, wo möglicherweise weniger Optionen zum Schutz vor ihnen zur Verfügung stehen.

Bei den in der Cloud verfügbaren nativen Diensten mit Schwerpunkt auf Sicherheit dreht es sich ausschließlich um Zugriff und Verschlüsselung. Bei keinem davon handelt es sich um Sicherheit auf „Application “ und keiner bietet den notwendigen Schutz, um Vertrauen darin zu wecken, einem Angriff standzuhalten, dessen Ziel darin besteht, Daten durch Ausnutzen der Application selbst zu deaktivieren, zu beschädigen oder zu exfiltrieren. Das bedeutet, dass Sie eine andere Lösung benötigen; einen anderen Dienst, der die Applications und die von ihnen verarbeiteten Daten in der Cloud genauso schützt wie Sie im Rechenzentrum. Dies kann eine Cloud-fähige WAF (Web Application Firewall) oder WAF als Service oder zumindest eine gründliche Application der von OWASP empfohlenen Best Practices für jede in der Cloud bereitgestellte Application bedeuten.

Cloud-Sicherheit kann als gemeinsame Verantwortung betrachtet werden, wobei Anbieter und Kunde für unterschiedliche Aspekte der Sicherung der „Cloud“ verantwortlich sind. Die Application liegt jedoch zu 110 % in der Verantwortung desjenigen, der die Application ursprünglich in die Cloud stellt. Sehen Sie sich dieses Interview (über The Register ) mit Bill Murray, dem Leiter der globalen Sicherheitsprogramme von AWS, an (Hervorhebung von mir):

„Sicherheit bei AWS ist eine gemeinsame Verantwortung von AWS und Kunden“, sagte Murray in einem kürzlichen Interview. Er ist für die AWS-Sicherheit verantwortlich, die die physische Sicherheit der Amazon-Rechenzentren umfasst, und bearbeitet außerdem Haftbefehle und Vorladungen von Strafverfolgungsbehörden.

„Kunden sind dafür verantwortlich, alles zu schützen, vom Gastbetriebssystem, das sie auf AWS ausführen, bis hin zu den Applications, die sie ausführen“, sagte er gegenüber El Reg . „Wir sind für das Host-Betriebssystem und die VM und alles bis hinunter zum Beton des Rechenzentrumsbodens verantwortlich.“

„Diese Frage wird uns oft gestellt: „Was hält Sie nachts wach?“ Was uns in Sachen AWS-Sicherheit schlaflose Nächte bereitet, ist, dass die Kunden ihre Applications nicht richtig konfigurieren, um ihre eigene Sicherheit zu gewährleisten“, sagte Murray.

Das betrifft Sie, und das bedeutet, dass Sie sorgfältig überlegen müssen, welche Dienste und Lösungen Sie einsetzen, um die Application vor dem Angriff zu schützen, der unweigerlich auf Sie zukommen wird.

Application ist nicht wie ein teurer Leibwächter. Das ist nicht etwas, was nur die VIP-Apps bekommen. Es handelt sich eher um eine Art persönliche Sicherheit und ist etwas, worüber jede Application verfügen sollte, die sich in der Öffentlichkeit präsentiert. Und das gilt unabhängig davon, ob sich die Apps im Rechenzentrum oder in der Cloud befinden.

* Ich sage „sehr wenige“, aber ehrlich gesagt konnte ich nicht einmal einen finden. Vielleicht liegt das an meinem Google-Fehler, aber wahrscheinlicher ist, dass anscheinend niemand darüber reden möchte.