Top Thema
SHIFT LEFT – Linksruck im Neuland?
Linksruck in der IT? Was soll das bedeuten? Gewerkschaften bei Amazon? Google-style Walkouts bei SAP? Mindestlohn für Consultants bei Accenture und Co.? Keineswegs! Der aktuell „trendende“ Kampfruf „Shift Left“ spielt an auf die Bewegung nach links im Entwicklungszyklus von Software oder anderen IT-Produkten, also im SDLC (Software Development Life Cycle). Es mag merkwürdig anmuten, in Bezug auf einen Kreis(lauf) von „links“ und „rechts“ zu sprechen. Gemeint ist eine Bewegung hin zu den Tätigkeiten, die in der Entwicklung früh vorgenommen werden sollten.
Ein Penetrationstest setzt spät – „rechts“ – an und zieht dementsprechend große Aufwände nach sich, wenn grundsätzliche Dinge zu reparieren sind. Früher – „weiter links“ – wirkt sichere Softwareentwicklung. Und idealerweise wird die Security bereits „ganz links“, also in der Definition von Sicherheitsanforderungen, berücksichtigt.
Die Idee ist alles andere als neu. Doch scheint sie sich momentan aus ihrem Schattendasein als Elefant im Raum langsam in Richtung rosa Kaninchen auf der Tanzfläche zu bewegen. Immer mehr Organisationen umarmen das Konzept des „Linksrucks“ und greifen dafür in nicht unerheblichem Maße in althergebrachte Arbeitsweisen und Rollenverständnisse ein.
Der Hauptgrund dürfte – wie so oft bei der Umwälzung gesellschaftlicher oder technischer Verhältnisse – in der Veränderung der Produktionsbedingungen selbst liegen. Im Wasserfallmodell konnte man ans Ende der eh um 80 % überzogenen Entwicklungszeit und -budgets auch noch einen Penetrationstest „dranklatschen“, dessen Empfehlungen dann im Zweifel nicht umgesetzt wurden. In agilen Sprints mit DevOps-Prozessen und Hunderten von Microservices in Tausenden von Containern, die von Dutzenden Teams entwickelt und verantwortet werden, ist dies nicht mehr möglich. Wohl oder übel muss die Security ebenfalls agiler und mithin deutlich schneller werden – und das geht nur, indem sie früh im Entwicklungsmodell beginnt. Google etwa tanzt das aktuell mit dem Konzept BeyondProd (siehe LESETIPPS unten) eindrucksvoll vor.
Bitte nicht falsch verstehen: Der klassische Penetrationstest hat weiterhin seine Daseinsberechtigung und ist in vielen Situationen (Legacy, Brownfield, Compliance …) das geeignete Mittel, um Schwachstellen zu identifizieren. Er muss allerdings zukünftig zu einem ganzheitlichen SDL (Security Development Lifecycle) ergänzt werden.
Neuigkeiten
Vertracked: Geo-Lokation als Safety-, Security- und Privacy-Katastrophe
Eine neue Enthüllungsgeschichte der New York Times nimmt sich den Markt der Sammler und Anbieter von Geo-Lokationsdaten vor. Die gemeinhin unbekannten Firmen verarbeiten Daten, die von Smartphones und vor allem von Tausenden Apps unterschiedlichster Funktion erzeugt werden. Dadurch sind sie in der Lage, genaue Bewegungs- und Persönlichkeitsprofile der meisten Menschen anzulegen. Die Times zeigt eindrucksvoll, wie anhand eines eingeschränkten Auszugs eines solchen Datensatzes Besucher bei Celebrities und im Weißen Haus, Mitarbeiter im Pentagon und Demonstranten unterschiedlicher Couleur nicht nur mühelos identifiziert, sondern virtuell bis zu ihren Wohnungen und Arbeitsstätten verfolgt werden konnten. In den Händen eines Stalkers wäre ein solcher Datensatz, der auf dem grauen Markt bereits heute käuflich zu erwerben ist, ein Albtraum – in den Händen eines autoritären oder sich in die autoritäre Richtung entwickelnden populistischen politischen Systems eine Katastrophe. Denn diese Art von Daten ist kaum zu anonymisieren und zudem bisher faktisch und praktisch nicht ausreichend reguliert.
https://www.nytimes.com/tracked
Rechnung von der Schwiegermutter: Emotet-Masche zieht
Die neue Masche von Emotet und Co., die Glaubwürdigkeit von SPAM-Nachrichten mit Viren-Anhängen zu erhöhen, indem Kontakte und frühere Konversationen bei bereits befallenen Opfern angezapft und genutzt werden, um neue potenzielle Opfer anzusprechen (wir berichteten), scheint unheilvoll zu ziehen. So traf es in den letzten Tagen unter anderem das Klinikum Fürth, die Stadtverwaltung Frankfurt und die Uni Gießen (wobei hier die Hintergründe noch nicht klar sind). Ganz nach dem Motto: Auch wenn es irgendwie merkwürdig ist, warum mir meine Schwiegermutter eine Rechnung schickt, klicke ich aus reiner Neugier trotzdem. Aktuelle Awareness-Kampagnen reichen nicht mehr aus, um die Nutzer immun zu machen.
Dies lässt sich gut im Rahmen einer größeren „Marktverschiebung“ zu immer komplexeren Viren lesen. Hier gut zusammengefasst von Heise: https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html
APT meets Rent-a-Ransom: Cybercrime-as-a-Service 2.0
Die Entstehung und Entwicklung der komplexen Schadsoftware TrickBot, ihrer Vorgänger, Methoden und Verknüpfungen bis hin zu APTs und nordkoreanischen Hackergruppen zu verstehen ist wichtig, um aktuelle Angriffswellen einordnen und verstehen zu können. Kern der Geschichte ist laut Analysten von SentinelOne, dass TrickBot es geschafft habe, die vielen ehemals vereinzelten Bereiche der „Cyber“-Kriminalität wie Banking-Fraud, Ransomware, Diebstahl von persönlichen Informationen und Cryptomining zusammenzubringen und in einer modularen Schadsoftware hochautomatisiert zu verpacken, die dann als Cybercrime-as-a-Service an Dritte vermietet wird.
Technische Details: https://assets.sentinelone.com/labs
Eingebaute Löschfrist: Zeitbombe in HP-Storage
Große Koalitionen halten manchmal vier Jahre – bestimmte Speichersysteme von Hewlett Packard Enterprise (HPE) nur 3 Jahre, 270 Tage und 8 Stunden. Nach genau 215 (32.768) Stunden Laufzeit geben die Enterprise-SSD-Komponenten den Löffel ab und die auf ihnen gespeicherten Daten nie mehr her. Der GAU lässt sich mit einem Update der Firmware verhindern.
https://www.heise.de/newsticker/meldung/HPE-warnt-vor-SSD-Ausfaellen-4596674.html
Einen ähnlich unglücklichen Fehler produzierte Cisco: Alle mit IOS signierten X.509-Zertifikate verlieren Anfang 2020 ihre Gültigkeit - und dann können keine neuen mehr erzeugt werden, wenn bis dahin kein Update eingespielt wurde.
Contingent Business Continuity Continues Continuously: ISO 22301:2019
Der führende internationale BCM-Standard ISO 22301 wurde am 31.10.2019 in neuer Version veröffentlicht. Unter anderem wurden im Vergleich zur bisher gültigen Version von 2012 die aktuellen ISO-Anforderungen an Managementsysteme berücksichtigt, Anforderungen geklärt und ergänzt sowie redaktionelle Umstrukturierungen vorgenommen.
Auch das BSI überarbeitet mit Unterstützung von HiSolutions gerade seinen Standard für das Notfallmanagement, 100-4 -> 200-4.
Drei Tage wach: 72h Schwarzfallredundanz
Für Übertragungsnetzbetreiber gibt es seit neuestem eine Verpflichtung zu einer „72 Stunden Schwarzfallredundanz“. Dies impliziert, dass alle versorgungsrelevanten Informationssysteme ebenfalls angemessen gegen Stromausfall abgesichert werden müssen. Die 72 Stunden leiten sich ab aus der EU-Verordnung 2017/2196 vom 24. November 2017 in Verbindung mit einem Begleitdokument der Bundesnetzagentur vom 2. Oktober 2019.
Hack Yourself mit Microsoft: Das Security Portal kommt
Microsoft ist dabei, die Sichten und Daten diverser Ökosystem-eigener (Cloud-)Sicherheitstools im „Microsoft Security Portal“ zusammenzuführen (in Zukunft erreichbar unter security.microsoft.com – noch läuft dort ein „private preview“ für ausgewählte Nutzer). Ein Blogpost anlässlich der jüngsten Microsoft-Ignite-Konferenz zeigt in Form eines „Hack Yourself“-Experiments anschaulich, was dort an Funktionen zu erwarten ist, mit denen O365 & Co. abgesichert werden können.
https://emptydc.com/2019/11/21/go-hack-yourself-ignite-2019-edition/
Auf Sicht: Neue EBA-Richtlinie
Die Europäische Bankenaufsicht EBA hat eine neue Richtlinie zum Informationssichereitsmanagement und Business Continuity Management in Banken veröffentlicht. U. a. werden Anforderungen an das ISMS (inkl. Vorgaben-Framework, Assessments, Tests usw.), an das IT-Management sowie an das BCM (inkl. Methodik für die Business-Impact-Analyse, Business-Continuity-Plänen, Tests und Krisenkommunikation) gestellt. Wie so häufig steckt der Teufel im Detail. So wird etwa konkret gefordert, dass in der Business-Impact-Analyse auch Schutzziele zur Informationssicherheit betrachtet werden und somit die Verzahnung aus BIA und Schutzbedarfsfeststellung erfolgen muss. Die Guideline wird zum 30. Juni 2020 in Kraft gesetzt und ab dann auch geprüft.
https://eba.europa.eu/eba-publishes-guidelines-ict-and-security-risk-management
Oh Du Fröhliche: Ich weiß, was Du gestern mit welchem veralteten Gerät geschaut hast
Man kann glauben oder auch nicht, dass die Pornobranche der eigentliche Treiber für technologische Entwicklung im Internet ist. Unumstritten ist sie eine der Vorreiterinnen bei der Massentauglichmachung von Innovationen (Streaming, Flash, HTML5, Online-Payments, Mobile First, VR/AR …) – und eine wertvolle Quelle für (Security-)Informationen. So hat Google inzwischen davon Abstand genommen, Zahlen zur Verteilung der Versionen seines Android-Mobilbetriebssystems zu veröffentlichen – zu peinlich war möglicherweise die geringe Marktdurchdringung der neuesten Releases. Jährlich veröffentlichte Zahlen des Anbieters Pornhub zeigen nun, dass lediglich zwei Prozent der Nutzer von Android-Geräten bereits das im September veröffentlichte Update Android 10 installiert hatten. Bei iOS sieht das Bild erwartungskonform anders aus: Bereits auf 71 Prozent der erfassten Geräte lief das zeitgleich vorgestellte aktuelle iOS 13.
Lesetipps
Jenseits von SVERWEIS
Die eierlegende Wollmilchsau Excel, Microsofts gleichzeitig produktivstes und am meisten Produktivität vernichtendes Tool aller Zeiten, kann sogar forensische „Big Data“-Analyseaufgaben übernehmen – solange „Big“ nicht zu groß wird. Für ernsthafte große Analysen müssen dann allerdings doch Add-ins oder sogar spezialisierte Tools bzw. Programmierkenntnisse in Python und Co. her.
Jenseits von Prod
Mit BeyondCorp hatte Google 2014 als Reaktion auf einen Einbruch ins Firmennetz 2009 („Aurora“) das Konzept der Perimetersicherheit komplett über Bord geworfen und in Richtung Zero Trust und Context Aware weiterentwickelt. Nun, fünf Jahre später, ist die nächste Stufe erreicht: Das gerade veröffentlichte Paradigma „BeyondProd“ beschreibt ein Konzept und eine Referenzarchitektur, mit der es möglich sein soll, Security und Reliability in einer Welt von Tausenden Containern und Microservices herzustellen und aufrechtzuerhalten. Wieder gilt wie damals: Auch wenn nicht viele Organisationen dies 1:1 werden umsetzen können, findet sich hier ein reicher Schatz von Anregungen, die sich lohnen, durchdacht zu werden.
https://cloud.google.com/security/beyondprod/
Links von der Mitte
Apropos links (unser Top Thema): Zum Schluss etwas fast Philosophisches für Techies und solche, die es werden wollen: Man muss nicht die Meinung teilen, dass Security Engineering die lichte Zukunft ist, aber diese Darstellung „From Pentester to AppSec Engineer“ ist allemal lesenswert.
https://hella-secure.com/from-pentester-to-appsec-engineer/
Genauso übrigens wie der Rest des Blogs: https://hella-secure.com
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Januar 2020.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!