7 C
Berlin
Sonntag, Dezember 22, 2024
StartCloud & RZSchwachstellen in Containern finden – und beheben!

Schwachstellen in Containern finden – und beheben!

Date:

Laut einer aktuellen Studie von sysdig, einem Experten für Cloud- und Container-Sicherheit, weisen 87 Prozent der Container-Images hochriskante Schwachstellen auf. Der Bericht deckt außerdem auf, dass Cloud-Ausgaben in zweistelliger Millionenhöhe durch übermäßig zugewiesene Kapazitäten verschwendet werden.

Beides zusammen entspricht einer defekten Schließanlage eines mit Wertsachen gefüllten Banktresors. Für Angreifer wie Automated Libra, der Gruppe von Cloud-Threat-Akteuren hinter der Freejacking-Kampagne PurpleUrchin 🌐, ist das ein Schlaraffenland.

Am Beispiel PurpleUrchin wird deutlich, wie komplex und dennoch einfach Angriffe auf Cloudumgebungen sein können (Quelle: sysdig)

Je komplexer die Landschaft, desto größer ist die von potentiellen Schwachstellen ausgehende Gefahr. Es gibt viele Schnittstellen und vielfach verschachtelte Software-Lieferketten. Z. B. globale Finanzinstitute wie Goldmann Sachs nutzen Hunderttausende Compute-Nodes und Tausende Applikationen. Zwei der größten Risiken in solchen Landschaften sind die großzügige Vergabe von Nutzerrechten und Konfigurationsfehler.

90% der Berechtigungen sind unnötig (Quelle: sysdig)

Die einfachste Möglichkeit, das Risiko zu verringern, ist die Rechtevergabe. Statt allow all sollten nur die Operationen erlaubt sein, die wirklich zum Betrieb benötigt werden – und auch nur für die Mitarbeiter, die wirklich damit arbeiten müssen.

Einschränkung von Rechten am Beispiel von Amazon S3 (Quelle: sysdig)

Dazu allerdings muß man erst einmal wissen, wer auf welche Ressourcen Zugriff hat und welche Berechtigungen tatsächlich genutzt werden. Die Voraussetzung dazu sind die Inventarisierung der Cloud-Ressourcen und eine Übersicht welche Daten und welcher Kontext wichtig sind. Zum Risikomanagement gehört aber auch die Fähigkeit, Anomalien und Vorfälle in der Cloud zu erkennen und die Gewissheit, dass Konfigurationen sicher und konform sind.

Schwachstelle ist nicht gleich Schwachstelle

Für seinen Sysdig 2023 Cloud-Native Security and Usage Report analysierte das Unternehmen, wie globale Unternehmen aller Größen und Branchen Cloud- und Container-Umgebungen nutzen und sichern. Ausgewertet wurden Milliarden von Containern, Tausende von Cloud-Konten und Hunderttausende von Anwendungen von sysdig-Kunden.

Die Priorisierung von Schwachstellen ist nach wie vor eine große Herausforderung. Dabei ließe sich durch intelligente Filter die Anzahl der zu behandelnden Schwachstellen, die eine echte Bedrohung darstellen, von 85 Prozent auf 15 Prozent reduzieren.

Pakete, die installiert werden versus der tatsächlich zur Laufzeit genutzten Dienste (Quelle: sysdig)

Viele der verfügbaren Pakete werden in Produktivumgebungen gar nicht genutzt. Mit Plattformen wie sysdig Secure lassen sich Schwachstellen erkennen und priorisieren. Das Dashboard zeigt zudem sehr übersichtlich, ob die Schwachstelle überhaupt eine Bedrohung darstellt. Remediation-Maßnahmen sind aus der Übersicht heraus mit einem Klick erreichbar.

Schwachstellen-Priorisierung mit sysdig Secure (Quelle: sysdig)

Leben und Sterben in der Cloud

Auch Überprovisionierung ist ein Risiko. Die Studie ergab, dass für 59 Prozent der Container keine CPU-Limits definiert sind. 69 Prozent der angeforderten CPU-Ressourcen bleiben zudem ungenutzt. Einer groben Schätzung könnten Unternehmen aller Größen ihre Cloudkosten um ca. 40% senken. So könnte in großen Bereitstellungen die Einsparung durch eine Optimierung der Umgebung auch schon einmal 10 Millionen US-Dollar betragen.

Je größer die Landschaft, desto größer die Einsparung (Quelle: sysdig)

Angreifer wie Automated Libra freuen sich selbstverständlich bodenlos über diese ungenutzten, für sie kostenlosen Ressourcen.

Stellen Sie sich dies als das Cloud-Äquivalent eines Coupon-Betrugs in einem massiv automatisierten Massstab vor, bei dem die kostenlose Rechenleistung der Coupon und Kryptowährung der zum Kauf angebotene Gegenstand ist.

sysdig über die Freejacking-Kampagne PurpleUrchin

Dabei sind Analyse und Fehlersuche nicht immer einfach. 72 Prozent der Container leben weniger als fünf Minuten. Das Sammeln von Informationen zur Fehlerbehebung, nachdem ein Container verschwunden ist, ist allerdings nahezu unmöglich.

Lebensdauer von Containern in Cloud-Computing-Umgebungen (Quelle: sysdig)

Anbieter wie sysdig 🌐 entwickeln Open-Source-Standards und wichtige Bausteine, mit denen DevSecOps-Teams Schwachstellen finden und priorisieren, Bedrohungen erkennen sowie Cloud-Konfigurationen, -Berechtigungen und Compliance verwalten können.

Regelwerk mit sysdig Secure verwalten (Quelle: sysdig)

Plattformen wie sysdig Secure werden dringend benötigt. Die Cloud-Adoption schreitet massiv voran. Landschaften werden immer komplexer. Das gilt für IT-Services-Landschaften genauso wie für die Bedrohungslandschaft.

Ein Rückblick auf den letztjährigen Bericht zeigt, dass die Einführung von Containern weiter erfolgt, was durch den Rückgang der Lebensspanne von Containern deutlich wird. Allerdings werden Cloud-Umgebungen weiterhin von Fehlkonfigurationen und Schwachstellen heimgesucht. Lieferketten verstärken dabei die Manifestation von Sicherheitsproblemen. Die Verwaltung von Berechtigungen, sowohl für Benutzer als auch für Dienste, ist ein weiterer Bereich, in dem ich gerne eine strengere Vorgehensweise sehen würde. Der diesjährige Bericht zeigt ein großes Wachstum und skizziert außerdem Best Practices, von denen ich hoffe, dass die Teams sie bis zum Bericht 2024 übernehmen. Dazu gehört beispielsweise die Betrachtung der tatsächlichen Gefährdung, um das eigentliche Risiko zu verstehen, und die Priorisierung der Behebung von Schwachstellen, die wirklich Auswirkungen haben.

Michael Isbitski, Director of Cybersecurity Strategy bei Sysdig

Wir trafen sysdig-CEO Suresh Vasudevan sowie Loris Degioanni, CTO und Gründer von sysdig, im Rahmen der IT Press-Tour 🌐 im Januar 2023 in San Francisco.

Loris Degioanni, Gründer und CTO von sysdig
Suresh Vasudevan, CEO bei sysdig

Der vollständige sysdig 2023 Cloud‐Native Security and Usage Report kann über die sysdig-Website 🌐 angefordert werden.

Kerstin Mende-Stief
Kerstin Mende-Stief
Publisher & Editor in Chief data-disrupted.de | Analyst | Ghost Writer | Tech Doku & Translations @ mende.media for B2B ICT only, open source first | Cocktail Mixer | House Electrician | cat herder

Newsletter

Verpasse keinen Artikel oder Podcast mehr: Mit unserem Newsletter informieren wir Dich sporadisch über Updates. Manchmal ist auch von einem Hersteller sponsored content dabei. Wir geben jedoch nie Deine Kontaktdaten weiter. Versprochen!

Mehr aus dieser Rubrik

spot_img