Cyberbedrohungen
Schutz für Anwendungen mit RASP
RASP ist ein Sicherheitstool, das auf einem Server läuft und seine Arbeit aufnimmt, wenn eine Anwendung ausgeführt wird. Es st darauf ausgelegt, bösartiges Verhalten in Echtzeit zu erkennen und kann auch den Kontext eines Verhaltens analysieren.
Originalbeitrag von Trend Micro
Der weltweite Markt für Container soll bis 2023 von 1,2 Mrd. $ 2018 auf 4,98 Mrd. $ wachsen, so ein Marktforschungs- und Beratungsunternehmen, und serverlosen Architekturen prophezeien die Forscher bis 2025 ein Wachstum von 7,6 Mrd. $ 2020 auf 21,1 Mrd.. Neben deren Vorteilen bezüglich Skalierbarkeit, Effizienz und Kostenvorteilen bei der Entwicklung und dem Einsatz von Anwendungen sind jedoch Container-basierte und serverlose Anwendungen gegen Risiken und Bedrohungen nicht immun. Deshalb sind Überlegungen zu den Möglichkeiten der Absicherung dieser Anwendungen über RASP (Runtime Application Self-Protection) von Bedeutung.
RASP ist ein Sicherheitstool, das auf einem Server läuft und seine Arbeit aufnimmt, wenn eine Anwendung ausgeführt wird. Das Tool ist darauf ausgelegt, bösartiges Verhalten in Echtzeit zu erkennen, und ist in der Lage, sowohl das Verhalten einer Anwendung als auch der Kontext dieses Verhaltens zu analysieren.
Vorteile von RASP
Die Software kann alle Arten von Datenverkehr abfangen, die auf bösartiges Verhalten hinweisen, z. B. SQL-Injection, Cross-Site-Scripting (XSS), Schwachstellen, Bots und Angriffe, die über E-Mail, Slack und andere Nachrichtentypen ausgeführt werden.
Da RASP direkt in eine Anwendung eingebaut ist, kann das Tool Anwendungsverhalten überwachen und somit Angriffe mit hoher Genauigkeit verhindern. Auch ist es in der Lage, zwischen Angriffen und legitimen Anfragen zu unterscheiden, wodurch Fehlalarme reduziert werden.
Darüber hinaus bietet RASP auch einen besseren Schutz vor Zero-Day-Exploits und liefert eine kurzfristige Lösung, wenn ein Patch für eine Anwendung über einen längeren Zeitraum nicht zur Verfügung steht. Hinzu kommt, dass das Tool keiner Art von Signatur für einen Exploit abhängig ist, da die Basis für den ordnungsgemäßen Betrieb die Anwendung selbst ist.
Schutz für serverlose Anwendungen
Zur Veranschaulichung der Absicherung durch RASP zeigen wir, wie eine Funktion von Amazon Web Services (AWS) Lambda – ein serverloser Service, der es Unternehmen ermöglicht, Code ohne Serverbereitstellung und -wartung auszuführen – mit Trend Micro Cloud One™ – Application Security geschützt werden kann.
Alfredo de Oliveira, ein Trend Micro Senior Security Researcher, beschrieb in dem Whitepaper „Securing Weak Points in Serverless Architectures: Risks and Recommendations“ einen Proof of Concept, mit einer AWS Lambda-Funktion, die mit hohen Berechtigungen ausgestattet ist. Unter einer solchen Bedingung könnten Bedrohungsakteure das Zeitlimit der Lambda-Funktion verändern und anschließend Angriffe wie eine Eskalation von Privilegien und Datenexfiltration durchführen. Die Einzelheiten dazu beinhaltet der Originalartikel.
Den Schutz von Containern gegen SQL Injection zeigt ein LinkedIn Artikel von Chuck Losh, ein Trend Micro Solutions Architect. Die technischen Einzelheiten finden sie auch im Originalbeitrag.
Automatisieren von RASP
Das Automatisieren von RASP stellt einen noch effektiveren Ansatz für den Schutz von serverlosen Anwendungen dar. Ein AWS Lambda Funktions-Template (z.B. CloudFormation) enthält die nötigen RASP-Komponenten, um Cloud One – Application Security in AWS Lambda zu integrieren.
Werden diese Informationen in einer CFN-Vorlage bereitgestellt, können Entwicklungsteams eine AWS Lambda-Funktion mit der Gewissheit starten, dass die Sicherheit bereits ein Teil der Anwendung selbst ist. Dies begrenzt auch die zahlreichen manuellen Schritte.
Fazit
Über den Einsatz des RASP-Tools können Unternehmen ihre Sicherheit weiter vorn (Shift Left) im Entwicklungsprozess ansiedeln und die DevSecOps-Kultur vorantreiben.
Zwar bieten Cloud-Service-Provider (CSPs) Anleitungen und Sicherheitsfunktionen für ihre Services an, dennoch sollten Unternehmen darauf achten, dass sie die Sicherheit der Services, die mit ihrer Computing-Umgebung verbunden sind, optimieren.
Die Übernahme des Shared Responsibility Model ist der Schlüssel zur Absicherung dieser Services, da sowohl der CSP als auch der Benutzer die Verantwortungsbereiche für den Schutz ihrer Computing-Umgebung übernehmen müssen.
Trend Micro Cloud One
Unternehmen in puncto Security auch der Trend Micro Cloud One –Servicesplattform vertrauen. Die Plattform bietet eine zentrale Übersicht über alle hybriden Cloud-Umgebungen sowie Echtzeitsicherheit mithilfe der folgenden automatisierten Services:
- Application Security ist ein embedded Sicherheits-Framework, das proaktiv Bedrohungen entdeckt und Anwendungen sowie APIs in ihren Containern, serverlosen Technologien und anderen Cloud-Plattformen schützt.
- Cloud Conformity führt hunderte automatisierte Checks gegen Compliance-Standards und Best Practices der Cloud-Sicherheits durch.
- Container Security erkennt Bedrohungen, Schwachstellen und exponierte sensible Daten wie API-Schlüssel und Passwörter innerhalb von Container Images.
- Workload Security kann automatisiert über virtuelles Patching Altsysteme und Cloud Workloads vor Bedrohungen schützen. Dafür kommt auch maschinelles Lernen zum Einsatz.
- File Storage Security schützt den Workflow durch innovative Techniken wie Malware-Scanning, Integration in anwenderdefinierte Workflows und umfassenden Support für Cloud-Speicherplattformen.
- Network Security schützt virtuelle private Clouds, indem der Service Angriffe und Bedrohungen blockiert und Infiltrierungen erkennt.