pholidito - Fotolia
Geheimnisse sicher verwalten und Wildwuchs vermeiden
Digitale Berechtigungsnachweise – die Geheimnisse – gewähren Zugang zu Diensten, Geräten oder Anwendungen. Daher sind sie begehrte Beute und erfordern Sorgfalt im Umgang.
Die Ausbreitung von Geheimnissen (Secrets) ist eine Bedrohung für Unternehmen und macht sie anfällig für Datenschutzverletzungen. Erfahren Sie, was die Ursachen für die Ausbreitung von Geheimnissen sind und wie Sie Geheimnisse besser schützen können.
Diese notwendigen und leistungsstarken Code-Strings sind weit verbreitet, müssen aber gleichzeitig geschützt und verwaltet werden, um ihre Integrität zu wahren.
Die Herausforderungen bei Geheimnissen
Die Menge der in Unternehmen verwendeten Secrets ist mit der Verbreitung von mobilen Geräten, Anwendungen und Cloud-Diensten exponentiell gestiegen.
Nachfolgend finden Sie Beispiele für Geheimnisse, die Organisationen verwenden und schützen müssen:
- OAuth-Token
- API-Schlüssel
- Benutzernamen/Passwörter
- SSH/TLS-Zertifikate
- Verschlüsselungs- und Code-Signierungsschlüssel
- Maschinen-Identifier
- Anwendungsauthentifikatoren
Das Problem mit Geheimnissen ist, dass sie nicht geheim sind. Sie werden in der gesamten Infrastruktur eines Unternehmens repliziert und gespeichert. Dies ist eine Notwendigkeit, denn Geheimnisse müssen verfügbar sein und auf Anwendungen und Geräte verteilt werden, um die Kommunikation zu ermöglichen. Diese Verwendung kann jedoch dazu führen, dass mehrere Kopien eines Geheimnisses wahllos - und willkürlich - gespeichert werden. Geheimnisse können auch in Anwendungen und Geräten fest einkodiert sein, was sie unsicher macht.
Die unregelmäßige und unkontrollierte Verbreitung von den Secrets führt zum so genannten Geheimniswildwuchs.
Wie Angreifer an Geheimnisse gelangen
Die Ausbreitung von Geheimnissen macht es schwierig, die Kontrolle und Sichtbarkeit dieser aufrechtzuerhalten. Außerdem wird die Angriffsfläche eines Unternehmens enorm vergrößert, da Angreifer mehrere Möglichkeiten haben, ein aktives Geheimnis zu entdecken und es auszunutzen.
Da Geheimnisse einen Zugang zu Anwendungen und Geräten ermöglichen, sind sie bei Cyberkriminellen sehr begehrt. Studien zu Cyberangriffen zeigen immer wieder, dass kompromittierte Anmeldedaten Einbrüche erleichtern. Warum sollten Angreifer eine Tür aufbrechen, wenn sie sie entriegeln können?
Die Ausnutzung von Geheimnissen ist keine Theorie. Ein berüchtigtes Beispiel ist die Mirai-Malware. Mirai durchsuchte Netzwerke nach bestimmten IoT-Geräten, bei denen es sich mit bekannten Standardbenutzernamen und -kennwörtern anmelden konnte. Sobald es sich angemeldet hatte, fügte es das infizierte Gerät zu einem Botnet hinzu, dass für DDoS-Angriffe genutzt werden konnte.
Unterm Strich ist der Wildwuchs von Geheimnissen eine große Schwachstelle für Unternehmen.
Die Ausbreitung von Geheimnissen im Griff behalten
Es gibt keine einfache Lösung, um Sichtbarkeit und Kontrolle über Geheimnisse zu erlangen. Unternehmen können jedoch einige Maßnahmen ergreifen, um die erweiterte Angriffsfläche zu verringern.
Der erste Schritt besteht darin, Einblick in die Geheimnisse zu erhalten, an die Angreifer gelangen könnten. Verwenden Sie zum Beispiel das Open-Source-Tool TruffleHog, um Schlüssel in JavaScript oder Einstellungen für die gemeinsame Nutzung von Ressourcen in APIs zu ermitteln.
Erinnern Sie Mitarbeiter, die Geheimnisse erstellen, daran, diese zu schützen und nicht öffentlich zugänglich zu machen. Unternehmen können dieses Bewusstsein für die Cybersicherheit ergänzen, indem sie eine „Zero-Secrets-in-Code“-Richtlinie durchsetzen. Entwickler brauchen die Werkzeuge, um dies umzusetzen.
Schließlich sollte es eine zentrale Stelle geben, die alle Aspekte des Lebenszyklus von Geheimnissen verwalten kann. Zu den spezifischen Maßnahmen sollten die folgenden Schritte gehören:
- Machen Sie eine Bestandsaufnahme aller Geheimnisse und geheimen Verbindungen.
- Verwalten Sie geheime Verknüpfungen, um sicherzustellen, dass der Zugriff innerhalb der Richtlinien erfolgt.
- Dokumentieren Sie, wofür jedes Geheimnis verwendet wird, warum es erstellt wurde und wer es besitzt.
- Aktualisieren, überprüfen, erneuern und entfernen Sie regelmäßig Geheimnisse.
- Zentralisieren und beschränken Sie die Berechtigung zum Erstellen von Geheimnissen.
Spezialisierte Programme zur Verwaltung von Geheimnissen können die Sicherheit von Anmeldedaten zentralisieren, den Lebenszyklus von Geheimnissen verwalten und den Benutzern Informationen darüber geben, wer Zugriff auf die einzelnen Geheimnisse hat.
Die Kontrolle über Geheimnisse verbessert die allgemeine Sicherheit erheblich und unterstützt gleichzeitig den störungsfreien Geschäftsbetrieb.