Interview mit Laurie Mercer

Themenkomplex Security: „Verwundbarkeiten wie Cross-Site-Lecks und SSRF werden zunehmen“
Keine Kommentare

Die moderne IT-Welt ist ein gefährliches Pflaster. Von der Entwicklung über das Deployment bis hin zur Nutzung fertiger Anwendungen gibt es quasi an jeder Ecke potentielle Schwachstellen. Kein Wunder also, dass „Security“ ein zentraler Bereich der Softwareentwicklung ist. Im Interview spricht Laurie Mercer, Security Engineer bei HackerOne, über die aktuelle Sicherheitslage in der IT.

Entwickler: Hallo Laurie! Sicherheit ist in der Welt der IT schon immer ein Thema. Kannst du vielleicht kurz umreißen, wie sich die Sicherheitslage in den letzten Jahren verändert hat?

Laurie Mercer: Der technologische Wandel hat in den letzten Jahren zu drei großen Trends geführt: zunehmende Geschwindigkeit der Software-Entwicklung, zunehmende Verbreitung von Cloud-Diensten und ein Trend zum Remote-Arbeiten. Entsprechend verändert hat sich auch die Bedrohungslandschaft. So entsteht durch CI/CD die ständige Gefahr, neue Software-Schwachstellen einzuführen. SaaS-Plattformen werden zunehmend auf ihre Sicherheit überprüft, falsch konfigurierte Cloud-Dienste können leicht zu SSRF- (Server-side Request Forgery) und anderen Schwachstellen führen, beispielsweise dem unberechtigten Zugriff auf Informationen. Remote-Arbeit hat zu zunehmenden Angriffen auf VPN- und Videokonferenzdienste geführt, die sich gegen Mitarbeiter im Home Office richten. Der Fokus sowohl der Cyberkriminellen als auch der Sicherheitsteams ist von entscheidender Bedeutung, um dieser neuen Sicherheitslandschaft zu begegnen.

Entwickler: Im DevOps-Bereich gibt es viele Ansätze, Anwendungen und deren Deployment sicherer zu machen: Das Stichwort hier heißt „DevSecOps“. Kannst du uns zu dessen Definition vielleicht ein paar Worte sagen?

Das ‚S‘ in IoT steht für ‚Sicherheit.

Laurie Mercer: Es gibt ein geläufiges Sprichwort: „Das ‚S‘ in IoT steht für Sicherheit“ – es ist per Definition nicht vorhanden. In den frühen Tagen von DevOps war es ähnlich: Sicherheit war ein nachrangiger Gedanke. Die Einfügung des ‚S‘ in DevOps war ein Eingeständnis, dass Sicherheit genauso in die technische Organisation integriert werden muss wie die operative Funktion. Pragmatisch gesehen bedeutet dies, dass viele Sicherheitsexperten lernen, wie man programmiert, und viele Experten aus der Infrastruktur und Programmierer lernen Sicherheit.

Entwickler: Wie genau sichert man eine CI/CD-Pipeline am besten ab? Irgendwelche Best Practices?

Laurie Mercer: Der beste Weg, die CI/CD-Pipeline zu sichern, ist die Sicherung der CI/CD-Pipeline! CI/CD-Pipelines sind Remote-Code-Execution-Fabriken (RCE), eine Goldgrube für Angreifer. Wenn man darüber nachdenkt, ist es offensichtlich: CI/CD-Pipelines müssen Code wie Compiler ausführen. Wenn sie nicht auf die gleiche Weise gesichert sind wie die Produktionssysteme, werden sie zum schwächsten Glied in der Kette. Entwickler und deren Umgebungen sollten abgeschottet arbeiten und von den Produktionssystemen getrennt werden. Niemals sollten Entwickler Produktionsdaten auf lokalen Entwicklungsumgebungen verwenden. Der beste Weg zur Sicherung der CI/CD-Pipeline ist, wie gesagt, die Sicherung der CI/CD-Pipeline!

Entwickler: Die Cloud ist für viele Unternehmen ein Segen, müssen sie doch nicht mehr selbst Hand anlegen, was die Server und die Konfiguration angeht. Dennoch gibt es, da alles irgendwo halb-öffentlich in der Cloud lagert, ganz andere Sicherheitsprobleme. Wie sichert man Cloud-basierten Anwendungen richtig ab?

Die hohe Geschwindigkeit, mit der Änderungen an der Infrastructure as Code (IaC) vorgenommen werden können, ist auch die Geschwindigkeit, mit der Schwachstellen eingeführt werden können.

Laurie Mercer: Zoom hat kürzlich die Benutzerbasis im Laufe etwa eines Monats von 10 Millionen auf etwa 200 Millionen monatliche Benutzer skaliert. Dies wäre in Zeiten vor der Cloud unmöglich gewesen. Infrastructure as a Service (IaaS)-Anbieter wie AWS, GCP und Azure haben es Unternehmen ermöglicht, ihren Betrieb auf ein Niveau zu bringen, das zuvor als unmöglich galt. Richtig konfigurierte Cloud-Services sind sicherer als schlecht gewartete Netzwerke vor Ort und lokale Rechenzentren. Gleichzeitig sind die Arten von Schwachstellen, die Cloud-Dienste betreffen, unterschiedlich.

Die hohe Geschwindigkeit, mit der Änderungen an der Infrastructure as Code (IaC) vorgenommen werden können, ist auch die Geschwindigkeit, mit der Sicherheitsschwachstellen eingeführt werden können. Um die Cloud-Infrastruktur richtig abzusichern, wurde ein neuer Job erfunden, der Cloud Security Architect. Um Cloud-basierte Anwendungen zu sichern, sollten Sie sich mit Ihrem Cloud-Sicherheitsarchitekten anfreunden und in kontinuierliche Sicherheit investieren.

Der zweite Aspekt der Cloud ist Software-as-a-Service, also so genannte SaaS-Plattformen. Viele moderne Organisationen bewegen sich weg vom Modell eines internen Netzwerks, in dem interne Dienste laufen, auf die per Fernzugriff über ein VPN zugegriffen wird, hin zur Verwendung von TLS-gesicherten SaaS-Plattformen, die mit SSO-Lösungen authentifiziert sind. Woher weiß man, dass diese SaaS-Plattformen sicher sind? Bei HackerOne stellen wir eine öffentliche Bug-Bounty-Plattform zur Verfügung, bei der wir alle Schwachstellen öffentlich bekannt geben, nachdem sie behoben wurden. Ich bin erstaunt über die Online-Dienste, die keine Erwähnung der Sicherheit auf ihrer öffentlichen Website haben. Kein Programm zur Offenlegung von Schwachstellen. Nichts. Es fällt mir wirklich schwer, Unternehmen zu vertrauen, die ihre Sicherheit geheim halten.

Entwickler: Auch das maschinelle Lernen oder Machine Learning ist in den letzten Jahren ordentlich vorangeschritten. Wie wirkt sich das auf die Sicherheit von Anwendungen aus? Immerhin können solche Technologien auch zum Knacken von Passwörtern und Firewalls genutzt werden.

Die Definition von „hacken“ ist, „Hindernisse kreativ zu überwinden“. Diese Fähigkeit, eigene Regeln zu brechen oder zu definieren, entzieht sich modernen KI-Algorithmen.

Laurie Mercer: Die künstliche Intelligenz (KI) hat bewiesen, dass sie, sobald sie die Spielregeln gelernt hat, Menschen sowohl beim Schach als auch beim Go schlagen kann. Zudem ist sie auf dem Weg, Autos sicherer als ein menschlicher Fahrer zu bedienen.

Das Problem mit Hacking und KI ist, dass es darum geht, die Regeln zu brechen. Die Definition von „hacken“ ist, „Hindernisse kreativ zu überwinden“, und es ist diese Fähigkeit, eigene Regeln zu brechen oder zu definieren, die sich modernen KI-Algorithmen entzieht.

Dennoch gibt es viele Gerüchte, dass die Singularität in der Nähe ist. Die KI hat durchaus das Potenzial, Schwachstellen zu finden, und wir freuen uns auf den Tag, an dem eine künstliche Intelligenz ihre erste Bug Bounty verdient.

Entwickler: Was ist deine Sicherheitsprognose für die kommenden Monate und Jahre – welche Entwicklungen wird es in Sachen Anwendungssicherheit geben?

Laurie Mercer: Meine Prognose für die neuen Entwicklungen ist, dass sich die Forschung im Bereich der Anwendungssicherheit auf die neue Normalität von Remote-Mitarbeitern, SaaS-Diensten und Fehlkonfigurationsproblemen beim Cloud-Hosting konzentrieren wird. Verwundbarkeiten wie Cross-Site-Lecks, Web-Cache-Täuschung und Server-side Request Forgery (SSRF) werden zunehmen. Ich prophezeie auch, dass beim Übergang der Software-Entwickler vom Vor-Ort- zum Remote-Arbeiten mehr als einer von ihnen eine unsichere Jenkins-Instanz online laufen lässt.

Entwickler: Vielen Dank für das Gespräch!


Laurie Mercer is a Security Engineer at HackerOne. He has a strong technical background, having worked as both a Developer and Penetration Tester. Recently working as a solutions engineer for large SAST programs, and now a Bug Bounty platform – Laurie loves to find and fix vulnerabilities. He also has a background in pedagogy, having lectured Western Culture in a Chinese university, where he learnt how to speak Mandarin, and how to milk a Yak.
Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -