Maschinenidentitäts-Chaos: SSL-Zertifikat bei Optus Dev-Seite ausgelaufen

Kevin Bocek – Vice President of Security Strategy and Threat Intelligence bei Venafi

Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi

Nach dem Cyberangriff auf das zweitgrößte australische Telekommunikationsunternehmen Optus stellten investigative Reporter fest, dass das Unternehmen den öffentlichen Zugang zu der betroffenen API deaktiviert hatte. Ihr Entwicklerportal, das zufälligerweise seit Januar ein abgelaufenes SSL-Zertifikat hat, wodurch APIs nicht vertrauenswürdig sind, war weiterhin zugänglich.

Genau wie der Mensch benötigt auch jede Maschine eine Identität, um sich zu authentifizieren und sicher mit anderen Maschinen zu kommunizieren. Anstelle von Benutzernamen und Passwörtern verwenden Maschinen jedoch Maschinenidentitäten, die sich von denen für Menschen stark unterscheiden. Über APIs können andere Maschinen wie Cloud-Instanzen und künstliche Intelligenz auf sensible Daten zugreifen und Transaktionen durchführen, was sie zu erstklassigen Angriffszielen macht – wie wir bei Optus gesehen haben. Das große Problem ist jedoch, dass die von APIs verwendeten Maschinenidentitäten auch sicher und geschützt sein müssen. Nicht nur, dass APIs nicht mehr vertrauenswürdig sind und nicht mehr funktionieren, sie ermöglichen es Angreifern auch, andere Maschinen auszutricksen, sich als vertrauenswürdige Dienste auszugeben und sich unbefugten Zugang zu verschaffen.

Daher hier eine kurze Liste von Sicherheitsmaßnahmen, die Unternehmen zum Schutz von APIs beachten sollten:

  1. Die Dokumentation der Zugriffswege auf Daten, sowohl intern als auch extern, ist ein wichtiger erster Schritt. Darüber hinaus müssen die eigenen Ressourcen nach ihrer Relevanz kategorisiert werden, um potenzielle Gefahren richtig einschätzen zu können. Dabei ist zusätzlich auf branchenspezifische Vorschriften zu achten.
  2. Sicherheitsteams müssen Entwicklern – den Erstellern von APIs – helfen. Sicherheitsteams müssen den Entwicklern die Arbeit – etwa bei der Nutzung von Maschinenidentitäten – schnell und einfach machen, damit sie sich auf die Schaffung neuer Funktionen und Werte konzentrieren können. Gleichzeitig mit der Vereinfachung bauen die Sicherheitsteams ein höheres Maß an Sicherheit ein. #fastsecure-Teams haben einen großen Einfluss auf den Geschäftserfolg und die Sicherheit ihres Unternehmens.
  3. Der Meldevorgang von Sicherheitslücken sollte für jeden so einfach wie möglich sein, idealerweise mit Hilfe eines sogenannten Bug Bounty Programms. Hier wird das Melden von verifizierten Sicherheitslücken mit finanziellen Belohnungen (anstelle von Strafen) belohnt.

Bevor Unternehmen jedoch solche Maßnahmen umsetzen können, müssen sie die verwundbaren APIs finden. Hier ist ein Leitfaden, wie Sicherheitsteams dies erreichen:

  • Keine Datenübertragung ohne Transportverschlüsselung über TLS (mind. TLS 1.2).
  • Anonymer Zugang nur für allgemeine APIs, die Zugriff auf sensible Daten oder Ressourcen bieten.
  • Datensparsamkeit: Es werden keine Daten übertragen, die nicht übertragen werden müssen. Kundendaten sollten nicht über die Webanwendung, sondern bereits über das Backend gefiltert werden. Wenn Ihr Backend dies nicht unterstützt, können verschiedene API-Management-Lösungen helfen.
  • Etablierte API-Management-Produkte und deren Funktionalitäten zum Schutz vor Standard-Angriffspfaden wie SQL-Injection nutzen. Darüber hinaus können risikobasierte Metriken wie Ort oder Zeit einbezogen werden.
  • Klare Code-Richtlinien und angewandte Teststrukturen, bevor APIs veröffentlicht werden.

Fazit

Darüber hinaus müssen sich Unternehmen darauf konzentrieren, den Schutz von Maschinenidentitäten sicherzustellen. Ohne Investitionen in die Maschinenverwaltung sind Unternehmen anfällig für Verstöße, wie wir sie bei Optus erlebt haben. Angesichts der immer kürzer werdenden Lebensdauer von Maschinen in der Cloud und der explosionsartig ansteigenden Anzahl von Maschinen, die benötigt werden, kann diese Komplexität und Geschwindigkeit nicht manuell verwaltet werden. Stattdessen benötigen Unternehmen eine Steuerungsebene, die es ihnen ermöglicht, die Verwaltung der Maschinenidentität zu automatisieren. Indem sie die Hinweise zur Authentifizierung und Lokalisierung von APIs befolgen, können sich Unternehmen vor kostspieligen Konsequenzen schützen.