Aktuelles, Gastbeiträge - geschrieben von cp am Montag, Oktober 31, 2022 16:13 - noch keine Kommentare
OpenSSL: Kritische Sicherheitslücke weckt Erinnerungen an Heartbleed
Der Angriffsvektor ist durch Virtualisierung viel größer geworden
Von unserem Gastautor Mattias Gees, Container Product Lead bei Venafi
[datensicherheit.de, 31.10.2022] Die Ankündigung der neuen kritischen OpenSSL-Sicherheitslücke in der Version 3.0.7 zum 1. November weckte sofort unangenehme Erinnerungen an Heartbleed oder – in jüngerer Zeit – an die Log4J-Sicherheitslücke. Heartbleed hatte erhebliche Auswirkungen auf alle IT-Teams weltweit, und seither ist die IT-Infrastruktur zehnmal komplizierter geworden. Die Schwachstelle ermöglichte damals den Diebstahl von Informationen, die unter normalen Bedingungen durch die SSL/TLS-Verschlüsselung geschützt gewesen wären. SSL/TLS bietet Kommunikationssicherheit und Datenschutz über das Internet für Anwendungen wie Web, E-Mail, Instant Messaging (IM) und einige virtuelle private Netze (VPN). Als Heartbleed 2015 entdeckt wurde, verwendete die Mehrheit der IT-Organisationen dedizierte Hardware oder virtuelle Maschinen. Doch jetzt befinden wir uns in der Cloud-Native-Ära, die fortschrittliche Container und serverlose Architekturen hervorgebracht hat.
Angriffsvektor viel größer geworden
Der Angriffsvektor ist viel größer geworden, und anstatt nur ihre VMs zu untersuchen, müssen sich IT-Teams darauf vorbereiten, als Reaktion auf diese Ankündigung alle ihre Container-Images zu patchen. Hoffentlich hat die Log4J-Schwachstelle viele dieser Teams dazu veranlasst, ihre Abhängigkeiten zu überprüfen. Wenn dies der Fall ist, helfen diese Schritte dabei, schnell eine gezielte Lösung für ihre Infrastruktur bereitzustellen. SBOMs (Software Bill of Materials) aller Container-Images sind ein guter Anfang, um einen Einblick in die Abhängigkeiten in den Anwendungen und der Infrastruktur zu erhalten.
Gezielte Überprüfung der genutzen Versionen von OpenSSL notwendig
Außerdem wissen IT-Teams jetzt, dass OpenSSL-Versionen vor 3.0 nicht betroffen sind und viele Betriebssysteme OpenSSL 1.1 verwenden, so dass diese Umgebungen nicht beeinträchtigt werden. Mit diesem Wissen können Cybersicherheits- und IT-Teams große Teile ihrer Infrastruktur ausschließen und hoffen, dass die Auswirkungen dieser Sicherheitslücke geringer sind als ursprünglich erwartet. Plattform-Engineering-Teams sollten jedoch weiterhin in eine bessere Überprüfung ihrer Umgebungen und ihrer Abhängigkeiten investieren, um sich auf die nächste Bedrohung vorzubereiten, die immer um die Ecke lauert
Weitere Informationen zum Thema:
datensicherheit.de, 19.09.2018
Heartbleed: OpenSSL-Schwachstelle wird immer noch ausgenutzt
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren