Das Security-Rezept für Ihre Webserver

Das Security-Rezept für Ihre Webserver

OWASP ist das „Open Web Application Security Project“ welche es sich als gemeinnützige Organisation zur Aufgabe gemacht hat Softwaresicherheit „sichtbarer“ zu machen. Jedes Jahr wird eine Liste mit den 10 größten Sicherheitslücken veröffentlicht.

Unser Sicherheitsexperte bei toscom, Wolfgang Hotwagner, hat basierend auf dieser Liste unser Security-Rezept mit den Top 10 Zutaten zusammengestellt – „einfach zum Nachkochen“.

 

1. Injection

Bei Injections stellen im speziellen SQL-Injections die größte Gefahr dar. Durch eine Sicherheitslücke kann der Angreifer die Datenbank auslesen oder eigene Malware in die Datenbank einschleusen. Manchmal führen solche Angriffe zu Code-Execution und der Angreifer übernimmt die Kontrolle des ganzen Servers.

DSecurity Rezeptie Zutat: toscom Wartung Basis+ Beratung für Webentwickler
Die wichtigste Maßnahme um Injections vorzubeugen ist, dass die Developer die Webapplikation samt dessen Komponenten und Plugins am laufenden halten, und falls die Komponenten selbst programmiert wurden so sollten diese Sicher programmiert sein. Wir können diesen beratend zur Seite stehen und sehen über unsere regelmäßigen externen Audits, wo es zu Problemen kommen kann.

2. Broken Authentication

Passwörter in der Datenbank sollten mit einem kryptographischen Hash gesichert sein, um es Wörterbuchattacken schwierig zu machen bzw. sie zu verlangsamen. Zudem sollten die Passwörter bestimmte Kriterien erfüllen, um nicht als Eintrittstor für Angreifer zu dienen.

Security RezeptDie Zutat: toscom Wartung Security+
Mit einer Passwort-Policy die zu kurze und einfache Passwörter im System nicht zulässt, kann die Auswahl von zu einfachen Passwörtern durch den User wie 123, Ich,… ausgeschlossen werden. Die Verschlüsselung der Passwörter gehört bei toscom zum Standard. Die größte Gefahr bleibt damit nur noch der User selbst, der Passwörter unverschlüsselt an andere User weitergibt oder sogar irgendwo in seinen Unterlagen speichert.

Eine weitere Sicherheitsvorkehrung ist der Zugriffsschutz. Wenn für bestimmte Dienste nur eine Anmeldung aus dem Büro notwendig ist, sollte auch nur diese IP-Adresse für den Zugriff freigeschaltet sein und alle anderen Zugriffe automatisch geblockt werden.

3. Sensitive Data Exposure

Ein Beispiel für Sensitive Data Exposure wäre, wenn eine API sensible Daten beim Transfer nicht verschlüsselt.

Security RezeptDie Zutat: toscom Wartung Security+
toscom kümmert sich grundsätzlich um die richtige Verschlüsselung und führt bei Security+ auch externe Security Audits durch. Probleme werden darin aufgezeigt und erkannt und können behoben werden bevor es zu Schaden kommt.

4. XML External Entities

Wenn der XML/YAML-Parser defekt oder falsch konfiguriert ist und die XML-Daten nicht genau prüft, kann es dazu führen, dass Schadcode ausgeführt werden kann.

Security RezeptDie Zutat: toscom Wartung Security+
toscom kümmert sich grundsätzlich um die richtige Verschlüsselung und führt bei Security+ auch externe Security Audits durch. Probleme werden darin aufgezeigt und erkannt und können behoben werden bevor es zu Schaden kommt.

5. Broken Access Control

Ein gutes Beispiel für Broken Access Control ist die Vielzahl an ungesicherten Amazon S3 Objektspeicher, bei denen das Abrufen von Objekten ohne die entsprechenden Rechte möglich ist. (https://www.cqr.com/insecure-s3-buckets-expose-australian-government-data/ https://securityboulevard.com/2017/11/insecure-storage-buckets-expose-1-8-billion-online-posts-scraped-u-s-military/)

Security RezeptDie Zutat: toscom Wartung Security+
Dem richtigen Einsatz von Firewalls kommt in der IT-Security eine bedeutende Rolle zu. Bei toscom haben wir mehrere im Einsatz. Dienste, die nicht öffentlich erreichbar sein müssen werden abgeschirmt und können dadurch erst gar nicht Ziel von Hackerangriffen werden. Zusätzlich zu den Standardvorkehrungen führt toscom beim Produkt Security+ auch noch Penetrationstests durch. Dabei werden Systembestandteile und Anwendungen mit Mitteln und Methoden wie sie auch ein Hacker verwendet, auf Herz und Nieren getestet.

6. Security Misconfiguration

Fehlkonfigurationen sind sehr weit verbreitet und können auf allen technischen Ebenen auftreten. Bei der Infrastruktur, über die Applikation bis hin zu den von der Applikation verwendeten Komponenten können falsche Einstellungen vorgenommen worden und damit die Türe für jedermann geöffnet sein.

Security RezeptDie Zutat: toscom Wartung Basis
toscom arbeitet mit einem hohen Grad an Standardisierungen und Automatisierungen. Know-how aus einer Vielzahl an Best Practices fließt in unser Konfigurationsmanagement ein, wodurch Fehlkonfigurationen fast ausgeschlossen sind. Durch laufendes Monitoring werden darüber hinaus Probleme erkannt bevor es zu Ausfällen kommt. Hohe Systemauslastungen, auffällige Zugriffe usw. bleiben damit nicht unerkannt.

7. Cross Site Scripting

Unter Cross-Site Scripting wird die Injektion mit schadhaften Codes von der Nutzer-Seite verstanden. Ein schadhaftes Skript kann dadurch über den Browser ausgeführt werden. Dadurch ist eine Vielzahl unterschiedlicher Attacken möglich, wie beispielsweise Phishing-Angriffe. Ziel ist es oft, an sensible Benutzerdaten zu erlangen, um seine Benutzerkonten zu übernehmen.

Security RezeptDie Zutat: toscom Wartung Security+
Auch bei Cross Site Scripting helfen externe Security Audits welche bei Security+ regelmäßig durchgeführt werden.

8. Insecure Deserialization

Insecure Deserialization ist ein sehr häufiger Fehler. Nicht nur Java, sondern alle objektorientierten Sprachen sind davon betroffen. Objekte werden zum Speichern oder Kommunizieren mit anderen Programmteilen serialisiert und anschließend wieder in ein Objekt zurückgeführt. Durch Sicherheitslücken kann beim Deserialisieren Schadcode eingeschleust werden.

Security RezeptDie Zutat: toscom Wartung Security+
Externe IT-Security Audits, die regelmäßig durchgeführt werden, zeigen Schwachstellen durch Programmierfehler auf. Diese können dann rechtzeitig behoben werden.

9. Using Components with Known Vulnerabilities

Wird Software nicht regelmäßig upgedatet und am laufenden Stand gehalten kommt es schnell zu Schwachstellen, die durch Hacker leicht ausgenützt werden können. Beispielsweise: alte Jquery-Versionen, die in Websites eingebettet sind und XSS-Attacken (Cross-Site-Scripting) ermöglichen.

Security RezeptDie Zutat: toscom Wartung Security+
Das Einspielen von aktuellen Patches sowie laufende Updates zählen wir bei toscom als grundlegende Sicherheitsmaßnahmen. Zusätzlich zu den „Standardvorkehrungen“ wird bei toscom System-Hardening betrieben. Dank Best Practices und Security-Experten im Team können wir Sicherheitseinstellungen „feintunen“.

Systemstandardeinstellungen sind im Hinblick auf die Sicherheit häufig nicht optimal. Durch Verschärfen der Grundeinstellungen können durch toscom weitere mögliche Eintrittslücken geschlossen werden.
Bei toscom wird Compliance groß geschrieben. Bestimmte Hardening-Maßnahmen werden immer umgesetzt und es wird überwacht, ob sie stehts eingehalten werden.

10. Insufficient Logging + Monitoring

Bleiben Attacken unbemerkt führen sie letztendlich oft zum Erfolg. Wenn dann auch noch der erfolgreiche Angriff unentdeckt bleibt, kann der Hacker problemlos seine Rechte ausweiten und weitere Teile der Infrastruktur übernehmen und den Schaden somit ausweiten.

Security RezeptDie Zutat: toscom Wartung Security+
Dank „System Hardening“ wird die IT von innen gestärkt. Mit Securityeinstellungen, dem Einspielen der letzten Patches, sichere Konfigurationseinstellung, sicherer Verschlüsselung und eine geeignete Passwort Policy Passwort Policy sind viele Sicherheitslücken bereits geschlossen. Darüber hinaus führen wir bei toscom regelmäßig externe Audits durch um diese auch zu testen.

Darüber hinaus werden durch umfangreiche Monitoring Tools bei toscom Probleme erkannt bevor es zu Ausfällen kommt. Hohe Systemauslastungen, auffällige Zugriffsversuche oder die Ausführung zu vieler gleichzeitiger Dienste werden von uns sofort erkannt. Umgehend werden Sie über kritische Veränderungen informiert und auch geeignete Maßnahmen getroffen oder vorgeschlagen.

 

Zusammenfassung

Kurzum – man nehme einen Webserver, suche sich einen Hoster und mischt noch toscom Wartung Security+ dazu. Damit haben Sie es auch schon geschafft und sichergestellt, dass keine der Zutaten fehlt. Hacker haben damit kein leichtes Spiel mehr, denn mit toscom ist nicht gut Kirschen essen.

 

Ihre Kunden werden sich über den stabilen, sicheren und schnellen Webserver freuen und Ihren Onlineshop schätzen.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen