it-swarm.com.de

Wenn wir uns hinter einer Firewall befinden, müssen wir trotzdem Schwachstellen patchen / beheben?

Ich bin kürzlich einer sicherheitsorientierten Community in meiner Organisation beigetreten. Viele unserer Produkte werden im Intranet (vor Ort) nicht in der öffentlichen Cloud bereitgestellt. Auf die internen Portale kann also nur innerhalb des Netzwerks der Organisation zugegriffen werden.

Kürzlich wurde die Sicherheitslücke einer Apache-Bibliothek eines Drittanbieters (anscheinend eine mit Remotecodeausführung) veröffentlicht. Unser Sicherheitsleiter hatte uns gebeten, die Bibliothek sofort auf die neueste feste Version zu aktualisieren.

Ich hatte gefragt: "Da auf das Portal nur im Intranet hinter einer Firewall zugegriffen wird, müssen wir die Bibliothek noch aktualisieren?". Der Lead konnte aus Zeitgründen keine detaillierte Erklärung abgeben und bestätigte, dass das Upgrade trotzdem durchgeführt werden muss.

Was ist also falsch an der Aussage (Annahme?), "Da wir uns hinter einer Firewall befinden und solche Schwachstellen uns nicht betreffen".

73
Rakesh N

Ihre Aussage macht zwei fehlerhafte Annahmen:

  1. Ihre Firewall (s) sind/sind vollständig korrekt konfiguriert und weisen keine Schwachstellen auf, die es einem Angreifer ermöglichen würden, sie zu gefährden, und dieser perfekte Status wird fortgesetzt.

  2. Jeder in Ihrer Organisation ist vertrauenswürdig und birgt kein Risiko.

Sie sollten immer einen Tiefenverteidigungsansatz verfolgen und jede Schicht sichern, wo immer Sie können. Wenn ein Angreifer in einen Umkreis eindringt oder Sie einen betrügerischen Schauspieler haben, kann diese Apache-Sicherheitsanfälligkeit ausgenutzt werden, wenn sie nicht gepatcht ist.

161
iainpb

Dies ist eine uralte Frage und hat immer die gleiche Antwort.

(Chewy Center

Sie können sich nicht darauf verlassen, dass Ihre Angreifer nicht auf Ihr Netzwerk zugreifen können. Es genügt ein einzelner Mitarbeiter, der auf eine Phishing-E-Mail klickt, und der Angreifer hat einen Haushalt in Ihrem Netzwerk. Wenn Sie alles ungepatcht lassen, haben sie einen Feldtag.

58
gowenfawr

In Bedrohungsberichten wird routinemäßig festgestellt, dass Sie von Ihren eigenen Kollegen erheblich stärker gefährdet sind als von Außenstehenden. Ab dieser Bericht 2015 haben wir zum Beispiel die folgenden Zahlen:

74% der Verstöße stammen aus dem erweiterten Unternehmen - entweder von Mitarbeitern (40%), Dritten (22%) oder ehemaligen Mitarbeitern (12%) -, 26% von außerhalb des Unternehmens

...

Zwei Drittel (67%) der Verstöße gegen die interne Sicherheit sind auf versehentliche Fehler zurückzuführen - jeder Dritte (33%) ist auf böswillige Absichten zurückzuführen

33% von 74% geben uns also rund ein Viertel aller Verstöße, die von einem Ihrer Kollegen verursacht wurden, der entscheidet, dass er Sie nicht mag.

Diese spezifische Sicherheitsanfälligkeit müsste von einer böswilligen und technisch fähigen Insider-Bedrohung ausgenutzt werden. Einerseits verringert das "technisch fähige" Qualifikationsmerkmal Ihre Angriffswahrscheinlichkeit erheblich. Auf der anderen Seite ist "diese Sicherheitsanfälligkeit macht uns nur für Insider anfällig" ein völlig unzureichender Grund, nicht zu patchen.

27
ymbirtt

Ja, Sie müssen interne Systeme patchen.

Nehmen wir an, dass Folgendes zutrifft (was wahrscheinlich nicht der Fall ist):

  • ihr internes System ist zu 100% undurchdringlich von außen (oder Sie können jedes interne System im Falle eines Verstoßes übernehmen).
  • sie vertrauen zu 100% jedem in Ihrer Organisation (oder genauer gesagt jedem, der Zugriff auf das Intranet hat, zu dem auch Besucher, Zeitarbeitskräfte usw. gehören können).

Es gibt immer noch webbasierte Sicherheitslücken, für die überhaupt kein Zugriff auf das Intranet erforderlich ist, insbesondere XSS und CSRF.

Wenn Sie nicht mit Webanwendungen aktualisieren wie mit Webservern, können Sie davon ausgehen, dass einige Anwendungen anfällig sind. Jetzt kann ein Angreifer, der weiß oder errät, welche Software Sie verwenden, möglicherweise Code über XSS oder CSRF ausführen, wenn jemand in Ihrer Organisation beim Klicken auf Links oder beim Besuch von Websites nicht aufpasst.

13
tim

Um es metaphorisch zu erklären:

Eine Firewall im üblichen Sinne eines direktionalen Paketfilters/NAT-Maskerading-Gateways verhindert, dass der Rest der Welt Ihr "People" -Gift zwangsernährt.

Es wird sie auch davon abhalten, dem Rest der Welt zu viel Schaden zuzufügen, wenn sie verrückt und gewalttätig werden, falls jemand sie noch vergiftet.

Wenn Sie sie nicht auf einer sehr strengen Diät halten, hindert dies Ihre Leute nicht daran, nach Lebensmitteln zu greifen und diese zu essen, die jemand vergiftet hat, entweder mit dem ausdrücklichen Zweck, sie zu vergiften, oder einfach aus purem, nicht zielgerichtetem Sadismus, um Terror zu verursachen ...

Eine erweiterte Firewall (Deep Packet Inspection, Blacklist/Whitelist usw.) überwacht das Essen, ist jedoch immer noch unzuverlässig. Es kann auch zu Problemen führen, wenn man glaubt, dass Weichspüler eine Gatorade ist oder wenn stinkender Käse ein Versuch ist, alle zu vergasen, oder wenn grünes Licht grün ist, bedeutet dies, dass eine Flasche gesättigte Salzlösung sicher konsumiert werden kann.

6
rackandboneman

Ungesicherte Nur-Intranet-Dienste und -Anwendungen sind häufig das Endziel von Sicherheitsverletzungen. Leider versäumen es häufig überbewusste (und ich wage es zu sagen naive) System-/Netzwerkadministratoren, sie zu sichern.

Was ist, wenn ein normalerweise vertrauenswürdiger Intranet Benutzer einen Virus, einen Trojaner oder eine Botnet-Malware infiziert oder was haben Sie das? scannt Ihr Intranet von innen und sendet diese Informationen an eine nicht vertrauenswürdige Partei? Jetzt hat die nicht vertrauenswürdige Partei nicht nur einen Vektor in Ihrem Intranet, sie kennt auch das Layout und den Zugriff auf die ungesicherten Dienste.

Um den vielen unvorhergesehenen Sicherheitslücken entgegenzuwirken, sollte man mehrere Sicherheitsebenen haben, nicht nur eine.

6
unknownprotocol

Software-Schwachstellen sind ein Problem, das mit bestimmten Messungen nur schwer zu beheben ist, wenn sie vollständig getestet wurden. Daher kann Ihnen kein Anbieter eine solche Frage beantworten, es sei denn, er ist sich über die Schadensbegrenzungsmethode mithilfe der Firewall sehr sicher.

In der Tat sollten Sie gefragt werden, ob der Patch Ihre aktuelle Anwendung und Ihren aktuellen Prozess beschädigt und ob er zurückgesetzt werden kann.

5
mootmoot

Die Aktualisierung einer Firewall und die Aktualisierung der Software sind zwei unabhängige Verteidigungslinien

Kurz gesagt, die Antwort auf Ihre Frage kann nicht Ja oder Nein sein, beide sind falsch.

Und hier sind einige Erklärungen warum:

  • Eine "perfekte" Firewall (dieses Modell existiert nicht) und sogar ein vollständig isoliertes Intranet (d. H. Ohne Verbindung zum Internet) schützen Ihre Systeme nicht vor der Verbindung innerhalb dieses stark geschützten Intranets eines kontaminierten oder angegriffenen Computers. (Dies ist ein echtes Feedback: ~ ein solcher Angriff von innen/Jahr). Siehe auch Stuxnet (2010, analysiert von Kaspersky Lab.) .

    Kurz gesagt, selbst eine "perfekte" Firewall kann Sie nicht vor dem großen Risiko von innen schützen.

  • Auf der anderen Seite des Spektrums böser Ereignisse ist ein Upgrade eines Betriebssystems oder einer Software keine Garantie für eine Verbesserung der Sicherheit. Bei den meisten Software-Upgrades steigt die Anzahl der Codezeilen, und das Wahrscheinlichkeitsgesetz besagt, dass die Anzahl der Fehler proportional zunimmt. Ein Betriebssystem-Upgrade kann eine Sicherheitslücke in Port 80/tcp (Http) in Apache öffnen, die in der vorherigen Version nicht vorhanden war. Und wie es bei vielen Firewall-Konfigurationen der Fall ist, darf dieses Protokoll möglicherweise legitimerweise in Ihr Netzwerk gelangen. Dann kann Ihr Betriebssystem-Upgrade eine schwerwiegende Sicherheitslücke in Ihrem gesamten Netzwerk verursachen. Siehe auch Sicherheitsanfälligkeit bezüglich Remote-Root-Zugriff durch Upgrade auf MacOS High Sierra (2017, analysiert von Lemi Orhan Ergin) .

    Kurz gesagt, selbst eine "perfekte" Praxis des "Immer aktualisieren" kann Sie nicht vor dem großen Risiko von Editorenfehlern vor einem offenen Port Ihrer Firewall schützen.

Es gibt viele andere Szenarien, die zeigen, dass keiner dieser beiden Ansätze ausreicht: die "perfekte" Firewall, die "perfekte" Upgrade-Praxis.

Also was soll ich tun?

Mein persönlicher Rat ist es, Firewalls und Software unabhängig voneinander auf dem neuesten Stand zu halten, nachdem überprüft wurde, ob keine von ihnen eine Sicherheitsanfälligkeit einführt, gegen die sich die andere nicht verteidigen kann.

1
dan