In der iX läuft derzeit eine Artikelserie zu Wazuh, eine Open Source SIEM Software, die ich im Rahmen meiner Tätigkeit an der TU Dortmund selber auch einsetze und mit der ich gute Erfahrungen gemacht habe:
Wazuh: Unternehmenssicherheit mit Open Source
Freie Sicherheitsplattform Wazuh im Einsatz
Aktuell ist auch ein kritischer Beitrag zu Security Software hinzugekommen, die sich tief im System verankert, also auf allen Clients (auch auf Servern) mit Root-Rechten läuft.
Sicherheit von Drittanbietersoftware aus Sicht eines Angreifers
Das ist immer ein Problem beim Einsatz solcher Software (SIEM/Antivir/Security), beispielsweise auch bei Cisco Endpoint Security, ein Produkt, welches derzeit an vielen Hochschulen in NRW als Cloud-Variante eingesetzt wird. Leider wird an der TU Dortmund nicht die on Premise Variante von Cisco Endpoint Security verwendet, deren Bezug nicht über den NRW-Rahmenvertrag abgedeckt ist. Der lokale Betrieb würde also extra Kosten verursachen, die viele Hochschulen scheuen.
Der wesentliche Unterschied zu einer Software wie z.B. dem lokal an der TU betriebenen Wazuh-Server ist natürlich, dass dieser nicht aus dem Internet erreichbar ist. Die Cisco Endpoint Console ist aber weltweit erreichbar. Der Zugang ist zwar über Cisco DUO mit zwei Faktoren abgesichert, aber wir teilen uns als Nutzer der Cisco EU Cloud (die Nutzung der EU-Cloud ist eine Forderung aus der DSGVO) diese mit tausenden anderen Nutzern. Aber bei Cisco DUO hat es schon Sicherheitslücken gegeben.
Die Server der Cisco Endpoint Security liegen in der Amazon EU Cloud, die von Millionen Nutzern verwendet wird. Daraus ergeben sich neben Angriffen von Innen folgende potentielle externe Angriffsvektoren: Cisco-Mitarbeiter/Binnentäter, Amazon-Mitarbeiter/Binnentäter und, sehr viel schlimmer und leider auch viel wahrscheinlicher, alle potentiellen Sicherheitslücken im Cisco-Backend, alle potentiellen Sicherheitslücken in der AWS-Infrastruktur. Wenn dort ein Angreifer durchkommt ist er/sie Root plattformübergreifend auf all unseren Maschinen (und allen Maschinen andere Cisco-Kunden)! Im Kontext von Supply Chain Attacken ist dass leider speziell auch bei aktuellen Webtechnologien ein Fass ohne Boden.
Da ich in meiner vorherigen Tätigkeit an der Universität Duisburg Essen schon einmal von einem als unwahrscheinlich geltenden Angriffsszenario (Angriff direkt auf die Virtualisierungsinfrastruktur) gewarnt (unten im verlinkten Blogartikel) hatte, dass dann doch eingetreten ist, möchte ich hier vor solch einem Angriff auf ein Cloud Security Dashbord warnen, damit ich bei Eintritt wieder Fefes „told you so“ Spruch loswerden kann.
„Security by Design“ verträgt sich nicht mit Weboberflächen in der Cloud, da diese unnötig die „Attac Surface“ erhöhen. Das betrifft selbstverständlich auch andere Hersteller und auch den Betrieb von Open Source Software, wie z.B. Wazuh, in der Cloud. Der Einsatz von Security Appliances in der Cloud verbietet sich aus solchen Erwägungen für jeden verantwortungsbewusst und im Sinne der IT-Sicherheit handelnden IT-Strategen.
„Schuld“ bei einem Sicherheitsvorfall ist natürlich immer der Angreifer, und IT-Verantwortliche können dann mit der Schulter zucken und die Verantwortung auf den betroffenen Cloud-Betreiber abwälzen (die lokale IT kann ja nichts dafür). Das ist aber eine gefährliche Verantwortungsdiffusion, die scheinbar bei vielen IT-Entscheidern um sich greift: „Alle machen jetzt Cloud“. Diese Fehlentwicklung wird möglicherweise noch einigen Unternehmen und Behörden viel Geld oder vielleicht gar die Existenz kosten.