Sieg über Log4Shell: Wie die gehärtete Appliance von Kiteworks ihrem Namen alle Ehre machte

Sieg über Log4Shell: Wie die gehärtete Appliance von Kiteworks ihrem Namen alle Ehre machte

Wenn Sie einen beliebigen Sicherheitsexperten oder CISO fragen, ob er sich daran erinnert, was er am 9. Dezember 2021 getan hat, ist die Wahrscheinlichkeit groß, dass die Antwort “Ja” lautet. Das war der Tag, an dem Unternehmen auf der ganzen Welt dringend alle kritischen Systeme und Infrastrukturen aktualisieren mussten, weil die Log4Shell-Schwachstelle bekannt wurde. Diese kritische Schwachstelle in der beliebten Log4j-Bibliothek ermöglicht es jedem, der über eine Internetverbindung verfügt, beliebige Befehle remote auf den Betriebssystemen der angreifbaren Produkte auszuführen.

Kiteworks benötigte an diesem Tag keinen dringenden Patch, obwohl Kiteworks tatsächlich Log4j verwendet. Aufgrund des mehrschichtigen Sicherheitsansatzes von Kiteworks bei der Entwicklung der gehärteten Appliance wurde der CVSS-Score für die Schwachstelle von 10,0 automatisch auf einen Wert von (höchstens) 4,0 reduziert. Dies gab den Kunden von Kiteworks die Gewissheit, dass ihre kritischen und sensiblen Daten sicher und geschützt waren.

Webinar What Microsoft Gaps Exist (and how to fill them)

Schutz von innen nach außen

Um den englischen Dichter John Donne zu interpretieren: “Kein System ist eine einsame Insel”, und bei Kiteworks ist das nicht anders. Kiteworks ist von Natur aus ein vernetztes System, das es seinen Benutzern ermöglicht, mit Kollegen (sowohl intern als auch extern) auf eine sichere und gesetzeskonforme Weise zusammenzuarbeiten. Das bedeutet, dass Kiteworks mit anderen Systemen verbunden werden muss und anderen Systemen und Benutzern die Möglichkeit geben muss, sich mit Kiteworks zu verbinden. Die Herausforderung besteht darin, dies mit einem Zero-Trust-Ansatz zu tun, der sicherstellt, dass nichts und niemand unbefugt und unbemerkt ein- oder ausgeht.

Zu diesem Zweck haben wir die gehärtete Kiteworks-Appliance entwickelt.

Minimalistisches Betriebssystem

Eine gehärtete Appliance von Kiteworks wird zunächst als reine Installation des Linux-Betriebssystems mit nur dem absoluten Minimum an Bibliotheken und Systemanwendungen eingerichtet, die für den Betrieb erforderlich sind. Das DevOps-Team von Kiteworks installiert dann eine sorgfältig ausgewählte Reihe von Bibliotheken von Drittanbietern, die allesamt für den Betrieb von Kiteworks unbedingt erforderlich und vom Sicherheitsteam zugelassen sind.

Die Liste der verwendeten Bibliotheken wird laufend mit einer Datenbank bekannter Schwachstellen abgeglichen, um sicherzustellen, dass die gehärtete Kiteworks-Appliance immer auf dem neuesten Stand der erforderlichen Sicherheits-Patches und Upgrades ist.

Letztendlich hat eine gehärtete Appliance von Kiteworks keinerlei unnötig aktive Ports oder Dienste.

Zero-Trust (in beide Richtungen)

Um das Konzept des minimalen Zugriffs fortzusetzen, kann nur genau ein Systemkonto auf die internen Bereiche der gehärteten Appliance von Kiteworks zugreifen. Es gibt eine sehr kleine Anzahl weiterer Systemkonten, deren Berechtigungen jedoch im Sinne des “Least Privilege”-Prinzips extrem eingeschränkt sind und denen kein interaktiver Zugriff auf die Appliance gestattet ist.

Um die Integrität der gehärteten Appliance von Kiteworks zu gewährleisten, kann das Support-Konto nur von einem zertifizierten Support-Techniker von Kiteworks verwendet werden. Kein Kunde erhält jemals das Passwort für dieses Konto, auch nicht für eine Appliance, die in seinem Rechenzentrum installiert ist.

Kiteworks stellt jedoch auch sicher, dass diese Verbindung nur mit der ausdrücklichen und aktiven Zustimmung des Kunden hergestellt werden kann. Während des normalen Betriebs kann nur der Administrator des Kunden auf ein Konto zugreifen; Kiteworks kennt das Passwort des Kontos nicht und hat auch keinen Zugriff darauf. Wenn eine Support-Sitzung erforderlich ist, kann ein Systemadministrator spontan ein neues verschlüsseltes Zugangspasswort generieren und es an den Support-Techniker weitergeben. Dieser wiederum kann es entschlüsseln und für die Verbindung verwenden.

Das Ergebnis ist ein vollständig umgesetzter, wechselseitiger Zero-Trust-Ansatz.

Interne Überwachung

Alle gehärteten Kiteworks-Appliances sind mit internen Mechanismen ausgestattet, die das erwartete Verhalten des Betriebs- und des Dateisystems überwachen und strengste Richtlinien durchsetzen. Wenn eine gehärtete Appliance von Kiteworks aus irgendeinem Grund von ihrem ursprünglichen Zustand abweicht (z. B. wenn eine Datei unerwartet geändert oder an einer Stelle erstellt wird, wo sie nicht hingehört, oder wenn ein Service beginnt, einen unüblichen Port zu überwachen), wird automatisch eine Warnung an den Administrator gesendet.

Die gehärtete Appliance führt außerdem detaillierte Logs für alle kritischen Service-Aktivitäten, so dass Systemadministratoren die interne Funktionsweise von Kiteworks in Echtzeit mit ihren eigenen SIEM- (Security Information and Event Management) und anderen SOAR-Tools (Security Orchestration, Automation and Response) überwachen können.

Webinar Discover How to Address the Biggest Gap in Your Zero-trust Security Strategy

Internes Sandboxing

Wie bereits erwähnt, stützt sich der Betrieb von Kiteworks manchmal auf Bibliotheken, die von einem Drittanbieter bereitgestellt werden, sei es Open Source oder kommerziell. Kiteworks nutzt diese Bibliotheken so weit wie möglich innerhalb einer Sandbox auf Betriebssystemebene. Mit anderen Worten: Obwohl die betreffende Bibliothek eines Drittanbieters installiert ist, ist ihr Zugriff auf andere Teile des Betriebssystems oder der Dateisysteme stark eingeschränkt. Dadurch wird sichergestellt, dass selbst wenn eine Schwachstelle in einer dieser Bibliotheken gefunden wird, die potenzielle Bedrohung für die gehärtete Kiteworks-Appliance erheblich reduziert wird.

Durchsetzung von Netzwerkrichtlinien

Um sicherzustellen, dass der ursprüngliche Zustand des Betriebssystems auch auf der Netzwerkseite durchgesetzt wird, verfügen alle gehärteten Appliances von Kiteworks über eine sehr strenge interne Firewall-Konfiguration, die eingehenden Netzwerkverkehr nur über die erforderlichen und vorgesehenen Channels und Ports zulässt.

Zusätzliche Netzwerkschutzmaßnahmen

Alle gehärteten Appliances von Kiteworks sind mit Mechanismen zur Überwachung und Blockierung von gefährdenden Verbindungen und Webanfragen ausgestattet. Zusätzlich zur statischen Firewall-Konfiguration, die Netzwerkverbindungen auf nicht vorgesehenen Ports blockiert, verwenden wir auch eine dynamische Blockierung von Anfragen bösartiger Natur. Darüber hinaus werden Wiederholungstäter automatisch und vollständig blockiert, um den reibungslosen und sicheren Betrieb der Appliance und der Kiteworks-Lösung zu gewährleisten.

Einstieg in Log4j

Log4j ist eine Event-Logging-Bibliothek, die als kostenlose Open-Source-Lösung von der Apache Foundation zur Verfügung gestellt wird. Die Stiftung selbst wird von vielen der größten Marken der Welt unterstützt, darunter Google, Microsoft, Amazon und Apple, um nur einige zu nennen. Aufgrund ihres anerkannten Anbieters, ihrer vielen Stärken und ihrer einfachen Verwendung wurde Log4j schnell zu einer der beliebtesten Bibliotheken der Welt, die von den meisten großen Anbietern in verschiedene Lösungen integriert wurde. Kiteworks ist einer dieser Anbieter.

Im Dezember 2021 wurde entdeckt, dass Log4j eine schwerwiegende Sicherheitslücke aufweist. Nach einer Untersuchung bewertete die National Vulnerability Database (NVD), die vom National Institute of Standards and Technology (NIST) betrieben wird, die Schwachstelle mit dem höchstmöglichen CVSS-Score – 10.0.

Dieses Punktesystem berücksichtigt viele Faktoren, die sich darauf beziehen, wie leicht die Schwachstelle ausgenutzt werden kann und wie groß der potenzielle Schaden ist. Die Log4j-Schwachstelle mit dem Spitznamen Log4Shell ermöglichte es praktisch jeder nicht authentifizierten Person in aller Welt, jedes anfällige System dieser Welt dazu zu bringen, Schadcode auszuführen.

Angesichts der extremen Beliebtheit von Log4j ist es offensichtlich, warum dies über Nacht zu einem weltweiten Problem wurde.

Rettung durch die gehärtete Kiteworks-Appliance

Während sich viele Hersteller weltweit bemühten, Notfall-Patches herauszugeben und ihre Kunden über die dringende Notwendigkeit, diese zu installieren, zu informieren, war dies bei Kiteworks nicht der Fall.

Nach einer gründlichen Untersuchung kam das Sicherheitsteam von Kiteworks zu dem Schluss, dass die Schwachstelle im Zusammenhang mit der gehärteten Appliance höchstens einen CVSS-Score von 4 haben würde. Tatsächlich gibt es bis heute keinen Beweis dafür, dass es eine Möglichkeit gibt, die Sicherheitslücke in Kiteworks auszunutzen. Nachfolgend einige der wichtigsten Erkenntnisse:

  • Nach dem “Least Privilege”-Grundsatz wurde die anfällige Bibliothek in einer sehr restriktiven Konfiguration implementiert und verwendet. Dies bedeutete, dass die gefährdeten APIs deaktiviert waren und daher nicht ausgenutzt werden konnten.
  • Die anfällige Bibliothek wurde innerhalb ihrer eigenen Sandbox ausgeführt, was bedeutet, dass sie keinen externen Code ausführen konnte, schon gar keinen Schadcode. Selbst wenn die Schwachstelle hätte ausgenutzt werden können, wäre die potenzielle Bedrohung daher deutlich geringer gewesen.
  • Die gefährdete Bibliothek wurde streng überwacht, d. h. jede Abweichung von ihrem vorgesehenen Verhalten wäre bemerkt worden und hätte zu einem Alarm geführt. Diesen gab es jedoch nie.

Auch wenn diese Erkenntnisse im Vordergrund standen, wollten wir kein Risiko eingehen. Die nachfolgende Version von Kiteworks enthielt einen Patch und mehrere Mechanismen, um jede Möglichkeit der Ausnutzung zu verhindern, auch wenn das Risiko minimal bis nicht existent war.

Dazu gehörten:

  • Eine aktualisierte, nicht angreifbare Version der betroffenen Bibliothek
  • Die Bibliothekskonfiguration wurde geändert, um die gefährdete Einstellung ausdrücklich zu deaktivieren. Selbst wenn die anfälligen APIs in Zukunft aktiviert werden sollten, bleibt die Sicherheit intakt.
  • Eine spezielle Regel in unseren internen Netzwerkschutzmechanismen, die alle direkten Log4j-Webanfragen blockiert.

Erfahren Sie mehr über die gehärtete Appliance von Kiteworks

Die Kunden von Kiteworks ermöglichen die interne und externe Zusammenarbeit und vertrauen uns ihre sensibelsten und wichtigsten Inhalte an. Um dieser Verantwortung gerecht zu werden, wurde die gehärtete Kiteworks-Appliance sorgfältig mit mehreren Layern aus Sicherheitsmechanismen ausgestattet, so dass sie nicht nur bekannten Angriffen, sondern auch bisher völlig unbekannten Angriffen standhalten kann.

Wenn Sie mehr über die gehärtete Kiteworks-Appliance erfahren möchten, vereinbaren Sie noch heute einen Termin für eine maßgeschneiderte Demo des Kiteworks Private Content Network.

WEITERE INFORMATIONEN

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Get A Demo