Illustration: Absmeier, Collin00b
Führungskräfte im Bereich Security- und Risikomanagement müssen einen ausgewogenen Ansatz verfolgen, um dieses neue Ausmaß gefährlicher Schwachstellen zu bewältigen.
Laut dem IT-Research und Beratungsunternehmen Gartner müssen Security- und Risikomanagement-Verantwortliche pragmatisch und fokussiert auf die anhaltenden Bedrohungen reagieren, die von einem völlig neuen Ausmaß bei den Schwachstellen ausgehen. »Spectre« und »Meltdown« sind die Code-Namen für die verschiedenen Gattungen einer neuen Klasse von Angriffen. Diese zielen auf eine Design-Implementierung in den meisten Computerchips ab, die in den letzten 20 Jahren hergestellt wurden.
»Nicht alle Prozessoren und jede Software sind für diese neuen Gefahren auf die gleiche Weise anfällig. Das Risiko hängt davon ab, ob das System unbekannte und nicht vertrauenswürdige Codes ausführen kann«, betont Neil MacDonald, Vice President bei Gartner. »Das Risiko ist real, aber mit einem klaren und pragmatischen, risikobasierten Plan können Security- und Risikomanagement-Leiter ihren Geschäftsführungen die Gewissheit geben, dass das marginale Risiko für das Unternehmen beherrschbar ist.«
Die folgenden sieben Tipps sollen helfen das Risiko einzuschätzen und in Grenzen zu halten:
- Acknowledge the Risk, but Don’t Panic
- Start With a Detailed Inventory
- Develop a Risk-Prioritised Remediation Plan
- Prioritise Your Remediation Efforts
- Acknowledge That Sometimes the Appropriate, Risk-Based Decision Is Not to Patch
- Implement Strong System Operational Hygiene and Mitigating Controls
- Plan for Further Mitigation Efforts Through the Next Few Years
Gartner Provides Seven Steps Security Leaders Can Take to Deal With Spectre and Meltdown
Security and Risk Management Leaders Need to Take a Balanced Approach to Tackling a New Class of Vulnerabilities
Security and risk management leaders must take a pragmatic and risk-based approach to the ongoing threats posed by an entirely new class of vulnerabilities, according to Gartner, Inc. »Spectre« and »Meltdown« are the code names given to different strains of a new class of attacks that target an underlying exploitable design implementation inside the majority of computer chips manufactured over the last 20 years.
Security researchers revealed three major variants of attacks in January 2018. The first two are referred to as Spectre, the third as Meltdown, and all three variants involve speculative execution of code to read what should have been protected memory and the use of subsequent side-channel-based attacks to infer the memory contents.
»Not all processors and software are vulnerable to the three variants in the same way, and the risk will vary based on the system’s exposure to running unknown and untrusted code,« said Neil MacDonald, vice president, distinguished analyst and Gartner fellow emeritus. »The risk is real, but with a clear and pragmatic risk-based remediation plan, security and risk management leaders can provide business leaders with confidence that the marginal risk to the enterprise is manageable and is being addressed.«
Acknowledge the Risk, but Don’t Panic
Modern operating systems (OSs) and hypervisors depend on structured, layered permission models to deliver security isolation and separation. Because this exploitable design implementation is in hardware — below the OS and the hypervisor — all software layers above are affected and vulnerable. However, memory can only be read, but not altered. Exploitation of the flaw requires untrusted code to be introduced and executed on the target system, which should be extremely difficult on a well-managed server or appliance such as a network or storage appliance. There is also an advantage in not rushing to »panic patch.« Early patches created conflicts with some antivirus offerings and locked up Windows desktops. Some conflicted with the use of AMD microprocessors, so that the systems would not boot. Other early patches had performance impacts that have been improved by subsequent patches.
Start With a Detailed Inventory
Nearly every modern IT system will be affected to some extent. Not since Y2K has a vulnerability affected so many systems — desktops, mobile devices, servers, virtual machines, network and storage appliances, operation technology and the Internet of Things devices — required a deliberate, phased plan of action for remediation efforts. The starting point for security leaders must be an inventory of affected systems. In some cases, the risk-appropriate decision will be not to patch. However, in all cases, the roadmap for security leaders will be the inventory. For each system, a detailed database or spreadsheet is needed to track the device or workload, the version of its microprocessor, firmware version and OS.
Develop a Risk-Prioritised Remediation Plan
The vulnerabilities are not directly remotely exploitable. A successful attack requires the attacker to execute code on the system. As such, application control and whitelisting on all systems greatly reduce the risk of unknown code execution. However, shared infrastructure as a service infrastructure is particularly vulnerable until the cloud providers update their underlying firmware and hypervisor layer (which the leading providers have done). Strong separation of duties and privileged account management reduce the risk of the introduction of untrusted code.
Prioritise Your Remediation Efforts
When devising a remediation strategy, Gartner recommends breaking the strategy into prioritized phases, because the risk, performance implications and potenzial hardware upgrades required will vary greatly among use cases. Start with systems that represent the most risk — desktops, virtual desktop infrastructure, smartphones and externally facing servers.
Acknowledge That Sometimes the Appropriate, Risk-Based Decision Is Not to Patch
Information security leaders need to be prepared for scenarios in which the appropriate decision is not to patch. In some cases, this will be due to lack of patches on older systems. In other cases, the impact on performance is not offset by the reduction in risk, so patches will not be applied. Even for some well-managed servers, the decision may be made to forgo patches to protect performance until future patches have demonstrably acceptable impacts. However, for server workloads, when the performance characteristics allow, Gartner recommends patching and firmware upgrades.
Implement Strong System Operational Hygiene and Mitigating Controls
For systems that are not patched or only partially patched, multiple mitigating controls can reduce risk. The single most important issue to address is restricting the ability to place unknown or untrusted code onto the device. By reducing this, risks are significantly lowered, because attacks require local code execution. For all systems, this means taking a »default deny« approach, and application control and whitelisting greatly reduce the risk. To the extent that public attacks become known, traditional endpoint protection platforms and network-based intrusion prevention systems also mitigate the risk.
Plan for Further Mitigation Efforts Through the Next Few Years
Spectre and Meltdown represent an entirely new class of vulnerabilities, and this is just the beginning. The underlying exploitable implementation will remain for years to come.
»Ultimately, the complete elimination of the exploitable implementation will require new hardware not yet available and not expected for 12 to 24 months. This is why the inventory of systems will serve as a critical roadmap for future mitigation efforts,« said Mr MacDonald. »To lessen the risk of future attacks against vulnerabilities of all types, we have long advocated the use of application control and whitelisting on servers. If you haven’t done so already, now is the time to apply a default deny mindset to server workload protection — whether those workloads are physical, virtual, public cloud or container-based. This should become a standard practice and a priority for all security and risk management leaders in 2018.«
Gartner clients can read more in the report »Security Leaders Need to Do Seven Things to Deal With Spectre/Meltdown.«
Gartner analysts will provide additional analysis on IT security trends at the Gartner Security & Risk Management Summits 2018 taking place in National Harbor, Maryland, Tokyo, Sao Paulo, Sydney and Mumbai. Follow news and updates from the events on Twitter at #GartnerSEC.
Spectre und Meltdown: Experte erläutert Gegenmaßnahmen
- Sicherheitslücke erstmals auf Hardware-Ebene.
- Angriffsmethoden Spectre und Meltdown nutzen dies aus.
- Updates können das Risiko nur eindämmen.
Illustration: Absmeier, Collin00b
»Spectre« und »Meltdown« – zu Deutsch Gespenst und Kernschmelze – sind die neuen Schreckensgespenster, die derzeit die IT-Fachwelt in Atem halten. Das Verhängnisvolle: Beide Angriffsszenarien zielen auf die Prozessoren von Desktop-PCs und Mobilgeräten ab. Eingeschleuste Schadsoftware nutzt dabei die Schwachstellen der Hardware aus, um vertrauliche Daten wie Passwörter auszulesen und an Kriminelle zu übermitteln. Wie betroffene Unternehmen nun am besten vorgehen, erläutert Dr. Jochen Szangolies, IT-Consultant der Bonner Comma Soft AG, im Interview.
Was macht Spectre und Meltdown so gefährlich?
Szangolies: Im Unterschied zu klassischen Sicherheitslücken auf Software-Ebene schlummert die Gefahr bei Spectre und Meltdown in den verbauten Prozessoren und damit in der Hardware. Das heißt: Ein Software-Update bietet keinen hundertprozentigen Schutz – immerhin verbleibt das potenzielle Sicherheitsrisiko in Form der verwendeten Chips weiterhin bestehen.
Wie nutzen Hacker die Lücke genau aus?
Moderne Chips optimieren ihre Rechenleistung mittels der sogenannten »speculative execution«. Dabei bearbeitet der Prozessor Befehle nicht in der Reihenfolge ihres Eingangs, sondern hält zur schnelleren Bearbeitung auch Daten für Programmzweige vor, die womöglich gar nicht ausgeführt werden. Spectre und Meltdown bezeichnen zwei Angriffsmethoden, mit der Kriminelle die sensiblen Daten direkt aus dem vermeintlich geschützten Bereich des Prozessors auslesen können. Die einzig gute Nachricht: Zuvor müssen Hacker auf dem betroffenen System entsprechende Schadsoftware eingeschleust haben.
Welche Unternehmen und Geräte sind betroffen?
Mit einem Wort: alle. Am härtesten trifft es Intel-Prozessoren. Beinahe alle seit 1995 produzierten CPUs sind sowohl für Meltdown als auch für Spectre anfällig. Prozessoren von ARM, die hauptsächlich in modernen Smartphones verbaut werden, sind von beiden bekannten Spectre-Varianten und vereinzelt auch von Meltdown betroffen.
Insgesamt bietet sich ein Gefahrenpotenzial von bisher unbekanntem Ausmaß. Neben Desktop-PCs, Servern und Laptops betrifft die neue Sicherheitslücke auch mobile Endgeräte wie Tablets oder Smartphones, unabhängig vom jeweils laufenden Betriebssystem. Besonders brisant: Selbst für Router, Switches, Hardware-Firewalls, NAS/SAN-Systeme und Internet of Things-Geräte besteht ein potenzielles Risiko.
Spectre bedroht zudem Cloud-Dienstleister. Es ist nicht auszuschließen, dass ein User mit infiziertem System auf eine Cloud zugreift und dort für einen Ausbruch sorgt, wodurch auch die Systeme anderer User gefährdet werden. Somit müssen Cloud-Anbieter und -User entsprechende Sicherheitsmaßnahmen einleiten.
Wie gehen Unternehmen nun am besten vor?
Trotz des hohen Gefahrenpotenzials gibt es noch keinen Grund, in Panik zu verfallen. Da die Lücke schon Mitte des vergangenen Jahres erkannt und den wichtigsten Herstellern mitgeteilt wurde, sind vielfach bereits Updates vorhanden. So existieren heute Patches für Windows, macOS, Linux, Android und iOS. Diese Updates verhindern, dass Schadsoftware die vorhandene Prozessorlücke nutzen kann. Allerdings haben einige Hersteller ihre Patches inzwischen zurückgerufen, so dass wir zur Ruhe raten, bis sich der Markt stabilisiert hat. Zudem lässt sich das eigentliche Problem nicht abschließend beheben, da es auf Hardware-Ebene liegt. Ein Restrisiko bleibt bestehen.
In kleineren Unternehmen dürfte es leichter gelingen, zeitnah alle Systeme und potenziell betroffenen Geräte zu updaten. Größere Konzerne könnten hingegen auf eine logistische Herausforderung stoßen. Was raten Sie in einem solchen Fall?
Wir empfehlen unseren Kunden, sich an einem konkreten Vorgehensplan zu orientieren. Updates durchzuführen, ist das eine. Die gefährdeten Systeme anhand bestimmter Faktoren zu priorisieren und das Schadenspotenzial zu kennen, ist das andere. So raten wir zum Beispiel zunächst dazu, alle betroffenen Systeme wie etwa Server, Clients, mobile Geräte, aktive Netzwerk-Komponenten und weiteres Equipment zu identifizieren. Daran schließen sich weitere Maßnahmen an wie beispielswiese die Kategorisierung der Systeme nach Kritikalitätsstufen, bevor eine Business-Impact-Analyse das Verhältnis von Risiko und Schadenspotenzial sowie den Aufwand der Risikominderung auslotet. Dies sind in Kürze die wichtigsten Schritte, damit betroffene Unternehmen effektive Maßnahmen erarbeiten und diese umsetzen können.
Über Dr. Jochen Szangolies:
Dr. Jochen Szangolies ist IT-Consultant bei der Comma Soft AG, einem Bonner IT-Unternehmen mit Fokus auf Data Business-, IT-Consulting und Softwareentwicklung. Szangolies berät unter anderem zur Informationssicherheit von Unternehmen. https://www.comma-soft.com/
Schwachstellen »Meltdown« und »Spectre« und die Handlungsempfehlungen für Industrie 4.0
Meltdown und Spectre: Die wichtigsten Fragen und Antworten zu den zwei Schwachstellen in Prozessoren
Sieben häufige Gründe, warum Unternehmen unter Sicherheitslücken leiden
CPU-Sicherheitslücke betrifft alle Geräte, unabhängig vom Betriebssystem