ClickCease Cloud-Dienste FedRAMP-konform halten und saftige Geldstrafen vermeiden - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Halten Sie Cloud-Dienste FedRAMP-konform und vermeiden Sie hohe Geldstrafen

10. November 2020. TuxCare PR Team

Halten Sie Cloud-Dienste FedRAMP-konform und vermeiden Sie hohe GeldstrafenBösewichte haben es heutzutage immer wieder auf Regierungsorganisationen abgesehen. Mit der zunehmenden Verbreitung von Technologien für Angriffe auf Zielpersonen, konzentrieren sich die Angriffe auf Regierungsziele im Jahr 2019 fast verdoppelt von 2017. Vor allem die Aufklärungsaktivitäten und die anwendungsspezifischen Angriffe haben deutlich zugenommen. Dazu beigetragen hat die Zunahme der über das Internet bereitgestellten Dienste, die den Bürgern helfen sollen, regionale oder lokale Hilfe zu erhalten. Leider haben dieselben internetfähigen Anwendungen Angreifern zusätzliche Möglichkeiten geboten und zu großen Datenschutzverletzungen geführt, von denen Bundes- und Landesbehörden in den USA betroffen waren.

 

Inhalte:

  1. Ungepatchte Legacy-Anwendungen im öffentlichen Sektor
  2. Was ist FedRAMP?
  3. FedRAMP ist für Cloud-Anbieter, die Bundesbehörden unterstützen, von entscheidender Bedeutung
  4. Mit KernelCare FedRAMP-konform bleiben
  5. Schlussfolgerung

 

Ungepatchte Legacy-Anwendungen im öffentlichen Sektor

Ungepatchte Legacy-Anwendungen im öffentlichen Sektor

Neben Anwendungsangriffen haben Kommunalverwaltungen erhebliche Auswirkungen von Denial-of-Service- (DoS) und Ransomware-Angriffen erlebt. Diese Angriffe lassen sich nur schwer vor den Kunden verbergen, und kleinere Behörden verfügen selten über die Ressourcen, um größere Ausfälle zu bewältigen.

 

Um Regierungen bei der Bewältigung der zahlreichen staatlich gesponserten Bedrohungen zu unterstützen, die auf sie abzielen, bietet die Cloud Technologien für den Betrieb zuverlässiger und skalierbarer Dienste mit den erforderlichen Zugangskontrollen und Überwachungstools, die für die Einhaltung der Vorschriften erforderlich sind. Diese Tools stehen den Behörden (und anderen Unternehmenskunden) zur Verfügung, werden aber häufig unsachgemäß verwendet oder falsch konfiguriert. Diese Fehler werden als menschliches Versagen eingestuft, doch sind menschliche Fehler für einige der bisher größten Datenschutzverletzungen verantwortlich. 

 

Bei konformen Cloud-Hosting-Diensten wird die Verantwortung geteilt, d. h. der Cloud-Anbieter stellt Ihnen alle für den Schutz Ihrer Daten erforderlichen Tools zur Verfügung, aber es liegt in Ihrer Verantwortung, diese Dienste richtig zu konfigurieren. Wie Sie sich vorstellen können, können Administratoren, die mit der Funktionsweise von Cloud-Tools nicht vertraut sind, leicht einen kritischen Fehler bei der Sicherheitskonfiguration machen. Ein kürzlich erschienener 2020 Bericht zeigte, dass in den letzten zwei Jahren 30 Milliarden Datensätze aufgrund von Cloud-Fehlkonfigurationen offengelegt wurden.

 

Nicht nur Fehlkonfigurationen sind ein Problem für Cloud-Administratoren, sondern auch veraltete Software ist bei Behördensystemen üblich. Behörden haben notorisch alte Anwendungen, die vor Ort laufen. Viele Cloud-Anbieter (z. B. Google Cloud Platform) bieten Migrationsdienste für veraltete Software an, um eine bessere Rechenleistung zu erzielen, aber viele Behörden verwenden immer noch veraltete Technologie vor Ort, die den Steuerzahler Milliarden von Dollar kostet. A Bericht des US Government Accountability Office (GAO) stellte fest, dass einige Behörden Jahrzehnte alte Technologien (z. B. Diskettenlaufwerke) verwenden. Noch besorgniserregender ist, dass das GAO feststellte, dass 12 Regierungsbehörden nicht unterstützte Betriebssysteme verwenden. Veraltete und nicht unterstützte Software erhält keine Sicherheits-Patches mehr, was sie zu einem perfekten Ziel für Cyber-Kriminelle macht.

 

Ein aktuelles Beispiel was mit ungepatchter Software passieren kann, ist die Click2Gov-Zahlungssoftware, die als lokal gehostetes Self-Service-Zahlungsportal von mehreren US-Regierungsbehörden verwendet wird. Die Software wurde 2017 als anfällig eingestuft, und es wurden Patches bereitgestellt. Dennoch gelang es Hackern, mehrere Regierungsbehörden zu kompromittieren, indem sie auf ungepatchte Versionen der Click2Gov-Software abzielten. In der Folge wurden die Einwohner mehrerer US-Bundesstaaten Opfer von Identitätsbetrug, da ihre Daten auf Darknet-Märkten verkauft wurden.

 

 

Was ist FedRAMP?

Was ist FedRAMP?

Das Federal Risk and Management Program (FedRAMP) wurde ins Leben gerufen, um Bedenken auszuräumen, dass Regierungsbehörden Cloud-Ressourcen nutzen, aber durch unzureichende Kontrollen öffentliche Daten für Angreifer ungeschützt bleiben. Zunächst heißt es, dass nur Cloud-Service-Anbieter mit FedRAMP-Zulassung mit Behörden zusammenarbeiten dürfen. Die Zulassung erfordert eine lange Liste von Sicherheitskontrollen und Datenschutzmerkmalen, um persönlich identifizierbare Informationen (PII) zu schützen.

 

Ein Cloud-Anbieter, dessen Rechenzentren nicht FedRAMP-konform sind, kann keine Daten von Bundesbehörden hosten und könnte daher Umsatzeinbußen erleiden. Andere Compliance-Probleme könnten auch andere Kunden wie das Gesundheitswesen (HIPAA) oder den elektronischen Handel (PCI-DSS) beeinträchtigen, aber die FedRAMP-Sicherheitskontrollen überschneiden sich mit vielen anderen Compliance-Standards, die für Cloud-Hosts wichtig sind.

 

 

FedRAMP ist für Cloud-Anbieter, die Bundesbehörden unterstützen, von entscheidender Bedeutung

FedRAMP ist für Cloud-Anbieter, die Bundesbehörden unterstützen, von entscheidender Bedeutung

 

FedRAMP ist ein strenger Prozess und erfordert strenge Cybersicherheitsvorkehrungen, um als zugelassener Anbieter zu bleiben. Anbieter müssen follow NIST SP 800-53einhalten, ein Rahmenwerk für Cybersicherheit, das die Art und Weise definiert, wie Anbieter ihre Infrastruktur aufbauen und warten. Ohne die richtigen Sicherheitskontrollen und Schutzmaßnahmen können Regierungsbehörden den Anbieter nicht nutzen, was für eine Organisation, die mehrere Bundesbehörden unterstützt, verheerend sein kann.

 

Eine allgemeine FedRAMP-Anforderung besagt, dass der Cloud-Anbieter über angemessene Schutzmaßnahmen zum Schutz der Daten verfügen muss. Nicht gepatchte Software - insbesondere Server-Betriebssysteme - bietet keine sichere Umgebung für Kunden. In ungepatchter Software gefundene Schwachstellen könnten ausgenutzt werden, um personenbezogene Daten preiszugeben, was zu hohen Geldstrafen für den Cloud-Anbieter und möglicherweise zu Umsatz- und Kundenverlusten führen könnte.

 

 

Mit KernelCare FedRAMP-konform bleiben

Mit KernelCare FedRAMP-konform bleiben

Um die Vorschriften einzuhalten, muss jede anfällige Software aktualisiert werden, sonst drohen Geldstrafen. Die FedRAMP-Fehlerbehebung (SI-2) verlangt, dass Organisationen "Systemfehler identifizieren, melden und korrigieren". Schutz vor bösartigem Code (SI-3) ist ebenfalls eine Anforderung, die besagt, dass Organisationen "Schutzmechanismen für bösartigen Code an den Eingangs- und Ausgangspunkten von Informationssystemen einsetzen müssen, um bösartigen Code zu erkennen und zu beseitigen." Diese beiden Anforderungen können durch den Einsatz von Schwachstellen-Scannern und Patching-Lösungen erfüllt werden.

 

Durch das Scannen von Servern können Administratoren die FedRAMP-Anforderungen einhalten, aber das Patchen ist oft ein Problem. Das Patchen erfordert Tests und Neustarts, was zu Ausfallzeiten führt. KernelCare lässt sich in jede Scan-Lösung integrieren, patcht Server mit anfälliger Software und erfordert keinen Neustart nach Abschluss des Patchings. Es handelt sich um eine vollständige Patching-Lösung, die die SI-2- und SI-3-FedRAMP-Anforderungen abdeckt. 

 

FedRAMP ist nicht der einzige Standard, den Cloud-Anbieter befolgen müssen. Zum Beispiel, SOC 2-Konformität ist für Rechenzentren, die Kundenanwendungen und -daten hosten, von entscheidender Bedeutung. Sarbanes-Oxley, PCI-DSS, HIPAA und andere Konformitätsstandards verlangen von Unternehmen, dass sie Cybersicherheitsmaßnahmen zum proaktiven Schutz von Daten einführen oder hohe Geldstrafen zahlen. Mit KernelCare bleiben diese Rechenzentren konform mit allen gesetzlichen Standards, die die Datensicherheit überwachen.

 

 
Schlussfolgerung

Cloud-Anbieter können es sich nicht leisten, einen Fehler zu machen und ihre Compliance zu verlieren. Das ist nicht nur ein teures Versehen, sondern bedeutet auch den Verlust von Regierungskunden und anderen Kunden, die Hosting mit einer gesicherten Compliance-Infrastruktur nutzen müssen. Mit KernelCare können Unternehmen, Rechenzentren und Cloud-Anbieter sicherstellen, dass sie Protokolle befolgen, die das Risiko von Bedrohungen reduzieren und ungepatchte Software ohne Neustarts und Ausfallzeiten verwalten.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter