Verbesserungsbedarf: Sicherheitslücken bei Speichersystemen

Sheila Zabeu -

Dezember 02, 2021

Speichersysteme weisen im Vergleich zu den beiden anderen Schichten der IT-Infrastruktur, den Computer- und Netzwerkressourcen, eine schwache Sicherheitslage auf. Zu diesem Ergebnis kam eine Studie, die Schwachstellen und Fehlkonfigurationen in Speichersystemen verschiedener Hersteller, darunter Dell EMC, IBM, Hitachi Data Systems, Cisco, Brocade und NetApp, untersuchte.

„Von den drei Hauptkategorien der IT-Infrastruktur ist Storage oft die wertvollste, sowohl aus Sicherheits- als auch aus Geschäftssicht“, sagt Gil Hecht. Er ist CEO der Firma Continuity, die für die Studie verantwortlich ist. „Sicherheitsschwachstellen und Fehlkonfigurationen von Speichergeräten stellen eine erhebliche Bedrohung dar – zumal Ransomware-Angriffe die Unternehmen in den letzten Jahren überrollt haben. Dennoch ist die Sicherheitslage der meisten Speichersysteme in Unternehmen unserer Analyse nach extrem schwach“, so der Geschäftsführer weiter.

Die untersuchten Speichersysteme wiesen durchschnittlich 15 Sicherheitsschwachstellen auf. Ungefähr drei davon wurden als hochriskant oder kritisch eingestuft, das heißt sie könnten großen Schaden anrichten, sollten sie ausgenutzt werden. Das sind die fünf häufigsten Arten von Schwachstellen, die gefunden wurden:

1. Verwendung anfälliger Protokolle/ungeeigneter Einstellungen – Diese Protokolle umfassen herkömmliche Netze (IP über Ethernet und WAN) und spezielle Speichernetze. Es ist von entscheidender Bedeutung, diese Protokolle während des Sitzungsaufbaus und auch während des Datenaustauschs zu sichern. In sehr vielen Fällen und in den meisten Umgebungen sind jedoch immer noch ungeeignete Einstellungen anzutreffen.

2. Ungelöste allgemeine Schwachstellen (CVEs) – Es gibt mehrere Komponenten, die mit Speichergeräten und Netzwerken verwendet werden. Dazu gehören Betriebssysteme, Controller-Firmware, APIs und Verwaltungssysteme. Schwachstellen in diesen Komponenten werden häufig entdeckt und in weit verbreiteten CVEs (Common Vulnerability and Exposure) festgehalten. In den meisten Fällen werden Abhilfemaßnahmen in Form eines Updates vorgeschlagen. Jedoch werden die Maßnahmen nicht immer umgesetzt.

3. Probleme mit den Zugriffsrechten, die zu einer übermäßigen Exposition führen – Viele Geräte waren nicht ordnungsgemäß konfiguriert. Das bedeutet, es gab uneingeschränkten Zugriff auf gemeinsam genutzte Speichersysteme, nicht empfohlene Zoneneinteilung und Maskierung. Auch waren häufig Speicherelemente von externen Netzwerken aus zu erreichen.

4. Unsichere Benutzerverwaltung und -authentifizierung – Speichergeräte werden über Benutzer und Rollen verwaltet. In vielen Fällen wird auch der Datenzugriff auf ähnliche Weise kontrolliert. Es gibt grundlegende Empfehlungen für die Verwaltung und Authentifizierung von Benutzern, die aus verschiedenen Gründen für Speichergeräte nicht mit der gleichen Strenge befolgt werden wie für Computer- und Netzwerkressourcen.

5. Unzureichende Protokollierung – Berichte und Audits sind grundlegende Voraussetzungen für jede solide Sicherheitspraxis, auch im Zusammenhang mit Speichersystemen. Alle Konfigurations-, Verwaltungs- und Zugriffsaktivitäten auf kritische Daten müssen ordnungsgemäß aufgezeichnet werden. Dies schließt auch Zeit, Details auf einer angemessenen Ebene, Art der Ereignisse und andere Informationen ein. Die Studie ergab, dass etwa 15 Prozent der Produktionsspeichersysteme nicht über Berichte verfügten. Ein weiterer erheblicher Teil hatte Berichte, die manipuliert werden konnten.

Die Studie unterstreicht, dass es unerlässlich ist, die Sicherheitsstrategien für Speichersysteme zu verstärken. Denn datenbezogene Angriffe werden immer raffinierter und die Vorschriften immer strenger. Außerdem können die geschäftlichen Auswirkungen, die sich aus unwirksamen Maßnahmen in diesem Bereich ergeben, für Unternehmen verheerend sein.

Die Empfehlung lautet, die internen Sicherheitsprozesse zu bewerten, um festzustellen, ob sie die Speicherinfrastruktur ausreichend abdecken. Die Studie führt einige Fragen auf, die helfen können, den Reifegrad der Speicher-Sicherheitsplanung zu klären:

  • Deckt Ihre Sicherheitspolitik speziell die Risiken ab, die mit Speichersystemen, Netzwerken und Backup-Lösungen verbunden sind?
  • Wird die Sicherheit der Speicherinfrastruktur regelmäßig bewertet?
  • Gibt es detaillierte Pläne und Verfahren für die Wiederherstellung im Falle eines Angriffs auf Speicher- oder Sicherungssysteme? Werden diese von Zeit zu Zeit getestet?
  • Und schließlich: Wie zuverlässig ist die Speicherumgebung nach den Enthüllungen in dieser und anderen Studien?