Hinweis auf Wartungsarbeiten: Unterbrechungen des Dienstes sind zu erwarten am 7. Juli 2024 von 9:00 AM zu 14:00 UHR EST.

GoAnywhere, Aspera und das Problem der selbst gehosteten Dateiübertragung

von | Zuletzt aktualisiert am 6. Juni 2023

Ein Trio von weitreichenden Datenschutzverletzungen bei den großen Dateiübertragungsplattformen GoAnywhere, IBM Aspera und MOVEit haben das erhebliche Risiko der Kopplung Ihrer eigenen Server mit großen Dateiübertragungsdiensten aufgezeigt.

Im Folgenden gehen wir auf die Art dieser Vorfälle ein, erläutern, wer davon betroffen war und wie die Kopplung Ihrer eigenen Server mit großen Dateiübertragungsdiensten leicht zu einer erhöhten Anfälligkeit für Datenschutzverletzungen führen kann - und möglicherweise zu viel Schlimmerem.

Inhaltsübersicht

Sichere Cloud-Dateiübertragung

MASV ist ein ISO 27001, SOC 2 und TPN-konformer (Gold Shield Status) sicherer Dateiübertragungsdienst.

Was sind diese Datenverstöße? Und wie hängen sie mit der selbst gehosteten Dateiübertragung zusammen?

Kritische Schwachstellen wurden in folgenden beiden Bereichen entdeckt IBM Aspera, GoAnywhereund die MOVEit-Software in diesem Jahr.

Die Aspera-Sicherheitslücke

Die IBM Aspera SchwachstelleDie als CVE-2022-47986 verfolgte Sicherheitslücke ermöglicht es nicht authentifizierten Benutzern, aus der Ferne bösartigen Code auf Servern mit IBM Aspera auszuführen. Die Sicherheitslücke erhielt eine Schweregrad von 9,8 von 10 - oder "die schlimmste Sicherheitslücke, die man bekommen kann", so die Der neue Stapel.

Sicherheitsforscher von Sentinel Eins CVE-2022-47986 wurde von IceFire, einer kriminellen Hackergruppe, zur Installation von Ransomware oder anderer Malware auf den Servern verschiedener Unternehmen verwendet.

IBM hat Ende Januar vor dieser Schwachstelle gewarnt und gleichzeitig einen Patch für die Schwachstelle veröffentlicht.

Die GoAnywhere-Schwachstelle

GoAnywhere, das zu Fortra (früher HelpSystems) gehört, hatte kürzlich ein ähnliches Problem.

Eine Sicherheitslücke in der Plattform von GoAnywhere, die unter CVE-2023-0669 erfasst ist, wurde von der Cl0p Ransomware-Bande um in die Server der GoAnywhere-Nutzer einzudringen und Ransomware zu installieren. Die Gruppe drohte mit der Veröffentlichung sensibler Daten, die sie gesammelt hatte, falls das Lösegeld nicht gezahlt würde.

Medienberichten zufolge sind etwa Über 130 Organisationen betroffen waren, darunter Hitachi Energy, Saks Fifth Avenue, die Stadt Toronto und Galderma, obwohl einige Organisationen könnten betroffen sein und sind sich dessen noch nicht bewusst.

Anders als bei IBM Aspera wurden die Details des GoAnywhere-Verstoßes jedoch erst bekannt, als Sicherheitsforscher Brian Krebs berichtete erstmals am 2. Februar über das Problem, nachdem ihm eine Warnung hinter einer GoAnywhere-Anmeldeseite aufgefallen war.

Während Fortra zunächst eine Behelfsmäßige Entschärfung (dazu gehört das Auffinden und Entfernen einer bestimmten Servlet-Mapping-Konfiguration im Code) und empfahl Administratoren, ihre Installationen zu überprüfen, veröffentlichte das Unternehmen fünf Tage später einen Patch.

Die MOVEit-Schwachstelle

Der jüngste der drei Vorfälle, ein Sicherheitslücke im verwalteten Dateiübertragungsdienst MOVEit (CVE-2023-34362) nutzt eine Schwachstelle aus, die böswilligen Akteuren erweiterte Rechte und unbefugten Zugriff auf die Benutzerumgebung verschaffen kann. Die Schwachstelle betrifft sowohl lokale als auch cloudbasierte Systeme, und es wurden bereits Anzeichen für eine Ausnutzung und Datenexfiltration beobachtet.

Progress Software, die Muttergesellschaft von Ipswitch (dem Entwickler von MOVEit), forderte die Benutzer auf, den Internetverkehr zur MOVEit-Umgebung sofort abzuschalten, nachdem das Problem entdeckt worden war.

Patches haben bereits veröffentlicht worden von Progress. Diese sollten von allen MOVEit-Benutzern sofort angewandt werden, zusammen mit einer proaktiven Überwachung Ihres Systems auf Anzeichen für unbefugten Zugriff - insbesondere in den letzten 90 Tagen.

Sofortiges Software-Update erforderlich

Während IBM, Fortra, und Fortschritt Patches veröffentlicht für diese Bugs in relativ kurzer Zeit, alle drei Verstöße waren Zero-Day-Schwachstellen die sich über Monate hinziehen konnten, bevor sie entdeckt wurden.

"Sie müssen also Ihre Software sofort auf den neuesten Patch-Stand bringen, um Ihre Systeme zu schützen", erklärt der bereits erwähnte Artikel von The New Stack. "Das war's, Kinder."

Einfach, oder? Aber Unternehmen brauchen oft Wochen (oder sogar Monate), um manuelle Patches auf ihre Software aufzuspielen, wenn sie dies überhaupt tun. In der Zwischenzeit sind ihre Daten in Situationen wie dieser zutiefst gefährdet.

Verbesserte Sicherheitskontrollen

Alle MASV-Übertragungen werden während des Flugs und im Ruhezustand verschlüsselt, und Sie können benutzerdefinierte Kennwörter, Download-Limits und Verfallsdaten für Dateien festlegen.

Warum selbst gehostete Dateiübertragung Ihre Vertrauensprobleme nicht lösen wird

Einige Organisationen, die die Übertragung großer Dateien Dienste ziehen es vor, ihre Übertragungsdaten auf ihren eigenen Servern unterzubringen. Dies hat in der Regel einen der folgenden Gründe:

  • Viele etablierte Medien- und Unterhaltungsunternehmen haben bereits in lokale Datenserver investiert. Sie sehen keinen brauchbaren Business Case für den Einstieg in die Cloud, ohne dass die Kosten versunken sind.
  • Sie haben strenge Anforderungen an die Datenhoheit oder andere Vorschriften
  • Sie trauen ihrem Dateitransferdienst nicht zu, dass er verantwortungsvoll mit ihren Daten umgeht (was in Anbetracht der Anzahl der Datenschutzverletzungen da draußen)

Letzteres ist eine weit verbreitete Meinung unter Unternehmen, die ihre Daten lieber in ihrer eigenen Infrastruktur aufbewahren möchten. Leider ist dies jedoch nicht der Fall, das Selbst-Hosten Ihrer Daten bietet nur eine Illusion von Sicherheit.

Das liegt daran, dass Sie verschiedene Softwareanwendungen - wie GoAnywhere oder Aspera - in Ihr System einbinden können, Sie laden automatisch den Code anderer Leute in Ihre Infrastruktur ein.Dadurch werden die Vertrauens- und Sicherheitsvorteile des Selbst-Hostings im Grunde genommen hinfällig. Und eine Plattform wie GoAnywhere speichert nicht nur Mediendateien auf Ihrem Server: Sie speichert auch wichtige Daten wie Authentifizierungsinformationen und Benutzerdaten.

Kein Problem, werden Sie sagen...

...Für die Sicherheit sind Sie und Ihr Anbieter gemeinsam verantwortlich. Sie können einfach Ihre eigene Sicherheit erhöhen.

Das Hinzufügen weiterer Sicherheitsmaßnahmen auf der Serverseite, wie z. B. ein virtuelles privates Netzwerk (VPN), führt jedoch in der Regel zu einer drastischen Verlangsamung der Dateiübertragungsgeschwindigkeiten.

Das bedeutet, dass die meisten Benutzer von selbst gehosteten Dateiübertragungslösungen überhaupt keine zusätzlichen Schutzmaßnahmen ergreifen. Sie sind völlig ungeschützt und anfällig für Sicherheitslücken, falls (und wenn) diese auftauchen, ähnlich wie ein Angriff auf die Lieferkette durch kompromittierte Software von Zulieferern.

Wenn das alles schlimm klingt, wird es noch schlimmer

Jeder Verstoß gegen eine selbst gehostete Dateiübertragungseinrichtung wird unweigerlich viel teurer, stressiger und störender sein, als es sonst der Fall gewesen wäre.

Unternehmen, die einen selbst gehosteten Dateitransfer nutzen und feststellen, dass ein Sicherheitsverstoß vorliegt, haben mehrere Möglichkeiten, darauf zu reagieren.

  1. Sie können zum Beispiel einfach ihr System abschalten, um dem IT-Team Zeit zu geben, die Software zu patchen und gleichzeitig den Schaden zu begrenzen. Bei Hunderten von Nutzern, Partnern und Mitarbeitern ist das jedoch eine enorme Störung.
  2. Sie können auch versuchen, die Sicherheitslücke auf einem aktiven System zu schließen, aber das bringt eine ganze Reihe anderer Probleme mit sich. Bevor Sie die Aktualisierung durchführen können, müssen Sie jedoch eine ganze Reihe weiterer Aufgaben erledigen, darunter die Überprüfung, das Testen und die Zertifizierung der gepatchten Software. Diese Aktualisierungen sind in der Regel teuer und nehmen Zeit in Anspruch, die kleine IT-Abteilungen einfach nicht haben.

Keine dieser Optionen ist besonders appetitlich. Und die gute Nachricht? Sie können in der Regel ganz vermieden werden, wenn Sie einen großen Dateitransferdienst nutzen, der Ihre Daten für Sie speichert.

Premium-Cloud-Sicherheit

MASV läuft auf einer hochwertigen und sicheren AWS-Cloud-Infrastruktur.

Die Vorteile der Cloud-gehosteten Übertragung großer Dateien

Kein Unternehmen und keine Person ist vor Schwachstellen, Cyberangriffen oder Datenschutzverletzungen gefeit. Diese potenziellen Probleme können auf jede Software zutreffen.

Der Unterschied besteht darin, dass die Behebung einer Schwachstelle in einem in der Cloud gehosteten Dienst zur Übertragung großer Dateien in der Regel viel weniger schmerzhaft ist und nicht bedeutet, dass alles abgeschaltet werden mussoder davon abhängig, dass die Benutzer das Problem zuerst bemerken und dann ihre Versionen manuell patchen.

Stattdessen werden in der Cloud gehostete Dienste zur Übertragung großer Dateien, die ihre eigene Infrastruktur verwalten - wie z. B. MASV - kann jede Schwachstelle innerhalb von Minuten für alle Nutzer mit minimalen bis gar keinen Unterbrechungen beheben. Alle Kunden erhalten automatisch das neueste Update, ohne dass sie selbst etwas dafür tun müssen.

MASV und AWS: Eine sicherere Lösung für die Dateiübertragung

ein Laptop wird diskret für den sicheren Dateiaustausch verwendet

Während MASV eine einfache Integrationen zu den meisten großen Cloud-SpeicherplattformenUnser primärer Cloud-Service-Anbieter ist AWS.

Wir wollen ganz offen sein: Wenn es bei AWS zu einem ähnlichen Verstoß käme, wären MASV-Kunden davon betroffen.

Ein wesentlicher Unterschied besteht jedoch darin, dass es sehr viel schwieriger ist, in AWS einzudringen als in einen beliebigen lokalen Server. AWS hostet eine Vielzahl von sensible DatenDas Unternehmen ist unter anderem für das US-Verteidigungsministerium tätig und tätigt regelmäßig umfangreiche Sicherheitsinvestitionen zum Schutz seiner Kunden.

Außerdem sind wir höchstwahrscheinlich besser in der Lage, Ihre großen Dateiübertragungsdaten zu schützen als ein internes IT-Team, das wahrscheinlich eine Million wichtigere Dinge zu tun hat - und möglicherweise ohnehin keine Experten für bewährte Cloud-Sicherheitsverfahren sind.

Bei MASV sind wir Experten für Cloud-SicherheitWir haben unsere Software mit einer ausgefeilten Sicherheitsmethodik entwickelt, die im Mittelpunkt steht:

1. Konformität & Zertifizierungen

Sicherheitsprüfungen durch Dritte und Zertifizierungen durch führende Organisationen helfen uns, unsere Sicherheitslage zu bestätigen.

  • MASV ist nach ISO 27001 zertifiziert, einer internationalen Norm für Informationssicherheit, die die besten Praktiken und Grundsätze der Informationssicherheit berücksichtigt.
  • Wir haben auch die SOC 2 Typ II-Konformität gemäß dem American Institute of Certified Public Accountants (AICPA) erreicht. SOC 2 gewährleistet, dass Drittanbieter Kundendaten auf sichere Weise speichern und verarbeiten.
  • MASV ist außerdem Mitglied der Anbieterliste des Trusted Partner Network (TPN), nachdem wir uns einer strengen Sicherheitsbewertung durch einen Dritten unterzogen haben, um die Einhaltung der TPN-Standards zu gewährleisten. Vor kurzem sind wir vom Blue Shield-Status zum Gold Shield-Status aufgestiegen. TPN ist eine globale Initiative zum Schutz von Film- und Fernsehinhalten, die von der Motion Picture Association (MPA) geleitet wird.

Darüber hinaus erfüllen wir die Anforderungen der EU-Datenschutzgrundverordnung (GDPR) und des kanadischen Gesetzes zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA).

2. Sicherheit der Software-Lieferkette

MASV gewährleistet stets einen angemessenen Schutz des Codes durch ein striktes Änderungsmanagement, unabhängig davon, ob wir unseren eigenen Code oder Open-Source-Code von Dritten verwenden. Kein MASV-Entwickler hat die Befugnis, Codeänderungen einseitig zu implementieren, und jede Codeänderung muss einen gut dokumentierten Genehmigungsprozess durchlaufen, an dem hochrangige Entwickler beteiligt sind. Außerdem werden alle Codeänderungen automatisch auf Schwachstellen und Regressionen überprüft.

3. Schutzmaßnahmen für Mitarbeiter

MASV wendet eine Reihe strenger Sicherheitsvorkehrungen für seine Mitarbeiter an, darunter obligatorische und regelmäßige Schulungen zum Sicherheitsbewusstsein, Zugangskontrollen mit geringstem Privileg und Endpunktüberwachung.

4. Schutz der Kundendaten

MASV bietet sowohl interne als auch externe Sicherheitsvorkehrungen zum Schutz der Kundendaten. Intern setzen wir mehrere Sicherheitsvorkehrungen ein, um den Zugriff ohne ordnungsgemäße Berechtigung zu verhindern, wie z. B. den am wenigsten privilegierten Zugriff sowie regelmäßige Zugriffsüberprüfungen und Audits. Alle erhöhten internen Zugriffsanfragen erzeugen automatische Warnungen, die eine obligatorische Rechtfertigung erfordern.

Unsere globale Cloud-Infrastruktur basiert auf AWS und umfasst integrierte Erzwingungsmechanismen, die die Bereitstellung von öffentlich zugänglichen Ressourcen verhindern, wie z. B. undichte S3-Buckets. Und für den Fall der Fälle sorgt unsere externe Überwachung dafür, dass diese Erzwingungsmaßnahmen niemals deaktiviert werden.

Auf Produktebene bieten wir mehrere Sicherheitskontrollen an, die es unseren Kunden ermöglichen, ihre Daten noch besser vor unbefugtem Zugriff zu schützen, z. B. automatischer Ablauf von Dateiübertragungen, Zugriffsbeschränkungen und Benutzerzugriffskontrollen wie Passwortschutz und Einmalige Anmeldung (SSO). MASV unterstützt SSO mit SAML-basierter Authentifizierung, die Ihre Sicherheitslage stärkt, indem sie die Anzahl der erforderlichen Anmeldeversuche reduziert. Schließlich ist jeder Anmeldeversuch bei einer Anwendung eine potenzielle Gelegenheit für Hacker, sich Zugang zu verschaffen.

MASV unterstützt auch Multi-Faktor-Autorisierung (MFA) mit Authentifizierungs-Apps wie Authy und Google Authenticator. Wir werden unsere MFA-Optionen bald erweitern, um auch Anmeldungen mit Hardware-Sicherheitsschlüsseln zu ermöglichen.

MFA schützt vor Kontoübernahmeangriffen, indem die Identität eines Benutzers überprüft wird, der versucht, sich bei Ihrem Konto anzumelden. Dies geschieht durch die Abfrage zusätzlicher Anmeldedaten neben Login und Passwort.

Selbstgehostete Dateiübertragung: Die Realität

Die kalte, harte Realität der Die selbst gehostete Dateiübertragung ist nicht so sicher, wie es vielleicht scheint..

Das liegt daran, dass Selbst gehostete Server sind nur so sicher wie die auf ihnen laufenden Anwendungen.. Und wenn Sie Softwareanwendungen wie Dateitransfer-Apps in Ihr System einbinden, laden Sie automatisch den Code (und das Risiko) von Drittanbietern in Ihre Infrastruktur ein.

Sollte eine größere Sicherheitslücke auftauchen, sind Sie auf sich allein gestellt, wenn Sie das Problem zuerst bemerken, einen Patch finden und dann Ihre Version manuell patchen und aktualisieren müssen (wobei Sie das System in der Zwischenzeit in der Regel herunterfahren müssen).

Cloud-gehostete Dateiübertragungslösungen wie MASVhingegen haben diese Probleme nicht. Zwar ist niemand völlig immun gegen Cybersicherheitsprobleme, aber Cloud-Dienste verwalten ihre eigene Infrastruktur und können Schwachstellen für alle Nutzer innerhalb weniger Minuten und fast ohne Unterbrechung beheben.

Registrieren Sie sich für MASV und testen Sie unsere sichere und konforme Übertragung großer Dateien.

MASV-Dateiübertragung

Holen Sie sich 20 GB zur kostenlosen Nutzung mit dem schnellsten und sichersten Dienst zur Übertragung großer Dateien, den es derzeit gibt: MASV.