Best Practices – Systemhärtung gegen häufige Schwachstellen

Systemhärtung gegen häufige Schwachstellen

Erklärung der Sicherheitslücke

In manchen Situationen kann ein Angreifer eine bestimmte Sicherheitslücke ausweiten, um den zugrunde liegenden Server oder eine andere Backend-Infrastruktur zu gefährden. Dies gilt für verschiedene Sicherheitslücken, für die Waratek dedizierten Schutz bietet, wie etwa Path Traversal und XML External Entity (XXE)-Injection.

So funktioniert der Schutz von Waratek

Für eine bestimmte Sicherheitslücke ist es unabhängig davon, ob es eine spezielle Waratek-Regel gibt, die auf die Schwachstelle abzielt oder nicht, möglich, die Auswirkungen der Schwachstelle durch die Verwendung der Systemhärtungsregeln von Waratek erheblich zu reduzieren.

Durch die Verwendung der ARMR-Dateisystemregel (File I/O Security Feature) und der ARMR Socket-Regel (Socket Control Security Feature) kann es beispielsweise möglich sein, das System zu härten und der anfälligen Anwendung den Zugriff auf unerwünschte Ressourcen zu verbieten.

Weitere Informationen zu den Dateisystem- und Socket-Regeln finden Sie im Waratek-Benutzerhandbuch.

Schutzmaßnahme

Wenn auf ein Dateisystem oder eine Netzwerkressource zugegriffen wird, die von einer Dateisystem- oder Socket-Regel nicht zugelassen wird, wird der E/A-Vorgang beendet und eine Ausnahme gemäß der API des Vorgangs ausgelöst.

Anwendbarkeit der Regel

Die Dateisystem- und Socket-Regeln können in jeder Java-Anwendung aktiviert werden.

Empfohlene Vorgehensweise

Um die Dateisystem- und Socket-Regeln in einer Umgebung korrekt zu aktivieren, müssen Benutzer zunächst die Dateisystem- und Netzwerkaktivitätsmuster der Anwendung verstehen. Identifizieren Sie die Ressourcen, auf die die Anwendung zugreifen muss, und definieren Sie dann Dateisystem- und Socket-Regeln, um diese Ressourcen entsprechend auf die Whitelist zu setzen.