Letzte Woche haben wir unseren neuesten vierteljährlichen Bericht über Angriffstrends veröffentlicht. Was wäre ein guter Bericht ohne einen begleitenden Blogbeitrag? Wir werden uns in diesem Beitrag einige Zeit nehmen, um diesen rohen und aufschlussreichen Blick auf die sich ständig verändernde Cybersicherheitslandschaft des Internets zu untersuchen, die als bekannt ist „Edgio’s Quarterly Attack Trends Report“. Der Bericht enthüllt eine Vielzahl von Datenpunkten, von Anforderungsmethoden und MIME-Typen bis hin zu Geolokationstrends und allem, was dazwischen liegt. Alle bieten ein anschauliches Bild der neu entstehenden Bedrohungen, die auf moderne Websites und Anwendungen abzielen.
Zwei wichtige Datenpunkte, die meine Aufmerksamkeit erregt haben: Anforderungsmethoden und AnforderungsMIME-Typen. Auf den ersten Blick ist es nicht überraschend, zu entdecken, dass über 98 % der Anfragen „GET and POST“ sind. Willkommen im Internet, oder? „Unauffällig“, könnte man sagen, aber diese scheinbar Fußgängerfunktionen liefern wertvolles Wissen über eine Anwendung, wie sie verwendet oder angegriffen wird und wo sie anfällig sein könnte. Es sollte auch die Frage aufwerfen, welche Arten von Anforderungsmethoden benötigt Ihre Anwendung, um zu funktionieren? Sollten Sie zulassen, dass andere Ihre Anwendung überhaupt erreichen, oder sollten Sie die Möglichkeit der Offenlegung verringern, indem Sie solche Aktionen weit vor dem Erreichen Ihres Ursprungsservers blockieren?
Bei der Umstellung auf MIME-Typen waren überwältigende 76 % der Blöcke an Anwendungs-/JSON-MIME-Typen gebunden. Diese Erkenntnis ist nicht nur eine Statistik, sondern auch eine Erzählung über den Wandel in der modernen Anwendungsarchitektur und die Entwicklung von Bedrohungen, die auf diese Architekturen abzielen. Sie zeigt deutlich, dass Ihre APIs stark von Bedrohungsakteuren angegriffen werden, und unterstreicht die Notwendigkeit, APIs zu schützen – sowohl bekannte als auch „Schatten“- oder „Zombie“-APIs, die Ihr Sicherheitsteam möglicherweise noch nicht entdeckt hat.
Wir haben die Schutzmaßnahmen in diesem Bericht in drei Hauptstrategien unterteilt: Zugriffskontrollregeln, verwaltete Regelsätze und benutzerdefinierte Signaturen. Von den drei Blöcken waren 45 % Zugriffskontrollregeln. Die Grundlagen einer effektiven Verteidigung beginnen wirklich mit grundlegenden, aber äußerst effektiven Taktiken wie dem verhindern des Zugriffs auf bekannte schlechte Quellen (IP-Adressen auf der schwarzen Liste, Benutzeragenten und Länder). Blockieren Sie diese, bevor sie in die Nähe Ihrer Anwendungen, Infrastruktur und Daten gelangen, um unmittelbare Vorteile zu erzielen – nicht nur aus Sicherheitssicht, sondern auch aus Kostengründen. Durch die Abwehr fehlerhafter Anforderungen an der Peripherie mit einer Web Application Firewall (WAF) werden sowohl Bandbreite als auch Rechenzyklen gespart.
Der Bericht erinnert auch daran, dass Angreifer ständig nach Wegen suchen, diese Abwehrmaßnahmen zu umgehen. Auch wenn die Zugangskontrollregeln eng sein mögen, können wir uns nicht allein auf sie verlassen. Nehmen wir zum Beispiel Geofencing-Taktiken. Zu den fünf wichtigsten Ländern, aus denen böswillige Anfragen stammten, gehörten die USA, Frankreich, Deutschland, Russland und Tschetschenien, wobei China nicht anwesend war. Wir sollten erwarten, dass China wie andere große internetverbundene Länder ganz oben auf dieser Liste steht. Diese Erkenntnis stellt jedoch die übermäßige Abhängigkeit von Geofencing in Frage und unterstreicht die Notwendigkeit eines mehrschichtigeren Ansatzes für Compliance- und Sicherheitsmaßnahmen. Wir wissen, dass Angreifer häufig Server, VPCs und IoT-Geräte in derselben Region wie ihre ultimativen Ziele gefährden. Verstehen Sie Ihre Geschäftsanforderungen und gesetzlichen Anforderungen (z. B. den Verkauf in Länder mit Embargo), wenn Sie die Geofencing-Taktik anwenden. Es ist nicht so, dass diese Taktik weggeworfen werden sollte, sondern eher nicht übermäßig darauf angewiesen ist.
Eine sehr spezifische und bemerkenswerte Bedrohung, die sich im 4. Quartal immer weiter erhöhte, waren Path-/Directory-Traversal-Angriffe. Stellen Sie sich Ihre Bewerbung als Festung vor. Stellen Sie sich nun Pfaderangriffe als raffinierte Angreifer vor, die das kleinste Übersehen in der Architektur Ihrer Festung ausnutzen, um über überberechtigte Ordner auf Ihrem Webserver tief in Ihre Domäne einzudringen. Bei diesen Angriffen geht es nicht nur darum, an die Tür zu klopfen, sondern um eine versteckte Passage zu finden, die direkt ins Herz deines Reiches führt. Die Folgen? Unbefugter Zugriff, Verlust persönlich identifizierbarer Informationen (PII) und potenziell Übergabe der Schlüssel an Ihr Königreich durch Remotecodeausführung. Die Bedeutung kann hier nicht übertrieben werden, da diese Eindringlinge die Säulen der Vertraulichkeit, Integrität und Verfügbarkeit von Daten bedrohen, auf denen unsere digitale Welt steht.
Kurz gesagt, der vierteljährliche Bericht über Angriffstrends ist nicht nur eine Sammlung von Daten, sondern eine Erzählung, die den anhaltenden Kampf in der digitalen Welt verdeutlicht. Sie erinnert daran, dass das Verständnis und die Anpassung an die Komplexität der Anwendungsarchitektur nicht nur für das Überleben, sondern auch für den Erfolg in dieser Landschaft entscheidend ist. Durch die Anwendung einer Strategie, die mehrschichtige Abwehr, die Nutzung von Bedrohungsinformationen und die Anpassung von Lösungen an die individuellen Anforderungen Ihrer Anwendung umfasst, können Sie eine Festung errichten, die widerstandsfähig gegen die sich ständig entwickelnden Bedrohungen der Cyberwelt ist. Bei effektiver Sicherheit geht es nicht nur darum, Tools zu implementieren, sondern auch darum, die Funktionsweise Ihres Unternehmens zu verstehen und dieses Wissen für Ihre Sicherheitskontrollen zu nutzen.
Noch eine Sache: Dieser Bericht ist nur die Spitze des Eisbergs. Das Edgio-Team arbeitet unermüdlich daran, zukünftige Berichte um weitere Datenpunkte zu erweitern. Halten Sie Ausschau nach unserem Bericht für das 1. Quartal 2024. Ich bin zuversichtlich, dass du nicht im Stich gelassen wirst.
Zwei wichtige Datenpunkte, die meine Aufmerksamkeit erregt haben: Anforderungsmethoden und AnforderungsMIME-Typen. Auf den ersten Blick ist es nicht überraschend, zu entdecken, dass über 98 % der Anfragen „GET and POST“ sind. Willkommen im Internet, oder? „Unauffällig“, könnte man sagen, aber diese scheinbar Fußgängerfunktionen liefern wertvolles Wissen über eine Anwendung, wie sie verwendet oder angegriffen wird und wo sie anfällig sein könnte. Es sollte auch die Frage aufwerfen, welche Arten von Anforderungsmethoden benötigt Ihre Anwendung, um zu funktionieren? Sollten Sie zulassen, dass andere Ihre Anwendung überhaupt erreichen, oder sollten Sie die Möglichkeit der Offenlegung verringern, indem Sie solche Aktionen weit vor dem Erreichen Ihres Ursprungsservers blockieren?
Bei der Umstellung auf MIME-Typen waren überwältigende 76 % der Blöcke an Anwendungs-/JSON-MIME-Typen gebunden. Diese Erkenntnis ist nicht nur eine Statistik, sondern auch eine Erzählung über den Wandel in der modernen Anwendungsarchitektur und die Entwicklung von Bedrohungen, die auf diese Architekturen abzielen. Sie zeigt deutlich, dass Ihre APIs stark von Bedrohungsakteuren angegriffen werden, und unterstreicht die Notwendigkeit, APIs zu schützen – sowohl bekannte als auch „Schatten“- oder „Zombie“-APIs, die Ihr Sicherheitsteam möglicherweise noch nicht entdeckt hat.
Wir haben die Schutzmaßnahmen in diesem Bericht in drei Hauptstrategien unterteilt: Zugriffskontrollregeln, verwaltete Regelsätze und benutzerdefinierte Signaturen. Von den drei Blöcken waren 45 % Zugriffskontrollregeln. Die Grundlagen einer effektiven Verteidigung beginnen wirklich mit grundlegenden, aber äußerst effektiven Taktiken wie dem verhindern des Zugriffs auf bekannte schlechte Quellen (IP-Adressen auf der schwarzen Liste, Benutzeragenten und Länder). Blockieren Sie diese, bevor sie in die Nähe Ihrer Anwendungen, Infrastruktur und Daten gelangen, um unmittelbare Vorteile zu erzielen – nicht nur aus Sicherheitssicht, sondern auch aus Kostengründen. Durch die Abwehr fehlerhafter Anforderungen an der Peripherie mit einer Web Application Firewall (WAF) werden sowohl Bandbreite als auch Rechenzyklen gespart.
Der Bericht erinnert auch daran, dass Angreifer ständig nach Wegen suchen, diese Abwehrmaßnahmen zu umgehen. Auch wenn die Zugangskontrollregeln eng sein mögen, können wir uns nicht allein auf sie verlassen. Nehmen wir zum Beispiel Geofencing-Taktiken. Zu den fünf wichtigsten Ländern, aus denen böswillige Anfragen stammten, gehörten die USA, Frankreich, Deutschland, Russland und Tschetschenien, wobei China nicht anwesend war. Wir sollten erwarten, dass China wie andere große internetverbundene Länder ganz oben auf dieser Liste steht. Diese Erkenntnis stellt jedoch die übermäßige Abhängigkeit von Geofencing in Frage und unterstreicht die Notwendigkeit eines mehrschichtigeren Ansatzes für Compliance- und Sicherheitsmaßnahmen. Wir wissen, dass Angreifer häufig Server, VPCs und IoT-Geräte in derselben Region wie ihre ultimativen Ziele gefährden. Verstehen Sie Ihre Geschäftsanforderungen und gesetzlichen Anforderungen (z. B. den Verkauf in Länder mit Embargo), wenn Sie die Geofencing-Taktik anwenden. Es ist nicht so, dass diese Taktik weggeworfen werden sollte, sondern eher nicht übermäßig darauf angewiesen ist.
Eine sehr spezifische und bemerkenswerte Bedrohung, die sich im 4. Quartal immer weiter erhöhte, waren Path-/Directory-Traversal-Angriffe. Stellen Sie sich Ihre Bewerbung als Festung vor. Stellen Sie sich nun Pfaderangriffe als raffinierte Angreifer vor, die das kleinste Übersehen in der Architektur Ihrer Festung ausnutzen, um über überberechtigte Ordner auf Ihrem Webserver tief in Ihre Domäne einzudringen. Bei diesen Angriffen geht es nicht nur darum, an die Tür zu klopfen, sondern um eine versteckte Passage zu finden, die direkt ins Herz deines Reiches führt. Die Folgen? Unbefugter Zugriff, Verlust persönlich identifizierbarer Informationen (PII) und potenziell Übergabe der Schlüssel an Ihr Königreich durch Remotecodeausführung. Die Bedeutung kann hier nicht übertrieben werden, da diese Eindringlinge die Säulen der Vertraulichkeit, Integrität und Verfügbarkeit von Daten bedrohen, auf denen unsere digitale Welt steht.
Kurz gesagt, der vierteljährliche Bericht über Angriffstrends ist nicht nur eine Sammlung von Daten, sondern eine Erzählung, die den anhaltenden Kampf in der digitalen Welt verdeutlicht. Sie erinnert daran, dass das Verständnis und die Anpassung an die Komplexität der Anwendungsarchitektur nicht nur für das Überleben, sondern auch für den Erfolg in dieser Landschaft entscheidend ist. Durch die Anwendung einer Strategie, die mehrschichtige Abwehr, die Nutzung von Bedrohungsinformationen und die Anpassung von Lösungen an die individuellen Anforderungen Ihrer Anwendung umfasst, können Sie eine Festung errichten, die widerstandsfähig gegen die sich ständig entwickelnden Bedrohungen der Cyberwelt ist. Bei effektiver Sicherheit geht es nicht nur darum, Tools zu implementieren, sondern auch darum, die Funktionsweise Ihres Unternehmens zu verstehen und dieses Wissen für Ihre Sicherheitskontrollen zu nutzen.
Noch eine Sache: Dieser Bericht ist nur die Spitze des Eisbergs. Das Edgio-Team arbeitet unermüdlich daran, zukünftige Berichte um weitere Datenpunkte zu erweitern. Halten Sie Ausschau nach unserem Bericht für das 1. Quartal 2024. Ich bin zuversichtlich, dass du nicht im Stich gelassen wirst.
Möchten Sie mehr Einblicke?
Tom und Mitglieder des Sicherheitsteams von Edgio diskutieren den vierteljährlichen Bericht über Angriffstrends in der neuesten Folge von ThreatTank.
