Erkennung und Abwehr von Zero-Day-Bedrohungen

Eine Einführung in Edgios „Beyond the Edge“ Podcast Episode 5: Identifizieren und Abwehren von Zero-Day-Bedrohungen, gehostet von Andrew Johnson, Sr Product Marketing Manager – Sicherheit bei Edgio.

Andrew Johnson: Willkommen bei Beyond the Edge, wo wir uns mit den Trends befassen, die moderne digitale Unternehmen betreffen. Ich bin Andrew Johnson, dein Co-Pilot für diese Episode. Und heute beschäftigen wir uns mit dem Thema Zero-Day-Bedrohungen, insbesondere wie wir diese identifizieren und mindern. Zu uns kommen heute Dave Andrews Edgio, VP of Engineering, und Marcel Flores, leitender Forschungswissenschaftler bei Edgio.

Willkommen, Dave. Und Marcel, es ist toll, euch beide hier zu haben. Können Sie uns etwas über sich selbst und Ihre Rollen hier bei Edgio erzählen?

Dave Andrews: Klar. Danke, dass Sie uns Andrew haben. Es ist ein Vergnügen, an Bord zu sein. Also bin ich VP of Engineering. Ich bin schon seit 11 Jahren in Edgio. Und aus technischer Sicht bin ich für die Edge-Plattformen und eine Menge zentraler Infrastrukturen verantwortlich.

Andrew Johnson: Fantastisch. Vielen Dank.

Marcel Flores: Ja. Vielen Dank, dass Sie uns haben. Wie du sagtest, ich bin Marcel Flores. Ich bin leitender Wissenschaftler bei Edgio Labs, der Forschungsgruppe hier bei Edgio. Mein Team arbeitet daran, die Leistung, Zuverlässigkeit und den Betrieb des Netzwerks zu verbessern, indem ich rigorose Forschung und Entwicklung durchführe und mit der breiteren Systemgemeinschaft und der Netzwerkforschung zusammenarbeite.

Was ist ein Zero-Day?

Andrew Johnson: Fantastisch. Danke nochmal, dass du heute bei uns bist, Leute. Das Thema Zero-Day-Bedrohungen ist es wichtig, unseren Zuschauern schnell einen Überblick darüber zu geben, was Zero-Day-Schwachstellen und Angriffe sind. Ich werde kurz darauf eingehen, bevor wir uns mit einigen Ihrer Erfahrungen beim Schutz von Edgio und unseren Kunden beschäftigen. Was ist also ein Zero-Day in Bezug auf das, wovon wir hier reden? Im Grunde genommen bestehen moderne Apps, moderne Unternehmen, moderne Dienste aus Software, Software aus Open-Source-Code, kommerzialisierte Code-Basen, verschiedene Protokolle usw. Wir wissen, dass keine Software perfekt ist, und von Zeit zu Zeit werden Schwachstellen in diesem Code entdeckt. Im Grunde bezieht sich „Zero Day“ auf den Zeitraum, in dem eine Schwachstelle entdeckt wird, und die Zeit, in der entweder ein Patch oder eine Problemumgehung erstellt werden muss, oder?

Wenn Entwickler also von einer Schwachstelle Kenntnis haben, werden sie versuchen, sie so schnell wie möglich zu patchen oder Kunden und Benutzern der Software Schritte zu geben, die sie tun können, um den Exploit zu verhindern. Aber im Grunde, wie ich schon erwähnt habe, ist es ein Problem, das nicht verschwindet. Wir sehen, dass die Zahl der CVEs oder der häufig auftretenden Schwachstellen und Risiken im Jahr 2022 im Vergleich zu 2021 um etwa 25 % zunimmt. Es ist nicht überraschend, dass noch mehr Schwachstellen entdeckt werden. Es gibt KI-Tools, mit denen Codebasen schnell gescannt werden können. Es gibt sicherlich finanzielle Anreize sowohl für gute als auch für schlechte Akteure, diese Schwachstellen auf der Seite der guten Akteure zu finden. Es gibt Bug-Bounty-Programme.

Sie kennen sich aus, wenn Apple ständig Code-Fixes für Ihr iPhone ausgibt. Gute White-hat-Forscher reichen Exploits an diese Entwickler ein, und dann gibt es schlechte Akteure, die ebenfalls Schwachstellen ausnutzen. Also, nur ein bisschen Hintergrundwissen dazu. Vielleicht ein paar gewöhnliche, von denen Sie in letzter Zeit gehört haben. HTTP2/Rapid Reset war in letzter Zeit eine große, sehr bemerkenswerte Sache in der Welt der Anwendungssicherheit. Vielleicht haben Sie schon von Log4j, Spring4Shell oder vor ein paar Jahren von der Apache Struts 2-Schwachstelle gehört, die hier in den Vereinigten Staaten, eigentlich weltweit, massive Datenverletzungen verursacht hat. Das ist also nur ein wenig Hintergrundwissen zu Zero-Day-Bedrohungen, aber ja, vielleicht möchte ich Dave zunächst kurz fragen, was ihr tut, um Edgio und unsere Kunden vor Zero-Day-Bedrohungen zu schützen.

Wie schützt Edgio sich selbst und seine Kunden vor Zero-Day-Bedrohungen?

Dave Andrews: Ja, auf jeden Fall. Also, bei der Sicherheit geht es meiner Meinung nach um die Verteidigung in der Tiefe, oder? Es gibt nie eine bestimmte Sache, die du tust. Es geht vielmehr darum, sicherzustellen, dass Sie mehrere Schichten zusammengereiht haben. Die Idee ist, wenn eine oder zwei Schichten unvollkommen sind, wie sie alle sind, weil wir sehr intelligente Menschen haben, die aktiv versuchen, sie zu brechen, die schiere Anzahl der Schichten und mit überlappenden Schutz- und Abwehrmaßnahmen ist entworfen, weißt du, der ganze Punkt hier ist: es spielt keine Rolle, ob eine Sache versagt, denn es gibt fünf andere Dinge, die dich schützen. Also, einen Schritt zurück zu gehen, wie beim ersten, und ich denke, eines der wichtigsten Dinge ist, dass man einfach in den Eimer der Bereitschaft fällt.

Es gibt mindestens drei verschiedene Aspekte. Der erste, der mir in den Sinn kommt, ist Hygiene. Eine gute Sicherheitshygiene ist absolut entscheidend. Und es hilft vor allem dadurch, dass Ihr Problembereich reduziert wird. Was meine ich mit Hygiene? Es gibt zwei wesentliche Dinge. Zum einen ist es, die Software auf dem neuesten Stand zu halten, oder regelmäßiges Patching. Das ist das langweiligste auf der Welt. Es ist wohl auch eine der besten und kritischsten Verteidigungslinien. Es bedeutet, dass Sie alle verantwortlichen Enthüllungen nutzen, von denen Sie sprachen, Andrew, die guten, weißen Forscher, die Schwachstellen finden, Offenlegung der Informationen an Anbieter, Behebung der Probleme und Einführung von Fehlerbehebungen.

Sie können alle im Grunde bekannten Angriffsvektoren in der von Ihnen verwendeten Software nutzen. Nur weil es langweilig ist, bedeutet das nicht unbedingt, dass es einfach ist, besonders wenn man in der Größenordnung arbeitet, die wir bei Edgio sind, und an vielen anderen Orten, ist es sehr, das Risiko, das mit einem regelmäßigen Upgrade Ihrer gesamten Software einhergeht, ist sehr schwierig zu bewältigen. Wie wir später sehen werden, gibt es viele Dinge, die wir operativ tun, um das sicherer und einfacher zu machen. Aber es fällt immer noch ziemlich direkt in den Hygieneeimer, wenn Sie so wollen. Das nächste Stück, das in der Hygiene landet, ist das Scannen. Der ganze Punkt hier ist, aktiv nach Dingen zu suchen, die darauf hindeuten, dass Sie ein Problem haben, bevor ein schlechter Schauspieler es findet.

Das nimmt also eine Reihe von Formen an. Dabei kann es sich um interne Sicherheitsteams oder Teams für Informationssicherheit handeln. Sie können externe Personen für die Durchführung von Scans beauftragen. Es kann beides sein. Oft nutzen die Unternehmen Bug Bounty, um Menschen zu ermutigen, den Weg der Weißen zu gehen und Schwachstellen zu finden, die sie uns oder der jeweiligen Partei offenbaren, damit sie behoben werden können, bevor sie aktiv ausgenutzt werden. Also fallen diese Dinger in diesen Eimer mit allem, was du reparieren kannst, das zuerst reparieren kannst, oder? Nutzen Sie zum Beispiel die gute Arbeit, die die gesamte Community leistet, um das Internet und die Software im Allgemeinen sicherer zu machen. Und dann schauen Sie sich Ihre eigenen Anwendungen aktiv an, versuchen Sie, Schwachstellen zu finden und diese proaktiv zu beheben, so gut Sie können. Der nächste Abschnitt, den ich über die Bereitschaft sagen möchte, ist Beobachtbarkeit.

Marcel Flores: Ja, danke, Dave. Daher denke ich, dass es in vielen dieser Fälle wichtig ist, zu sehen, was in Ihrem Netzwerk oder in Ihrer Infrastruktur vor sich geht. Ich denke also, dass diese Art in zwei Kategorien fällt, die grundsätzlich gleich behandelt werden, aber ich denke, dass es wichtig ist, darauf hinzuweisen. Der erste besteht darin, über Verhaltensweisen auf Anwendungsebene nachzudenken, oder? Stellen Sie sicher, dass Sie verstehen, welche Anforderungen in Ihr Netzwerk eingehen und welche Funktionen diese Anforderungen haben, wie sie geformt sind und wie sie normal aussehen und wie sie bei bestimmten Ereignissen aussehen könnten. Ich denke, es ist auch wichtig, daran zu denken, dass, wenn man im Internet kommuniziert, es eine Art vollständiger Stack-Betrieb ist, oder?

Wobei jede Anforderung sowohl die Anwendungsebene als auch die Protokolle der unteren Ebene durchläuft. Es ist also wichtig, im Auge zu behalten, was weiter unten im Stapel vor sich geht, oder? Und verstehen Sie, dass es komplexe Verhaltensweisen und Reaktionen von Systemen auf niedrigerer Ebene geben kann, die in diesen Verhaltensweisen auf Anwendungsebene nicht gut erfasst werden. Daher ist es wichtig, beide Komponenten zu verfolgen und zu beobachten, was in beiden Fällen vor sich geht. Und ich denke, ein Schlüsselelement ist es, verstehen zu können, wann sich der Verkehr ändert, oder? Wenn Ihr Verkehr den Erwartungen trotzt, oder? Vielleicht sehen Sie Funktionen von Anwendungsanforderungen, die nicht das sind, was Sie normalerweise sehen, oder? Zum Beispiel eine plötzliche Zunahme von HTTP-Posts im Gegensatz zu GET, denken Sie an die Anwendungsebene, denken Sie an die Protokollebene, oder?

Dies kann etwas sehr kompliziertes im Protokoll sein, wie HTTP2 oder etwas noch geringeres. Und denken Sie darüber nach, was mit den TCP-Sockets geschieht und was mit den Protokollinteraktionen auf dieser Ebene geschieht, insbesondere wenn Sie an Dinge wie DDoS-Angriffe denken, die versuchen könnten, bestimmte Schwachstellen auszunutzen. Ich denke, dass der Schlüssel zu diesen Schwachstellen, zu dieser Beobachtungsfähigkeit nicht nur Kennzahlen sind, die es Ihnen ermöglichen zu sehen, was vor sich geht, sondern auch die Fähigkeit haben, sich mit diesen Verhaltensweisen auseinanderzusetzen, richtig? Und sie entsprechend zu segmentieren, oder? Um zu verstehen, ob es eine bestimmte Nutzerpopulation gibt, die einen bestimmten Traffic generiert. Es gibt bestimmte Netzwerke, es sind spezifische Kunden, spezifische Eigenschaften eines bestimmten Kunden, oder? So können Sie verstehen und eingrenzen, wo Dinge tatsächlich passieren und wie sie passieren könnten.

Andrew Johnson: Das ist interessant. Das ist interessant. Was sind also, nachdem Sie diese verschiedenen Verhaltensweisen beobachtet haben oder etwas, das Sie für einen Zero-Day halten, welche Schritte können Sie operativ Unternehmen?

Welche Schritte können Sie Unternehmen, um Zero-Day-Bedrohungen abzuwehren?

Ja, das kann ich nehmen, Andrew. Ja. Die beiden Elemente, von denen Marcel sprach, sind wirklich die Grundlagen, oder? Als ob der erste die Dinge betrachtet, den Trend betrachtet, was aus einer Perspektive abläuft, die Dinge insgesamt betrachtet, oder? Wie sieht das insgesamt aus? Und der ganze Punkt ist, dass Sie einen umfassenden Überblick über das Geschehen erhalten, und es ermöglicht Ihnen, Änderungen sehr, sehr schnell zu erkennen, wie Sie sagten. Der zweite Teil in Bezug auf Tieftauchen ist, dass Sie tatsächlich in der Lage sind, Ihr Verständnis darüber zu entwickeln, welche Veränderung, auf welchem Niveau sie arbeitet und ist es ein Risiko, oder? Weißt du, das Internet ist der wilde Westen, oder? Wie, die Dinge ändern sich ständig.

Immer neue Verhaltensweisen passieren. Nicht alle diese Dinge sind ein Sicherheitsproblem, oder? Die Fähigkeit, eine viel umfassendere, aggregierte Informationsmenge zu haben, aber Sie können sich eingraben und Fragen stellen und beobachten oder vielmehr Fragen beantworten, die viel nuancierter sind, lassen Sie sich zum Kern dessen machen, was sich geändert hat und warum, und lassen Sie diese Entscheidung treffen. Oh, meine Güte, das ist in Ordnung. Es ist ein neuer Kunde, der etwas tut. Oder du weißt, dass das ein Problem ist, oder wir müssen nachsehen. Es ist also ein Problem, sich davon abzuwenden, zu sehen, was passiert ist, und etwas Verständnis dafür zu entwickeln. Du kommst in das Reich von so, großartig, was dann?

Wie, was machst du dagegen? Und dieser Eimer, den wir als operative Agilität und Agilität bezeichnen. Es gibt einige übergeordnete Themen, die wir durchdenken, wenn wir die operative Agilität betrachten. Noch einmal drei davon sind Reaktionsfähigkeit, Sicherheit und Redundanz. Also nur ein bisschen Zeit mit jeder dieser Reaktionsschnelligkeit zu verbringen, ist genau das, wie es klingt, richtig? Wenn aus Sicherheitssicht etwas schief läuft, ist die Zeit von entscheidender Bedeutung, oder? Wie Sie wissen, möchten Sie in der Lage sein, Sicherheitsprobleme sehr, sehr schnell zu schließen, um den Angreifern nur wenig Zeit zu geben, um Chaos anzurichten und Ihnen die maximale Zeit für die Beseitigung zu geben. Was wir also aus einem sehr breiten Sinn anstreben, nicht nur in Bezug auf Sicherheitsprobleme, sondern auch in Bezug auf alle Arten von betrieblichen Änderungen, die wir vornehmen, haben wir uns auf etwa fünf Sekunden konzentriert, um 99,99% der Infrastruktur zu erreichen.

Das ist das Ziel. Wir kommen nicht immer dorthin, weil manche Dinge notwendigerweise länger dauern, aber das ist das Ziel. Und viele unserer Subsysteme erfüllen dieses Ziel. Sicherheit ist eine seltsame Art von Thema, über das man mit der Agilität des Betriebs nachdenken muss. Also lass mich das ein bisschen auseinander necken. Eines der Risiken, die Sie haben, wenn Sie versuchen, etwas mit einem hohen Maß an Reaktionsfähigkeit zu tun, d. h. sehr, sehr schnell, ist, dass Sie das Problem sehr, sehr schnell beheben können, vorausgesetzt, Sie haben perfekte Beobachtungsfähigkeit und ein perfektes Verständnis für genau das, was passiert. und Sie können die Reaktion auf die Veränderung, die Sie vornehmen werden, perfekt vorhersagen. Das ist toll, und das ist oft der Fall. Es besteht jedoch auch die Möglichkeit, dass Ihr Verständnis von all diesen Dingen unvollkommen ist, und Sie können es auch sehr, sehr schnell noch schlimmer machen.

Niemand will das. Der ganze Punkt über Sicherheit ist also, dass Sie Systeme einrichten, Prozesse und Automatisierung, und viele andere Dinge gehen in die IT ein, um sicherzustellen, dass Sie es nicht sogar noch schlimmer machen. Das läuft auf ein paar sehr, sehr hochrangige Dinge hinaus. Zu Beginn. Es ist wie proaktives Modellieren. Das gilt wirklich für die grundlegende Kapazitätsplanung, oder? Zum Beispiel, wenn Sie Maschinen aus irgendeinem Grund aus der Produktion nehmen müssen, um sie zu patchen, weil Services aus irgendeinem Grund neu gestartet werden müssen. Eines der Risiken, die es gibt, wenn Sie versuchen, dies sehr schnell zu tun, besteht darin, dass Sie zu viele Maschinen für die aktuelle Belastung aus der Produktion nehmen. Das kannst du schon im Voraus wissen, oder?

Wir haben also eine Vielzahl von Modellierungssystemen, die sich in Workflow-Systeme integrieren lassen, sodass bei einer Anforderung, alles so schnell wie möglich zu patchen, nicht alle Server sofort aus der Produktion gezogen werden. Es gibt also grundlegende Sicherheitssysteme, die Sie bauen und integrieren können, um zu verhindern, dass Sie sich selbst in den Fuß schießen. Und wenn wir davon ausgehen, dass wir die Dinge aus dieser Perspektive nicht verschlimmern werden, nur aus einer reinen Kapazitätsplanungs-Infrastruktur-Perspektive, wollen wir auch wissen, dass die Änderung, die wir vornehmen, die beabsichtigte Wirkung auf Anwendungsebene oder auf welcher Ebene auch immer hat, Beobachtungsanwendung, Protokoll, was auch immer wir versuchen zu mildern. Was wir also tun, nutzen wir ein System, das wir Kohlebergwerk nennen. Wir haben schon einmal darüber gebloggt und öffentlich darüber gesprochen, aber die Idee, dass es im Grunde alles gibt, wird als kanarienvogel bezeichnet – kanarienvogel in der Kohlemine.

Der Punkt, dass nichts auf globaler Ebene geschieht, egal wie schlimm es ist. Mindestens zwei Phasen, damit etwas ausgeht. Also haben wir es auf eine Teilmenge der Infrastruktur gesetzt. In der Regel ist die Infrastruktur, die das Ereignis am ungeheuerlichsten erlebt oder am sichtbarsten ist. Wir validieren, dass sie das erfüllt, was wir erwarten, und dann führen wir es später sehr schnell ein. Entschuldigung, führen Sie es weiter aus und überprüfen Sie, ob das Gesamtproblem auf globaler Ebene gelöst wird. Kohlebergwerke und Kanarienvögel sind also eng mit ihren Kennzahlen und Beobachtungssystemen integriert, sodass Sie auf einen Blick korrelieren können wie: Was ist das? Was macht dieser kanarienvogel mit den aggregierten Metriken, die ich betrachte? Wir erhalten also Echtzeit-Feedback, dass die Veränderung, die wir vornehmen, tatsächlich das Problem angehen soll.

Das ist also sehr, sehr praktisch. Woran wir derzeit arbeiten und uns intern und später auf die Einführung vorbereiten, werden wir dies für Kunden und deren Konfigurationsänderungen produzieren, ist im Grunde eine vollautomatische Metrikanalyse. Wenn wir also eine solche Veränderung vornehmen, muss ein Mensch sich da hinsetzen und es sich ansehen, sicherstellen, dass das Richtige passiert und dass sich die Kennzahlen, über die er besorgt ist, in die richtige Richtung bewegen. Und dann den kanarienvogel vorantreiben, dem System sagen, dass du die erste Phase bestanden hast. Alles sieht gut aus. Gehen Sie zur globalen Phase dieses kanarienvogels. Wir nutzen das System für alle Änderungen, nicht nur für Änderungen im Sicherheitsbetrieb, sondern auch für alle Änderungen, die im gesamten System stattfinden.

Und was wir jetzt erleben, ist, wenn wir mehr und mehr Transparenz für unseren Verkaufspunkt schaffen, mehr und mehr Transparenz, immer mehr Metriken, immer mehr Informationen über das, was passiert, es gibt immer mehr Menschen, die sich ansehen müssen, richtig? Und diese Last erreicht den Punkt, an dem sie zu hoch ist. Und so fangen Menschen an, Fehler zu machen, oder? Denn es gibt einfach zu viele Diagramme, zu viele Diagramme, die man sich ansehen kann, und die Leute werden müde und die Menschen sind ohnehin unvollkommen. Wir starten also ein System namens Birdwatcher, das die Kanarienvögel beobachtet und im Grunde eine ausgeklügelte statistische Analyse der Metriken durchführt, z. B. während die Änderungen eingeführt werden und ihm einen Daumen nach oben oder nach unten gibt. Und das ist in die Kohlemine integriert, damit wir sagen können, dass wir automatisch sagen können, dass kanarienvogel gut ist, dass er tut, was wir erwarten.

Und es geht auch darum, nichts Schlechtes zu tun, was wir nicht erwarten, und dass diese Einführung ohne menschliches Eingreifen erfolgen wird. So begeistert davon. Das macht unsere Reaktionsfähigkeit noch schneller und sicherer. Das sind also die wichtigsten Dinge, die wir berücksichtigen, wenn wir über Sicherheit sprechen, indem wir in der Lage sind, das Problem schnell und sicher zu lösen. Der letzte Punkt, den ich erwähnte, war die Redundanz, die relativ selbsterklärend ist. Es gibt einen Schlüsselpunkt oder eine Philosophie, die wir nutzen und implementieren, der im Grunde genommen zwei Wege für viele dieser Änderungen darstellt, so viele wir aufbringen können. Zwei Wege, die wir durchdenken, sind im Wesentlichen schnell, bestmöglich und langsam, zuverlässig. Die Idee besteht darin, dass wir eine große Menge an Infrastruktur an sehr, sehr unterschiedlichen Orten auf der ganzen Welt betreiben.

Die Fähigkeit, alles mit hundertprozentiger Zuverlässigkeit in wenigen Sekunden zu erreichen, ist ein Märchen. Das ist nicht möglich. Irgendwas irgendwo hat immer ein Problem. Und es gibt nichts, was du dagegen tun kannst. Also, was wir tun, ist, dass wir diese Dinge im Grunde zusammenfügen, ähnlich wie Sicherheit, Verteidigung in der Tiefe, richtig? Sie haben diese beiden Dinge zusammengefügt, und das sieht eigentlich so aus, als würden Sie den schnellen Weg nutzen. Gehen Sie so weit Sie können. Und alles, was Sie verpassen, stellen wir sicher, dass wir einen redundanten, zuverlässigen Pfad haben, den wir wiederholen, bis er funktioniert, und das ist etwas langsamer. Um das einige Zahlen zu sagen, der schnelle Weg wird uns berühren, wir werden in weniger als fünf Sekunden eine Änderung an ca. 99 % unserer Infrastruktur vornehmen, oder?

Und dass 99 % wiederholbar und zuverlässig sind. Und dann läuft der langsame, zuverlässige Pfad in der Größenordnung von 60 Sekunden. Und dieses System wird es so lange versuchen, bis es im Grunde erfolgreich ist. Indem wir diese beiden gemeinsam nutzen, erhalten wir das Beste aus beiden Welten. Und wenn eines dieser Subsysteme vollständig ausfällt, bedeutet das nicht, dass alles ausfällt, wir werden immer noch genau fünf Minuten später dort sein, wo wir maximal sein müssen. Diese beiden Dinge zusammen geben uns diese Reaktionsfähigkeit und Agilität mit der Zuverlässigkeit, die wir suchen. Es gibt andere, lustige kleine Dinge, um sicherzustellen, dass wir ein paar Entlassungen haben. Wie können Sie diese Systeme starten? Wie viele Systeme wissen Sie, dass Chatbots integriert sind, so dass es sehr einfach ist.

Jeder kann es von überall auf der Welt mit seinem Telefon tun. Viele andere Dinge haben APIs. Es gibt eine CLI für viele Subsysteme. Um sicherzustellen, dass es nicht nur eine Möglichkeit gibt, diese Aufgaben zu starten, ist ein weiteres Beispiel dafür, wie wir versuchen, Redundanz aufzubauen, damit wir jederzeit diese betriebliche Flexibilität zur Verfügung haben, unabhängig davon, was passiert oder welches System ein Problem hat. Wir stellen sicher, dass wir Kontrolle und die erforderlichen operativen Fähigkeiten haben. Viele dieser Dinge sind allesamt für allgemeine Zwecke, aber wie gesagt, wir nutzen sie so viel wie möglich. Alles von unseren eigenen Infrastruktur-Workflows, wie z. B. die Produktionseinstellung eines Computers und das Patchen bis hin zu Änderungen der Kundenkonfiguration. Es nutzt das gleiche Kernsystem wie wir Hundefutter und setzen uns aggressiv ein. Das Produkt, das wir unseren Kunden präsentieren, ist zuverlässig und sehr, sehr solide.

Andrew Johnson: Fantastisch. Fantastisch. Danke, dass Dave. Und Marcel, ich denke, Sie haben über Best Practices oder Überlegungen gesprochen, die Sicherheitsteams auf ihre Praxis anwenden können. Wir freuen uns über diese Tipps. Ich weiß, dass ihr euch definitiv mit einigen wirklich interessanten Zero-Day-Beispielen beschäftigt habt, um Edgio und unsere Kunden zu schützen. Ich bin sicher, dass Sie einige gute Geschichten und Anwendungen dieser Best Practices haben. Könntest du ein bisschen darüber reden?

Zero-Day-Beispiele: HTTP2/Rapid Reset

Dave Andrews: Ja, auf jeden Fall. Ich denke, dass der relevanteste oder aktuellste, und es war irgendwie interessant, wie Sie bereits erwähnt haben, der HTTP2/Rapid Reset-Angriff ist. Das war eine sehr interessante Erfahrung. Um es aus Edgios Perspektive zu erzählen, gibt es einen kleinen Blog, den wir über diesen Kerl geschrieben haben, als es passierte. HTTP2/Rapid Reset war ein Zero-Day-Angriff, bei dem die Leute erkannten, dass nicht nur die Implementierung der HTTP2-Serverbibliotheken im Modus HTTP2-RFC, die Spezifikation, die Protokollspezifikation als allgemeine Empfehlung genommen und dies im Grunde in den Bibliotheken selbst kodifiziert hatte. Und das war die Anzahl der gleichzeitigen Anforderungen, die, entschuldigen Sie, die gleichzeitigen Streams sein durften, die auf einer bestimmten Verbindung im Flug sein durften, die in der Spezifikation war, geschrieben als hundert.

Das gepaart mit einem interessanten kleinen Aspekt von H2, bei dem es sich um den Multiplex handelt – viele Anfragen auf einem einzigen TCP-Socket – und die Möglichkeit, Anfragen abzubrechen, führten zu dieser sehr, sehr interessanten Schwachstelle oder DDoS-Schwachstelle. Der ganze Punkt, wonach die Angreifer suchen, ist etwas, das einen kleinen Betrag für den Angreifer kostet und mehr für den Angreifer, für die Person am anderen Ende Und sie fanden es in HTTP2 Rapid Reset. Das bedeutete im Grunde, dass der Angreifer sehr, sehr schnell in ein einzelnes Paket hineindrängen konnte, das eine Anfrage initiiert und dann immer und immer wieder abbricht, wie Hunderte von solchen auf einem einzigen Socket, entschuldigen Sie, auf einem einzigen Paket und senden sie an den Server.

Der Server muss dann viel mehr tun als nur ein einzelnes Paket zu senden. Wir müssen eine Anfrage erstellen, oft müssen wir eine Proxy-Verbindung initiieren. Das tun CDNs, um das Asset zu holen, das der Angreifer anfordert. Und dann müssen wir endlich protokollieren, dass die Anfrage passiert ist. Die Tatsache, dass die Angreifer in der Lage waren, diese Initiationen zu generieren und die Anfragen zu stornieren, ist sehr, sehr schnell. Im Grunde genommen ist es, wie jeder, der unter diesen Angriff fiel, teurer. Es war teurer, sie zu verarbeiten, als sie zu generieren. Das wird zu einer DDoS-Schwachstelle. Also, wie viele andere Leute in der Branche rannten, wurden von dem angegriffen.

Und alle wurden zur gleichen Zeit angegriffen, was es besonders interessant machte. Es war ein sehr breiter Angriff. Und ich würde gerne verstehen, was die Angreifer dachten, als sie damit anfingen. Weil sie viele, viele, viele, viele Anbieter gleichzeitig angegriffen haben. Was wir entdeckt haben, als wir mit den anderen Anbietern sprachen und uns fragen, wann hast du das gesehen? Oh, das ist genau die gleiche Zeit, als wir es sahen, worauf wir stolperten, weil wir den Angriff fanden. Wir haben festgestellt, was aufgrund der Beobachtbarkeit geschah, von der Marcel spricht. Und wir haben damit begonnen, Abwehrmaßnahmen zu bauen, oder? Diese Risikominderung sieht also so aus, als würde sie noch mehr Beobachtbarkeit hinzufügen, um genau auf das Geschehen aufmerksam zu machen und dann operative Kontrollen zu entwickeln, mit denen wir eine Reaktion darauf optimieren können.

Wie das eigentlich aussah, sollten Sie nachverfolgen, wie oft ein Client Anforderungen auf einem bestimmten Socket zurücksetzt, und wenn der Prozentsatz einen vordefinierten Schwellenwert überschreitet, beenden Sie diese Verbindung. Die Idee besteht also darin, dem Angreifer nicht zu erlauben, ständig diese Anforderungen zu senden, um ihm eine Begrenzung zu setzen und somit den Angriff abzuwehren. Wir haben diesen Blog veröffentlicht, nachdem wir diese Abwehr erstellt, implementiert, umgesetzt und bestätigt hatten, dass diese Angriffe tatsächlich verhindert wurden. Dann haben sich Leute aus der Branche gemeldet und… oh, wir haben den Blog gesehen. Wir waren auch davon betroffen und arbeiten an einer verantwortungsvollen Offenlegung. Also haben wir mit einer Gruppe aus der Branche zusammengearbeitet, mit der Vince, dies ist ein Teil des Zertifikats, um den verantwortungsvollen Offenlegungsfluss zu durchlaufen. stellen Sie sicher, dass in diesem Fall die Mitarbeiter, die HTTP2-Bibliotheken oder HPD-Server implementierten, Zeit hatten, Patches zu generieren und diese Patches vor dem bereitzustellen. die Sicherheitsanfälligkeit wurde breiter bekannt gemacht.

Es war also ein sehr, sehr interessanter, interessanter Fluss. Wir konnten das sehr schnell umdrehen, oder? Wie zum Teil wegen der Arbeit, die wir in den Bereichen Hygiene und Betrieb und Betriebstransparenz und Agilität leisten, konnten wir eine kleine Veränderung vornehmen, oder? Es war nicht, weißt du, oh mein Gott, wir müssen diese Bibliothek aktualisieren und wir sind wie 10 Versionen dahinter, weil wir sie nicht regelmäßig aktualisieren. Es war nicht so, als wären wir eigentlich eine Version dahinter, oder? Da wir regelmäßig Patches aktualisieren, wird das Risiko reduziert, da es sich um einen kleinen Hop handelt. Das bedeutet, dass Sie dies sehr schnell tun können, während Sie den Schwellenwert für ein geringes Risiko beibehalten, den wir haben. Wir haben das sehr, sehr schnell getan und sind in der Lage, es zu implementieren und den Angriff abzuschwächen. Und dann haben wir den Blog erstellt, ohne zu wissen, dass der Angriff mehr Menschen getroffen hat, zum Teil, um nicht nur mit unseren Kunden, sondern auch mit der Branche in Kontakt zu treten. Hey, das ist etwas Seltsames, das wir gesehen haben. Es sieht so aus, als wäre es nichts Besonderes für Edgio und sogar potenziell anwendbarer. Und es stellte sich heraus, dass es das war.

Andrew Johnson: Das ist wirklich interessant. Ein bisschen cool, um einen Einblick in die Sicherheitsgemeinschaft auf der ganzen Welt zu erhalten, die, wie Sie wissen, zusammenarbeiten, um die Ergebnisse für alle zu verbessern. Marcel, wolltest du da etwas hinzufügen?

Marcel Flores: Ja, ich wollte nur eine Anmerkung hinzufügen, dass ich, ich denke, dieses Beispiel war ein interessantes, in dem die anfängliche Beobachtbarkeit, die wir hatten, definitiv seltsame Verhaltensweisen zeigte, wie Dave es irgendwie beschrieb, richtig? Diese Interaktion zwischen einer Art Protokollfunktion auf unterer Ebene und den Verhaltensweisen auf höherer Ebene des CDN führte zu einigen wirklich unerwarteten Verhaltensweisen. Und ein Teil davon, ein Teil der herauszufinden, was hier vor sich ging, war zu verstehen, dass es dieses schwere Ungleichgewicht gab, richtig? Dass die Anzahl der Anfragen, die wir sahen, im Vergleich zur Anzahl der Anfragen, die wir tatsächlich an Kunden zurücksenden, verzerrt war, oder? Und das fiel auf. Und obwohl es sich bei beiden Messgrößen um Messgrößen handelte, die wir gesammelt hatten, hatten wir sie nicht genau auf diese Weise verglichen. Ein Teil des Ergebnisses war also, sich hinzusetzen und zu sagen: Hey, was, wie können wir die Sichtbarkeit, die wir bereits haben, in etwas zusammenfassen, das speziell für die Erkennung dieses Problems entwickelt wurde? Und genau das konnten wir erreichen und den Umfang unserer Sichtbarkeit verbessern, indem wir die Daten, die wir bereits hatten, durch ein etwas anderes Objektiv betrachten.

Andrew Johnson: Fantastisch. Fantastisch. Das ist gut zu beachten. Und danke dafür, Marcel. Ja, Leute, also glaube ich, wir sind fertig. Wenn es weitere Empfehlungen gibt, die Sie weitergeben möchten? Ich denke, wir haben ein hohes Niveau erreicht, einige sehr gute.

Empfehlungen zur Stärkung Ihrer Sicherheitsstellung

Dave Andrews: Gute Frage. Ich denke, dass eine allgemeine Empfehlung „Hygiene“ von entscheidender Bedeutung ist. Wenn ich mich auf Ihre Beobachtbarkeit konzentriere, denke ich, dass ich Leute finden würde, die helfen können, oder? Wie ein Teil des Wertes eines kritischen Wertversprechens, das ein Unternehmen wie Edgio anbietet, ist, dass wir definitiv helfen können, oder? Sie haben ein ganzes Team von Menschen wie ich und Marcel, die daran arbeiten und proaktiv daran arbeiten, ganze Klassen von Angriffen davon abzuhalten, Menschen zu beeinträchtigen. Also finden Sie Leute, die helfen können, oder? Es gibt eine Reihe von Tools und Technologien, die wir aufbauen, die die Community zur Verfügung hat, um Ihre Arbeit zu erleichtern. Wenn wir über Dinge im Internet sprechen, ist eine WAF die kritischste, wie die grundlegendste, ich würde das kritischste Beispiel für so etwas argumentieren.

Sie gibt Ihnen die Fähigkeit, die Agilität und die Sicherheitselemente zu kombinieren, wenn sie entsprechend implementiert werden. Die Edgio WAF läuft also in einem Dual-Modus, was bedeutet, dass Sie neue Regeln für die Produktion bereitstellen können, und zwar auf den Maschinen, die sie erhalten und den Datenverkehr beobachten. Und Sie können sehen, was passiert. Ein gutes Beispiel dafür war Log4j, das, weißt du, ein kleines bisschen in die Zeit zurückging. Wenn wir die Antwort darauf entwickeln, können wir die Regel sehr, sehr schnell entwickeln und sie sehr, sehr schnell validieren. Da wir Regelaktualisierungen vorantreiben und sie im Warnungsmodus auf den eigentlichen Maschinen bereitstellen konnten und feststellen konnten, dass sie den Angriffen entsprachen, zeigen Sie unseren Kunden, dass sie entweder nicht oder nicht angegriffen wurden. Und dann eine sehr datenbasierte Entscheidung treffen, um diese Regel in den Sperrmodus zu versetzen und zu verhindern, dass diese Angriffe zu unseren Kunden gelangen. Also kombiniert es all diese Dinge zusammen, oder? Wie Reaktionsgeschwindigkeit, Sicherheit, Redundanz und Zuverlässigkeit. Holen Sie sich Leute, die helfen können. Ich denke, das wäre meine wichtigste Empfehlung.

Andrew Johnson: Das ergibt viel Sinn. Das weiß ich zu schätzen, Dave. Ja, ich meine, wenn man auf Null Tage reagiert, ist Zeit kritisch. Diese speziellen Lösungen, aber noch wichtiger ist, die Menschen, die Ihnen dabei helfen können, sind der Schlüssel, um Angreifern die Tür zu schließen. Also mit diesen Jungs vielen Dank, dass Sie sich uns angeschlossen haben. Ich möchte auch dem Publikum danken und wir sehen uns in der nächsten Folge. Vielen Dank.