Dies ist der zweite Teil unserer zweiteiligen Sicherheitsserie. Um den ersten Blog zu lesen, klicken Sie bitte hier.
Der Verizon 2021 Data Breach Investigations Report (DBIR) analysiert mehr als 70.000 Vorfälle bei Datenschutzverletzungen aus 88 Ländern. Mithilfe von Aggregatanalysen werden Teams über Sicherheitsrisiken informiert, die nicht nur „möglich, sondern wahrscheinlich“ sind. Dieser Bericht ist ein Goldstandard, den jedes Sicherheitsteam verwenden kann, um betriebliche Praktiken zu vergleichen, Maßnahmen zu priorisieren und, was am wichtigsten ist, begrenzte Ressourcen dort zu konzentrieren, wo sie am wichtigsten sind, um Verluste aufgrund von Ausfallzeiten und Datenschutzverletzungen zu verhindern.
In diesem Blog bieten wir eine zusammenfassende Ansicht der Ergebnisse der DBIR in Bezug auf die führende Vielfalt an Ressourcen, die auf Sicherheitsverletzungen abzielen (Webanwendung/Server), den führenden Vektor bei Vorfällen (DDoS-Angriffe) und das zweithäufigste Muster von Sicherheitsverletzungen (grundlegende Angriffe auf Webanwendungen). Außerdem enthalten wir Empfehlungen und Best Practices, mit denen diese Risiken angegangen werden können.
Insight 1: Ungepatchte Schwachstellen
Most im DBIR aufgezeichnete Sicherheitsverstöße waren „einfache“ Angriffe auf Webanwendungen, die als eine kleine Anzahl von Schritten oder zusätzliche Aktionen nach dem anfänglichen Kompromiss definiert wurden. Diese Angriffe konzentrieren sich auf direkte Ziele, die vom Zugriff auf E-Mail- und Webanwendungsdaten bis hin zur Umnutzung von Web-Apps für die Verbreitung von Malware, Defacement oder zukünftige DDoS-Angriffe reichen.
Es wurden 4.862 grundlegende Angriffe auf Webanwendungen aufgezeichnet, wobei fast alle Angriffe von externen Bedrohungsakteuren stammten. Von diesen wurden 1.384 bestätigte Daten offengelegt, wobei 89 % der Fälle der finanzielle Gewinn das Hauptmotiv für den Angriff war. Die Anmeldedaten wurden zu 80 % der Fälle kompromittiert, während 53 % der Fälle persönliche Daten erfasst wurden.
Welche Sicherheitsgrundlagen sollten Sie implementieren, um Ihr Unternehmen vor Angriffen auf Webanwendungen zu schützen? Die oben genannten Daten deuten darauf hin, dass das Patchen von Schwachstellen für die meisten Unternehmen ein großartiger Ausgangspunkt ist, insbesondere für Unternehmen, die noch lange Zeit nicht gepatcht werden. Denken Sie daran, dass ein Angreifer jeden Tag, an dem eine Schwachstelle ausgebessert wird, Ihre Anwendungen explorativ hacken kann, um Gold zu finden. Lassen Sie uns diese beiden Themen etwas näher untersuchen.
Insight 2: Schwachstellen in älteren Apps
The Mission von Cyberkriminellen ist es, Ihr Unternehmen zu infiltrieren. Und sie wollen dies so schnell, leise und billig wie möglich tun.
Die DBIR bestätigt, dass Angriffe auf ältere Schwachstellen (vier oder mehr Jahre alt) häufiger sind als Angriffe auf neuere Schwachstellen. Schlechte Akteure nutzen diese älteren Schwachstellen weiterhin aus, da sie oft die Stacks sind, die IT-Sicherheitsteams ignorieren. Außerdem sind sie leicht zu recherchieren, Exploits zu finden und relativ kostengünstig zu montieren.
Ältere Stacks weisen auch mehr Schwachstellen auf. Darüber hinaus gibt es in der Cyberkriminellen-Community häufiger Erkenntnisse darüber, welche Tools verwendet werden sollen, um diese älteren Technologiestacks anzugreifen, ohne dabei entdeckt zu werden.
Dieses Problem besteht schon seit Jahren und wird noch eine ganze Weile eine Herausforderung sein, bis es erhebliche Verbesserungen bei der Entwicklung sicherer Anwendungen und der Patch-Verwaltung gibt.
Zudem müssen Cyberkriminelle durch die Nutzung bekannter älterer Schwachstellen ihre wertvollsten Tools nicht herausziehen (und riskieren, sie zu entlarven). Sie können ältere Apps mit älteren Tools anvisieren und haben dennoch viel Fläche zum Arbeiten – zu viel geringeren Kosten.
Insight 3: DDoS vulnerabilities
Distributed Denial-of-Service (DDoS) ist seit 2018 stark angestiegen und wurde 2020 zum größten Sicherheitsproblem. Technisch betrachtet kategorisiert die DBIR DDoS als Incident-Muster (nicht als Verstoß). Unabhängig davon, wie es klassifiziert ist, kann ein DDoS die Verfügbarkeit erheblich beeinträchtigen – den dritten Teil der Triade „Vertraulichkeit, Integrität und Verfügbarkeit“.
So wie Cyberkriminelle Systeme verletzen, um herauszufinden, was sie herausbekommen können, nutzen sie billige und leicht verfügbare DDoS-Botnets, um anfällige Systeme zu entdecken, die im Rahmen von Lösegeld- oder Unterbrechungskampagnen offline geschaltet werden können. Die DBIR bestätigt auch einige gute Nachrichten: DDoS ist „einer der Infosec-Trends, die angegangen werden können“. Leider gehen zu viele Unternehmen davon aus, dass sie über einen angemessenen Schutz verfügen – bis ein DDoS-Angriff Schwachstellen auf Kosten von Geschäftsausfällen entdeckt.
Obwohl DDoS-Abwehrdienste weit verbreitet sind und in Ihrer Netzwerk- und Anwendungsinfrastruktur bereitgestellt werden können, ist es an der Zeit, den Umfang Ihres DDoS-Schutzes zu überprüfen. Wir empfehlen Ihnen, zu bewerten, wie Ihr Schutz ausgelöst wird und wie sich der Angriff auf Ihre Abläufe auswirkt, wenn der Angriff erfolgreich ist, und zwar in den Ebenen 3, 4 und 7.
Die Kosten für Untätigkeit
Nachdem wir nun einige wichtige Ergebnisse der DBIR besprochen haben, wollen wir uns eine Sicherheitsbedrohung ansehen, die im Bericht nicht behandelt wird: Untätigkeit. Eine häufige Herausforderung bei der Reduzierung der Angriffsfläche für Anwendungen besteht darin, dass Ihre Webanwendungen ständig in Bewegung sind. Viele entwickeln sich weiter, fügen neue Funktionen hinzu und wechseln in die Cloud. Durch die Implementierung von Sicherheitsfixes werden Anwendungs-Pipelines weiterhin belastet und Kompromisse zwischen Geschäfts-, Entwicklungs- und Sicherheitsinteressen erzwungen. Die Beseitigung alter Schwachstellen, insbesondere älterer Anwendungen, steht unter der gegenteiligen Herausforderung: Entwickler und Projektmanagement müssen sich auf Webanwendungen konzentrieren, die noch in Gebrauch sind, aber nicht mehr auf Geschäftsaktivitäten ausgerichtet sind. In beiden Szenarien verlassen sich schlechte Akteure auf diese Managementlücken und Untätigkeit, um Schwachstellen zu finden und auszunutzen.
Während Sie Ihre Prozesse zum Risikomanagement aufbauen und stärken, sind CDNs und Web Application Firewalls eine bewährte Methode, um schädlichen Datenverkehr zu identifizieren und zu blockieren, der sich am Rande des Internets befindet. Dazu gehören DDoS-Angriffe und automatisierte Sonden, die programmgesteuert Schwachstellen in Ihren Webdiensten gezielt gezielt erfassen und protokollieren, ohne dass große Mengen an Entwicklungsinvestitionen und Projektmanagement erforderlich sind.
Unsere Web Application Firewall und DDoS-Schutzfunktionen der nächsten Generation, die in unseren Netzwerk-Edge integriert sind, bieten eine einfache und skalierbare Lösung, die Risiken von Webanwendungen, die vom DBIR 2021 gemeldet wurden, abdeckt. Im vierten Quartal 2020 haben wir beispielsweise 1,5 Milliarden Anfragen abgemildert. Wir definieren „Mitigate“ als jedes WAF-Ereignis, das einen Block, eine benutzerdefinierte Antwort oder eine URL-Umleitung auslöst. Dabei handelt es sich um dieselben schändlichen Aktivitäten, die vom DBIR gemeldet werden, bekannte Schwachstellen und DDoS-Vorfälle, die die meisten Angriffe auf Webanwendungen auslösen.
Beginnen Sie mit den Grundlagen
The DBIR zeigt blinde Flecken auf, die aufgrund von „Lärm“ auftreten können, wenn eine schwere Verletzung auftritt. Wie die DBIR-Autoren sagen: „Wenn Sie das nächste Mal vor einem paradigmenwechselnden Break stehen, der die Norm dessen in Frage stellt, was am wahrscheinlichsten passieren wird, hören Sie nicht zu, wie die Ornithologen auf der Bluebird-Website laut zwitschern: „Wir können unseren Weg aus dieser Bedrohung nicht patchen, verwalten oder kontrollieren.“
Tatsächlich können Sie durch „die Grundlagen“ die überwiegende Mehrheit der Angriffe stoppen, die sich am ehesten auf Ihr Unternehmen auswirken.
Wenden Sie sich an uns, um zu erfahren, wie unser CDN und WAF die Schwachstellen Ihrer Webanwendungen als Teil einer umfassenden Sicherheitslösung verringern können.
