Modernes Bedrohungsszenario

Lücken in der App

21. Oktober 2014, 6:00 Uhr | Detlef Lilje, Director Central/Eastern Europe and Middle East bei Kemp Technologies, www.kemptechnologies.com./wg

Neuartige Bedrohungsszenarien sind auf dem Vormarsch. Doch traditionelle Schutzmechanismen wie Firewalls und UTM-Gateways (Unified-Threat-Management), die typischerweise auf OSI-Layer 4 agieren, überprüfen die Protokolle auf Applikationsebene nur minimal. Gleichzeitig werden moderne Hackerangriffe, sogenannte Advanced Persistent Threats (APTs), immer komplexer: Angriffsmethoden wechseln schnell und Hacker nutzen die Schwächen der jeweiligen Applikation aus. Deshalb lassen sich solche Angriffe nur schwer auf UTM-/Firewall-Ebene blockieren.

Immer mehr Anwendungen, Dienste sowie geschäftskritische interne Programme werden über das Internet erreichbar. Dadurch wächst die Zahl externer Zugriffe auf das eigene Netz und damit die Gefahr von APTs mittels konventioneller Netzwerk-Layer-Exploits. Am häufigsten sind Web-basierte Systeme Angriffen ausgesetzt, E-Commerce-Webseiten gelten als die Nummer 1 der Bedrohungsziele. Und der Smartphone- und Tablet-Trend hat nicht nur die Anzahl mobiler Applikationen enorm hochgetrieben, sondern auch zu einem 400-prozentigen Anstieg mobiler Malware-Angriffe geführt.
Doch innerhalb konventioneller Netzwerktopologien finden sich die meisten Schwachstellen auf Applikationsebene. Manipulationen von Kredit- und Debit-Karten machen hier in Europa das Rennen. Die Sicherheitslücken bergen erhebliche Geschäftsrisiken, daraus entstehende Schäden können in die Millionen gehen.
Gemäß dem von Trustwave veröffentlichten Spiderlabs 2014 Global Security Report sind Exploits von Web-Applikationen am gefährlichsten. Der Einzelhandel war mit 35 Prozent der Angriffe am stärksten betroffen. Die Studie ermittelte einen 33-prozentigen Anstieg von Diebstählen nicht für Zahlungsvorgänge vorgesehener, aber sensibler, personenbezogener Kartendaten. Hier ist es sehr wichtig zu wissen, wo sich die Unternehmensdaten befinden, also über welche Cloud-Plattformen sie sich bewegen und ob diese den eigenen Private-Cloud-Sicherheitsstandards entsprechen. Im Zuge dessen sollten Unternehmen mit ihren Providern Service-Level-Agreements (SLAs) für Hybridarchitekturen abschließen. Diese sollten auch für die Cloud-Dienste umfassende Sicherheitsstandards beinhalten, die der klassischen On-Premise-Infrastruktur entsprechen.
Webseiten sind oftmals verwundbar in Bezug auf SQL Injection. Dabei können Hacker Zugang zu in Datenbanken gespeicherten Informationen wie personenbezogenen Daten, Kreditkarteninformationen usw. erlangen. Grund hierfür sind Mängel bei Anwendungscoding und Datenspeicherung auf Seiten Website-Betreiber oder Cloud-Provider. SQL Injection gehört zu den von der OWASP (Open Web Application Security Project) identifizierten Top-Ten-Angriffen. Ähnlich verbreitet sind die sogenannten "Zero-Day-Angriffe", für die es zum Zeitpunkt des Bekanntwerdens noch keinen Patch gibt und die deshalb nur über ihr Verhalten erkennbar sind.
Probleme können Applikationen schon vor ihrer Implementierung bereiten. So übersehen Entwickler oft in der Konzeptionsphase, dass die Benutzer - versehentlich oder absichtlich - deren Funktionen missbrauchen. Sogar vermeintlich kleine Schwachstellen können so zu massiven Sicherheitslücken führen. 96 Prozent der 2013 von Trustwave gescannten Anwendungen enthielten eine oder mehrere ernsthafte Sicherheitslücken.
Ähnlich verhält es sich im Bereich Social Media. Obwohl zum Beispiel für die Sicherheitslücke bei der WordPress-Erweiterung Timthumb vor drei Jahren Patches bereitgestellt wurden, bleibt WordPress gefährdet. Entweder wurden die Patches nicht aufgespielt oder der Schadcode ist bis in Plug-ins von Drittanbietern eingedrungen. Angreifer können so aus der Ferne eigenen PHP-Code (wie Backdoor-Programme oder IRC Botnet Client-Code) im System platzieren und ausführen. Tim-thumb ist ein sehr häufig verwendetes PHP-Script, um in Blogs einfach Vorschaubilder zu erzeugen oder zuzuschneiden. Aufgrund seiner leichten Bedienbarkeit gehört es zu den Social-Media-Apps, die Marketing-Mitarbeiter gerne unter Umgehung der firmeneigenen Firewalls abonnieren - was dann ein willkommenes Einfallstor für Angriffe bietet.
Was aber tun, um Applikationen und die darunter liegenden Server oder virtuellen Maschinen zu schützen? Was ist nötig, um die Abwehr auf Anwendungsebene auf dem neuesten Stand zu halten? Bisherige Ansätze bedürfen einer grundlegenden Modernisierung: Klassische Schutzmechanismen wie Next Generation Firewalls und Intrusion-Prevention Systeme (IPS) beschränken sich oft auf bekannte Schwachstellen auf Netzwerkebene (Layer 2/3). Appliances mit WAF/ADC-Integration (Web Applications Firewall, Application Delivery Controller) dagegen dehnen ihre Sicherheitskontrollen auf die Applikationsebene aus. WAFs schützen somit unternehmensspezifischen Web-Applikationen gegen Angriffe aus dem Internet. ADCs stellen zudem hohe Verfügbarkeit, Skalierbarkeit und Sicherheit von Web-Applikationen sicher.
Websites und Web-Applikationen, über die geschäftskritische Vorgänge wie Gehaltsabrechnung, Online-Banking und E-Commerce-Geschäfte abgewickelt werden, kombinieren häufig fehleranfälligen, benutzerdefinierten Code mit Cloud-Komponenten von Drittanbietern. Leicht übersehen oder unterschätzt wird dabei das Risikopotenzial, das entsteht, wenn diese Services interagieren und Daten austauschen, ohne dass das Unternehmen die eigene Seite durch WAF/ADC-Filter auf Anwendungsebene schützt. WAFs sind derzeit fast immer die einzige Technik, die verschlüsselten wie auch unverschlüsselten eingehenden Netzverkehr untersucht.
 
Schutz auf Anwendungsebene
WAFs werden typischerweise zwischen dem internen Netzwerk und den Applikations-Servern implementiert. Vorgelagerte Instanzen wie Router und Firewall nehmen die klassischen Sicherheitsmechanismen wie Paketfilter, Abwehr von DoS-Angriffe (Denial of Service) etc. wahr. WAF und ADC sind nachgeschaltet, ergänzen die vorhandenen - und weiter notwendigen - Systeme. Eine WAF untersucht die HTTP/HTTPS-Protokoll-Header und gegebenenfalls Payloads, um Vektoren moderner Angriffstypen auf Applikationsebene wie APTs zu erkennen.
Mit dem Schritt hin zur Anwendungsbereitstellung über die Cloud, ergänzend zu Trends wie der Konvergenz auf Netzwerk- und Security-Ebene durch SDN (Software-Defined Networking), wächst die Not-wendigkeit, ADC/WAF-Applikationsfilter einzusetzen. Folgendes ist zu beachten:
1. Das eigene Web-Application-Abwehrsystem sollte nicht nur Verhaltensmuster bei Server-Reaktionen vergleichen, sondern eine vollständige Analyse und Profilbildung der Antworten des Web-Servers liefern.
2. Die implementierten Sicherheitsmechanismen sollten beim Identifizieren der Angriffe Korrelationen zwischen Anfrage und Antwort herstellen. Geschieht dies nicht, entstehen allzu oft Fehlalarme. Eine moderne Bedrohungsanalyse gleicht jede Anfrage mit der Antwort ab, um Fehlalarme zu verringern, um so auch sehr raffinierte Angriffe zu erkennen.
3. Einfache vordefinierte Regeln erzeugen oft Fehlalarme und erfordern viel manuelles Finetuning. Zu bevorzugen sind daher voreingestellte automatisierte Sicherheitsfunktionen.
4. Wenn Schutzmechanismen auf Applikationsebene keine Event-Korrelation unterstützen, können ausgefeilte Angriffe über mehrere Ebenen des OSI-Modells hinweg erfolgen. Korrelationen sind also unabdingbar.
5. Live-Updates sind unerlässlich. Sie sollten sich aber nicht nur auf Spam, Malware und Viren konzentrieren. Ansonsten wird unter Umständen die Applikationssicherheit nicht berücksichtigt.
6. Anbieter von Lösungen für Applikationssicherheit sollten ihre eigenen Systeme selbst angemessen schützen. Ansonsten wären potenziell mehrere hundert Millionen weiterer Netzwerkbesitzer angreifbar.
7. Sicherheitsprüfungen, die auf Anwendungsebene nur auf statische Signaturen begrenzt sind, schränken die eigene Reaktionsfähigkeit hinsichtlich neuer Angriffsformen ein. Einige Anbieter bieten nur einfache Signaturen für den Schutz vor SQL Injection und Cross-Site Scripting. Die daraus resultierende vage Definition der Signaturen sorgt im Angriffsfall lediglich für schwachen Echtzeitschutz.

Zusammenspiel von Firewall und WAF. Bild: Kemp Technologies

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu LE License Experts

Weitere Artikel zu Invidis

Matchmaker+