Verfügbarkeit ist eine Ablenkung und wir fallen darauf herein

In einer perfekt ausgewogenen Welt wären Verfügbarkeit und Sicherheit gleich. Natürlich sind die Benutzer von Applications um die Sicherheit ihrer Daten ebenso besorgt wie um den Zugriff darauf.

Wir alle sind uns dessen bewusst, dass die Welt nicht perfekt ausgewogen ist. Die Wahrscheinlichkeit, dass Benutzer eine App löschen und sich von einer Marke abwenden, ist aufgrund von Verfügbarkeits- und Leistungsproblemen genauso groß – vielleicht sogar noch größer – wie aufgrund einer Verletzung des Datenschutzes.

Oh, sie machen immer noch einen Aufruhr wegen eines Bruchs. Aber es kostet im Allgemeinen das Unternehmen Geld und keine dedizierten Benutzer.

Diese Dichotomie spiegelt sich in den Prioritäten wider, die uns von Sicherheitsexperten im Application Protection Report 2018 von F5 Labs mitgeteilt wurden. Das Hauptanliegen von CISOs ist – anders als man aufgrund ihrer Berufsbezeichnung vielleicht vermuten könnte – nicht die Sicherheit. In einer früheren, sich auf CISOs konzentrierenden Studie mit dem Titel „ Die sich entwickelnde Rolle von CISOs und ihre Bedeutung für das Unternehmen “ gab eine Mehrheit der CISOs an, dass ihre größte Sorge die Verfügbarkeit sei und dass die Verhinderung von Application die wichtigste Aufgabe ihrer Organisationen sei.

Dies spiegelte sich auch in unserem bevorstehenden Bericht zum Stand der Netzwerkautomatisierung wider. Auf die Frage, welche Kennzahlen verwendet werden, um den Erfolg individuell und auf Teambasis zu messen, steht für 59 % der Sicherheitsexperten die „Netzwerkverfügbarkeit“ an erster Stelle, dicht gefolgt von der „Application “ mit fast der Hälfte (49 %) der Sicherheitsteilnehmer.

Unter dem Begriff Verfügbarkeit ist Leistung zusammengefasst. Geschwindigkeit gilt als eine Komponente der Verfügbarkeit und die Sicherheit wird häufig vernachlässigt, wenn es darum geht, erfolgreiche Angriffe zu erkennen. Da die für die Erkennung von Schadcode und Schaddaten entscheidende Datenprüfung kostspielig ist und zu Verzögerungen führt, wird ihre Durchführung oft als kontraproduktiv angesehen.

Der Fokus auf Verfügbarkeit ist für Angreifer von Vorteil. Im Bericht von F5 Labs heißt es, dass die Angreifer wissen, dass ihre Ziele auf Verfügbarkeit setzen: „ Angreifer planen DDoS-Angriffe auch als Ablenkungsmanöver, um Datendiebstahl und Betrugsangriffe zu vertuschen, die sie gleichzeitig durchführen, während die Administratoren abgelenkt sind .“ Diese als „Nebelwand“ bekannte Technik ist nichts Neues. Wie wir im Jahr 2017 festgestellt haben , sind Unternehmen zunehmend Ziel von volumetrischen DDoS-Angriffen, mit denen die wahren Absichten der Angreifer verborgen werden sollen.

Und die Verbraucher zahlen dafür.

Verfügbarkeit als Ablenkung

Angreifer nutzen unseren Fokus auf Verfügbarkeit zunehmend als Ablenkungsmanöver. Das ist beunruhigend, denn die Angreifer verschärfen ihre Taktik und nutzen jedes ihnen zur Verfügung stehende Werkzeug, um einen Weg durch die Netzwerke, Infrastrukturen und Applications zu finden, um an die Schatzkammer zu gelangen, die sich dahinter verbirgt: Daten. Der Punkt ist, dass Angreifer nicht nur Benutzer und Systeme ausnutzen, die zwischen ihnen und ihrem Ziel stehen. Heute nutzen sie die Daten auch selbst.

Im Application Protection Report 2018 von F5 Labs analysierten Forscher Datenschutzverletzungen und Angriffsdaten aus verschiedenen Quellen. Die Ergebnisse waren zwar nicht überraschend, aber beunruhigend.

Im ersten Quartal 2018 wiesen 70 % der analysierten Daten zu Datendiebstählen darauf hin, dass Web-Injection-Angriffe die Ursache waren. Das ist nicht überraschend, wenn Sie mitgelesen haben. 23 % aller Daten zu Datenschutzverletzungen im letzten Jahrzehnt wiesen darauf hin, dass der ursprüngliche Angriffsvektor SQL-Injection war. Es ist so weit verbreitet, dass es 2017 auf Platz eins der OWASP Top 10 gelistet war.

Tatsächlich waren fast die Hälfte (46 %) der Angriffe auf PHP-basierte Web-Apps Injektionsangriffe. Sicherheitsexperten sollten beachten, dass PHP allgegenwärtig ist. Builtwith.com , das die Technologien verfolgt, die zum Erstellen der Apps verwendet werden, aus denen das Internet besteht, stellt fest, dass 43 % der Top-Millionen-Websites mit PHP erstellt werden. In den USA gibt es nahezu achtzehn Millionen solcher Websites, und beinahe die Hälfte (47 %) der Top 10.000 verwendet diese Sprache.

Das ist ein weites Feld, aus dem Angreifer ihre Ziele auswählen können – und das tun sie auch. Von den mehr als 21.000 einzelnen Netzwerken, über die dem Bericht zufolge Angriffe durchgeführt wurden, zielten 58 Prozent auf PHP-basierte Websites ab.

Daten sind ein wachsendes (und profitables) Ziel

Damit Sie nicht mit dem Finger auf die verwendete Sprache zeigen, ist es wichtig zu beachten, dass die Forscher von F5 Labs auch davor warnen, Deserialisierungsangriffe im Auge zu behalten. Solche Angriffe sind nicht sprachspezifisch und zielen auf die Daten selbst ab. Aus dem Bericht:

„Serialisierung erfolgt, wenn Apps ihre Daten für den Transport in ein Format (normalerweise binär) konvertieren, typischerweise vom Server zum Webbrowser, vom Webbrowser zum Server oder von Maschine zu Maschine über APIs.“

Durch das Einbetten von Befehlen oder das Manipulieren von Parametern im Datenstrom gelangen Angriffe häufig ungefiltert direkt in die Application. Application oder Application , die die Daten nicht filtern oder bereinigen, können anfällig für Sicherheitslücken sein, wie es bei Apache Struts der Fall war. Deserialisierungsangriffe werden als so große Bedrohung angesehen, dass OWASP sie im letzten Jahr in seine Top-10-Liste aufgenommen hat. Angesichts der Tatsache, dass 148 Millionen US-Amerikaner und 15,2 Millionen Briten von genau dieser Sicherheitslücke betroffen waren, verdienen Deserialisierungsangriffe aufgrund ihrer relativ geringen Verbreitung in der Praxis mehr Aufmerksamkeit, als ihnen zuteil wird.

Bezeichnend für diese beiden Bedrohungen ist, dass sie alle ein gemeinsames Muster aufweisen: Auch den Daten kann man nicht trauen. Unabhängig davon, ob die Daten absichtlich verändert werden oder im Zuge legitimer Anfragen eingesetzt werden, sind Angriffe zunehmend im Datenstrom verborgen.

Doch damit Sie sich nicht zu sehr auf die App und ihre Daten konzentrieren, sollten Sie nicht außer Acht lassen, dass der Rest des Stapels genauso anfällig ist und wahrscheinlich das Ziel von Angriffen darstellt. Das anhaltende Vertrauen in schwache Verschlüsselungsverfahren wie das nicht mehr verwendete SSL und TLS 1.0 ist ein Grund zur Frustration. Diese Methoden wurden außer Dienst gestellt, da sie mit zahlreichen Unsicherheiten behaftet sind und es Angreifern erleichtern, sich Zugriff zu verschaffen.

Wie im Bericht vermerkt, „ werden etwa zweimal im Jahr neue, benannte Schwachstellen im TLS-Protokoll veröffentlicht.“ Mit Ausnahme von Heartbleed sind die meisten der genannten Schwachstellen im TLS-Protokoll allerdings rein akademischer Natur und werden nur selten für tatsächliche Sicherheitsverletzungen ausgenutzt. Zu den größten zählten 2014 die Community Health Systems (CHS). CHS verlor fast fünf Millionen Sozialversicherungsnummern, als ein Angreifer die Heartbleed-Sicherheitslücke ausnutzte .“

Geringe Bedrohung, hohes Risiko. Niemand möchte zu diesem seltenen Fall gehören, aber irgendwann passiert es jemandem.

Sicherheit und Verfügbarkeit sollten gleichberechtigt berücksichtigt werden

Die Realität ist, dass wir in ein Zeitalter eintreten, in dem es nicht mehr ausreicht, niemandem zu vertrauen. Wir müssen tiefer in den Stapel eintauchen, um Angriffe aufzuspüren, die darauf abzielen, die zum Schutz von Apps und Daten eingerichteten Schutzmaßnahmen zu deaktivieren und zu umgehen. Wir müssen den Application als Kontinuum betrachten, das ständig den Zustand des gesamten Application bewertet – vom Netzwerk über die Infrastruktur bis hin zu den Diensten. Das bedeutet, dass wir auf die Sicherheit unserer Daten ebenso viel Wert legen wie auf die Geschwindigkeit, mit der wir sie bereitstellen.

Wir müssen uns an Sicherheitsregel Null erinnern: Vertrauen Sie niemals Benutzereingaben. Und wir müssen auch bedenken, dass Benutzereingaben Daten enthalten. Dies bedeutet, dass die Sicherheit verstärkt werden muss, indem eingehende Daten überprüft werden und Wege gefunden werden, potenzielle Auswirkungen auf Leistung und Verfügbarkeit auszugleichen.

Es bedeutet, zu erkennen, dass Verfügbarkeit manchmal nur eine Ablenkung ist und dass wir es uns nicht leisten können, darauf hereinzufallen. Sicherheit verdient – und braucht – einen Platz am selben Tisch wie Verfügbarkeit und Leistung. Die Priorität eines CISO sollte die Sicherheit sein, nicht die Verfügbarkeit.

Denn wenn sich nicht der CISO für die Sicherheit einsetzt, wer dann?
 

Weitere Einblicke und Analysen finden Sie im Application Protection Report 2018 von F5 Labs , einschließlich hilfreicher Hinweise zu den Angriffen und Schutzmechanismen, die im gesamten Application vorhanden sind.