Breit angelegte Verteidigung

Mit Web Application Firewall gegen APT-Angriff vorgehen

Angreifer wählen immer ausgefeiltere Ansätze, um an sensible Informationen zu gelangen. Dabei richtet sich die "Advanced Persistent Threat" (APT) genannte Angriffsmethode nicht gegen einzelne Technologien, sondern sucht sich das schwächste Glied aus – ob Anwendung, Computer bzw. Speicher. Zum Schutz des Netzwerkes bedarf es daher einer breit angelegten Verteidigungsstrategie.

Verteidiger

Zum Schutz des Netzwerkes bedarf es einer breit angelegten Verteidigungsstrategie.

Alle mit dem Internet verbundenen Anwendungen müssen vor unautorisiertem Zugriff sowie einer wachsenden Zahl von Angriffsvektoren gesichert sein. Zu vermeiden sind insbesondere Datenlecks sensibler Informationen. So ist es beispielsweise die Zielsetzung des ‚Open Web Application Security Project’ (OWASP), den Schutz online verbundener Anwendungen zu verbessern. Die OWASP-Top-10-Liste führt die wichtigsten Bedrohungsszenarien gegen Netzwerkdienste auf. Ein typischer Ansatz, um das Risikopotential zu verringern, ist eine Web Application Firewall (WAF). Tritt eine Schwachstelle in einer Anwendung auf, ohne dass unmittelbar ein Patch verfügbar wäre, kann in Echtzeit eine neue WAF-Regel erstellt werden. Mit Diensten, welche die Firewalls regelmäßig mit Updates versorgen, ist ein kontinuierlicher Schutz gegeben. Dies senkt vor allem für kleinere Unternehmen den Aufwand.

Generell kann die Netzwerkinfrastruktur ein Opfer bösartiger oder zufälliger Aktionen von Administratoren werden. Fehlkonfigurationen können Daten offenlegen, die Leistung beeinflussen oder gar zu einem kompletten Ausfall führen. Aber auch scheinbar ‚unschuldige’ Geräte, wie mit Schadsoftware verseuchte USB-Sticks, können zu einem nahezu nicht nachweisbaren Abschöpfen von Daten führen. Hier leisten fortschrittliche analytische Techniken gute Dienste: sie erkennen ungewöhnliches Verhalten und warnen, wenn das Netzwerk kompromittiert wurde.

Herausforderungen rund um die Cloud


Wer jetzt denkt, dass damit alle Gefährdungen benannt und die Gefahr gar gebannt ist, übersieht die neuesten Entwicklungen der Netztechnik: Denn sich rasant durchsetzende Paradigmen wie software-definierte Netzwerke (SDN), Rechenzentren und Cloud-Infrastrukturen bringen neue Herausforderungen mit sich. Waren Rechenzentren und verknüpfte Netzwerke traditionell nur gemächlichen Veränderungen unterworfen, sind SDN und verwandte Technologien bei weitem dynamischer. Software-definierte oder cloud-basierte Infrastrukturen ändern sich viel schneller, so dass auch ihre Sicherheitseinstellungen ständig angepasst werden müssen.

So zählt der von Trustwave veröffentlichte „Spiderlabs 2015 Global Security Report Exploits“ Web-Applikationen zu den gefährlichsten Bedrohungen. Die Marktforscher ermittelten einen 49-prozentigen Anstieg von Fällen gestohlener personenbezogener Daten sowie Kartendaten. Es ist also geschäftskritisch zu wissen, wo sich die Unternehmensdaten befinden, sprich über welche Cloud-Plattformen sie sich bewegen, und ob diese die eigenen Sicherheitsstandards erfüllen. Entsprechende Service Level Agreements (SLAs) für Hybridarchitekturen – einschließlich privater On-Premise-Sicherheitsstandards – sind daher empfehlenswert.

Desweiteren sind Webseiten oftmals durch SQL-Injection verwundbar. Dabei erlangen Hacker Zugang zu in Datenbanken gespeicherten Karteninhaberdaten. Grund hierfür sind Mängel bei der Anwendungs-Codierung und Datenspeicherung auf Seiten der Cloud-Provider. Ähnlich verbreitet sind „Zero-day-Attacken“, die teilweise in nur einem Bruchteil einer Sekunde Malware einschleusen.

Schutz auf Applikationsebene


Vor diesem Hintergrund können Web Application Firewalls kundenspezifische Web-Applikationen punktgenau gegen Online-Angriffe. Application Delivery Controller (ADC) stellen deren hohe Verfügbarkeit, Skalierbarkeit und Sicherheit (auf Zugangsebene) sicher. Next Generation Firewalls und Intrusion Prevention Services (IPS) hingegen greifen meist zu kurz. Sie beschränken sich in der Regel auf bekannte Schwachstellen auf Netzwerkebene. Appliances mit WAF/ADC-Integration dehnen ihre Sicherheitskontrollen dagegen auf die Applikationsebene auf den Layer sieben aus.

Websites und Web-Applikationen, über die geschäftskritische Vorgänge wie Gehaltsabrechnung, Online-Banking und E-Commerce-Geschäfte abgewickelt werden, kombinieren häufig fehleranfälligen, benutzerdefinierten Code mit Cloud-Komponenten von Drittanbietern. Dabei fehlt oft die Interoperabilität mit internen Applikationen, die sich nicht immer durch die WAF/ADC-Filter betreiben lassen. Derzeit untersuchen beinahe nur Web Application Firewalls, beispielsweise von Kemp Technologies, verschlüsselt und unverschlüsselt eingehenden Netzverkehr. Sie verarbeiten web-basierenden Datenverkehr wie HTTP/HTTPS-Protokolle und können Vektoren moderner Angriffstypen auf Applikationsebene erkennen. Die Firewalls werden typischerweise zwischen dem internen Netzwerk und den Applikationsservern implementiert und arbeiten mit der vorhandenen Sicherheitsinfrastruktur zusammen.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2016. Bestellen Sie ein kostenfreies Probe-Abo.

Nicht zuletzt sind auch die Nutzer gefährdet, die dann wiederum das Netzwerk gefährden. Hilfreich sind Grundkenntnisse, wie sich persönliche Informationen schützen und Fallen wie Phishing und Malware umgehen lassen. Mehrstufige Authentifizierungsverfahren sollten einfache Passwörter ersetzen. Letztere sind laut Trustwave für 28 Prozent der Sicherheitsverstöße verantwortlich. Malware-Erkennung ist sowohl innerhalb des Netzwerkes als auch bei den Endgeräten ein Muss.

 

Open Web Application Security Project:


Die zehn größten Risiken für Webanwendungen
1. Injection
2. Fehler in Authentifizierung und Session-Management
3. Cross-Site-Scripting (XSS)
4. Unsichere direkte Objektreferenzen
5. Sicherheitsrelevante Fehlkonfiguration
6. Verlust der Vertraulichkeit sensibler Daten
7. Fehlerhafte Autorisierung auf Anwendungsebene
8. Cross-Site Request Forgery (CSRF)
9. Verwendung von Komponenten mit bekannten Schwachstellen
10. Ungeprüfte Um- und Weiterleitungen


Bildquelle: Thinkstock/Polka Dot

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok