BEDROHUNGEN UND SCHUTZMASSNAHMEN HANDBUCH FÜR … · 2019. 3. 4. · Anatomie eines einfachen Flooding-Angriffs ... und aufgrund eines der integrierten Befehle eine lange Antwort

Mehrschichtige Websicherheit | 1

HANDBUCH FÜR MEHRSCHICHTIGE WEBSICHERHEIT

BEDROHUNGEN UND SCHUTZMASSNAHMEN

http://akamai.com


INHALTSVERZEICHNIS

EINFÜHRUNG: Raus aus der Festung, rein ins Feuer .......................................................................4

KAPITEL 1 – Definition der Webbedrohungen von heute ...............................................................5

• DoS-/DDoS-Attacken auf das Netzwerk ................................................................................. 6

- Einfaches Flooding .......................................................................................................... 8

- Verstärkungsangriffe ...................................................................................................... 9

- Tools für DDoS-Attacken ............................................................................................... 10

• DoS-/DDoS-Attacken auf der Anwendungsebene ................................................................ 13

- Angriffe mit hoher Bandbreite ...................................................................................... 13

- Angriffe mit geringer Bandbreite ................................................................................... 14

• Angriffe, die auf einen Datendiebstahl abzielen ................................................................... 15

• DNS-Attacken ..................................................................................................................... 17

KAPITEL 2 – Ein mehrschichtiger Ansatz zum Schutz von Webanwendungen ...........................19

• Verteidigung gegen DDoS-Attacken auf Netzwerkebene ..................................................... 20

• Schutz von Anwendungen vor DDoS-Attacken und Datendiebstahl ..................................... 21


KAPITEL 3 – Ihre Optionen ...............................................................................................................22

• Hardware vor Ort ............................................................................................................ 23

• Cloud-basierte Services ................................................................................................... 24

KAPITEL 4 – Die Wahl der richtigen Lösung ...................................................................................26

• Schutz vor DoS-/DDoS-Attacken auf Netzwerkebene ...................................................... 27

• Schutz vor Angriffen auf Anwendungsebene .................................................................. 30

• Schutz vor DNS-Attacken ................................................................................................ 33

KAPITEL 5 – Vorbeugung im Internet: Gängige Sicherheitsrisiken von Webanwendungen und was Sie dagegen tun können .............34

• Wo liegen die häufigsten Sicherheitsrisiken? ................................................................... 35

• Handhabung der gängigsten Sicherheitsrisiken von Webanwendungen ........................... 36

ABSCHLIESSENDE BEMERKUNG ......................................................................................... 40

ANHANG: • Wichtige Websicherheitsexperten ................................................................................... 42

• Weiterführende Dokumente ........................................................................................... 43

�Zurück zum Inhaltsverzeichnis Mehrschichtige Websicherheit | 4

WARUM SOLLTE ICH DIESES HANDBUCH LESEN?

Den Rechenzentrums-Perimeter gibt es nicht mehr. Die Erinnerung an ihn lebt jedoch in der Art und Weise weiter, wie viele IT-Abteilungen auch heute noch ihre Infrastruktur sichern. Der kometenhafte Aufstieg des Internets brachte eine sich ständig verändernde Landschaft neuer Angriffe mit sich und machte den alten Modellen zum Schutz der IT-Infrastruktur in Unternehmen einen gehörigen Strich durch die Rechnung. Zuvor befanden sich alle zu schützenden Informationen in einer sicheren Festung, die von der IT kontrolliert wurde, nämlich einem gesicherten Rechenzentrum. Angriffe stammten in der Regel von außerhalb der festen Mauern des Rechenzentrums oder waren die Folge von Berechtigungsmissbrauch aus dem Inneren. Aus diesem Grund schützten Unternehmen die Grenzen mit Maßnahmen wie Firewalls und gingen mit strengen Rollen und Zugriffsberechtigungen gegen Angriffe aus dem Inneren vor.

EINFÜHRUNG – Raus aus der Festung, rein ins Feuer

KAPITEL 1 wirft einen Blick auf die Arten von Sicherheitsbedrohungen, mit denen Sie online rechnen müssen.

KAPITEL 2 beschreibt die erforderlichen Komponenten für den Schutz von Websites und Anwendungen.

KAPITEL 3 beleuchtet die verschiedenen Lösungsarten, die Ihnen zur Verfügung stehen.

KAPITEL 4 erklärt, worauf Sie bei einer Websicherheitslösung achten sollten.

KAPITEL 5 führt im Detail auf, wie Sie Sicherheitsrisiken auf Websites und in Anwendungen minimieren können.

Heute jedoch befinden sich immer mehr Websites und Anwendungen außerhalb des Rechenzentrums in der Cloud.

Wie lässt sich also ein Perimeter schützen, den es gar nicht mehr gibt? Zunächst müssen Sie verstehen, welche Ihrer Ressourcen am stärksten gefährdet sind, und die Risikotoleranz Ihres Unternehmens ermitteln. Dann müssen Sie dieses Risiko verwalten, indem Sie Ihre Sicherheitsmaßnahmen auf die Cloud erweitern und sich vor Angriffen über das Internet schützen. Dieser Leitfaden stellt Ihnen gängige Bedrohungen für Websites und Webanwendungen im Detail vor und erläutert, wie Sie sich vor diesen schützen können.


KOSTEN FÜR CYBERVERBRECHEN Ponemon Institute, Oktober 2013

1.288.710 USD Minimum

11.559.057 USD Durchschnitt

58.094.571 USD Maximum

Die teuersten Cyberverbrechen

werden durch Denial-of-Service,

schädlichen Code und Web-basierte

Angriffe verursacht. Diese Verbrechen

machen mehr als 55% der jährlichen

Kosten für Cyberverbrechen in

Unternehmen aus.

LINK }

KAPITEL 1

Die rasant gestiegene Beliebtheit von Websites und Web-basierten Anwendungen brachte eine wahre Explosion der Anzahl, Typen, des Umfangs und der Kosten von Angriffen mit sich, die sich speziell gegen die Sicherheitsrisiken dieser Systeme richten. Im Allgemeinen lassen sich diese Angriffe in zwei Kategorien aufteilen:

• Denial of Service (DoS)/Distributed Denial of Service (DDoS)

• Hacking-Angriffe, bei denen Daten gestohlen werden, wie SQL-Injection und andere Injection-Angriffe

KAPITEL 1 dieses E-Books erläutert diese Angriffe, ihre Vorgehensweise und ihre Auswirkungen auf Systeme und Nutzer.

Definition DER WEBBEDROHUNGEN VON HEUTE

http://media.scmagazine.com/documents/54/2013_us_ccc_report_final_6-1_13455.pdf


Die Größe volumenbasierter DoS- und DDoS-Attacken hat exponentiell zugenommen.

Eine der ersten öffentlich dokumentierten DoS-Attacken erfolgte am 6. September 1996 gegen Panix, einen in New York ansässigen ISP. Nicht identifizierte Angreifer nutzten eine SYN-Flood, um die verfügbaren Netzwerkverbindungen zu überlasten und legitime Nutzer am Zugriff auf die Panix-Server zu hindern. Für diesen Angriff wurden drei Computer eingesetzt, die einen Netzwerkverkehr von 48 Kbit/s generierten.

Im Vergleich dazu startete die Hacktivismus-Organisation Izz ad-Din al-Qassam Cyber Fighters (QCF) am 5. März 2013 eine Reihe von Angriffen auf US-Finanzinstitute, die mit insgesamt 3.200 Bots einen Spitzennetzwerkverkehr von 190 Gbit/s generierten.

Akamai schätzt, dass ein durchschnittlicher DDoS-Angriff bis zum Jahr 2020 einen Netzwerkdatenverkehr von 1,5 Tbit/s generieren wird.

Patrikakis, Charalampos, Masikos, Michalis, Zouraraki, Olga (Dezember 2004). Distributed Denial of Service Attacks. The Internet Protocol Journal – Volume 7, Number 4. Abgerufen von http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html

Litan, Avivah (März 2013). Are the ongoing DDoS attacks against U.S. banks just the calm before the storm? Gartner. Abgerufen von http://blogs.gartner.com/avivah-litan/2013/03/14/are-the-ongoing-ddos-attacks-against-u-s-banks-just-the-calm-before-the-storm/

DoS-/DDoS- Angriffe auf das Netzwerk

DoS-Attacken zählen zu den häufigsten Bedrohungen für Internetvorgänge.

Bei diesen Angriffen wird die Netzwerkbandbreite überlastet, sodass das

Netzwerk nicht mehr für seine legitimen Nutzer zur Verfügung steht.

Sie überfluten eine Website mit Unmengen an Datenverkehr, um die

Verbindungen zwischen dem Internet und dem Unternehmen zu stören.

Oft werden bei einem DDoS-Angriff (Distributed Denial-of-Service) mehrere

Knoten genutzt, um Datenverkehr an eine Website zu senden. Bei DDoS-

Attacken muss das angreifende System weniger Datenverkehr senden, wobei

die Auswirkungen auf das Ziel jedoch zunehmen.

Auf der Netzwerkebene tritt eine unglaubliche Vielzahl an DoS- und DDoS-

Angriffen auf. Diese lassen sich in zwei grobe Kategorien unterteilen: einfaches

Flooding und Amplification-Angriffe. Für die Erstellung beider Angriffsarten

stehen gleich mehrere automatisierte Tools zur Verfügung, sodass selbst

Personen ohne technisches Fachwissen schnell und einfach beliebige Websites

bedrohen können.

DIE ZUNEHMENDE GRÖSSE VON DOS-/DDOS-ATTACKEN Ponemon Institute, Oktober 2013

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html


Wer startet DoS-/DDoS-Attacken und warum? Um Ihre Infrastruktur strategisch zu schützen, müssen Sie verstehen, wer Sie mit größter Wahrscheinlichkeit angreift und welche Taktiken dabei zum Einsatz kommen. Zu den gängigsten Angreifertypen gehören:

• ERPRESSER – Erpresser drohen damit, eine Website zu deaktivieren (oder deaktivieren sie einfach), und fordern dann ein „Lösegeld“, um den Angriff zu vermeiden bzw. abzubrechen.

• DATENDIEBE – Datendiebe nutzen einen DoS-Angriff, um die Aufmerksamkeit von ihrem eigentlichen Ziel abzulenken, nämlich dem Diebstahl von Daten, die sich zu Geld machen lassen (beispielsweise von geistigem Eigentum oder Kreditkartendaten).

• HACKTIVISTEN – Hacktivisten unterscheiden sich von den anderen Angreifertypen. Sie zeichnen sich durch ein hohes Maß an Wut aus und möchten mit ihrem Angriff ein politisches Zeichen setzen oder die Aufmerksamkeit der Öffentlichkeit auf eine bestimmte Angelegenheit lenken. Ihre Angriffe scheinen mitunter wahllos und werden oft durch aktuelle Nachrichtenthemen beeinflusst. Entscheidend ist jedoch ihre Wut auf Ihr Unternehmen. Wenn ihr Angriff auf Sicherheitsmaßnahmen stößt, lassen sie im Gegensatz zu anderen Angreifern vermutlich nicht nach, um sich ein leichteres Ziel zu suchen. Hacktivisten werden manchmal jedoch als Sündenbock missbraucht, wobei andere Angreifer sich hinter den politisch motivierten Angriffen verstecken.

• WETTBEWERBER – Ihre Wettbewerber könnten versuchen, Ihre Website zu deaktivieren, um sich selbst einen Vorteil zu verschaffen. Möglicherweise stehlen sie auch Informationen von Ihrer Website, beispielsweise um Ihre Preisgestaltung in Erfahrung zu bringen und diese dann zu unterbieten.

„Wenn du dich und den Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten ... Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen.“

Sunzi, Die Kunst des Krieges

2013 gab die Hälfte aller in einer Studie von Ponemon Institute befragten Unternehmen an, dass sie Opfer eines Denial-of-Service-Angriffs waren, was im Vergleich zu 2012 einen Anstieg von 29% bedeutet.

DoS-Angriffe machten 21% der gesamten jährlichen Kosten für Cyberverbrechen aus.

2013 COST OF CYBER CRIME STUDY: United States

Ponemon Institute, Oktober 2013

LINK zum Bericht }

Falls Ihr Unternehmen das Ziel einer DDoS-Attacke war, besteht eine Chance von 1 zu 4 (25%), dass Sie innerhalb der nächsten drei Monate erneut angegriffen werden, und von 1 zu 3 (36%), dass ein weiterer Angriff innerhalb des gleichen Jahres erfolgt.

– Studien von Akamai

�Zurück zum Inhaltsverzeichnis

http://media.scmagazine.com/documents/54/2013_us_ccc_report_final_6-1_13455.pdf


Einfaches FloodingDie meisten DoS-Angriffe überlasten das Netzwerk bzw. die Infrastruktur. Flooding-Angriffe machen sich spezielle Protokolle zunutze, wie TCP, ICMP oder UDP, um eine große Anzahl an Anforderungen an ein Ziel zu senden und so die Netzwerkkapazität auszulasten.

DoS-Angriffe richten u. a wie folgt Schaden an:

• Auslastung der Netzwerkbandbreite

• Überlastung der verfügbaren Rechenressourcen, des Arbeitsspeichers, des Festplattenspeichers oder der Prozessorzeit

• Störung der Konfigurationsinformationen, beispielsweise der Weiterleitungsinformationen

• Unterbrechung der Statusinformationen, beispielsweise durch Zurücksetzen von TCP-Sitzungen

Flooding-Angriffe auf das DNSDas DNS hat sich zum bevorzugten Ziel für DoS-Flooding-Angriffe entwickelt. Das DNS ordnet den IP-Adressen, mit denen Computer die gewünschten Ressourcen finden, von Menschen lesbare Domänennamen zu. Wenn Sie auf eine Website zugreifen, ruft der DNS-Server die IP-Adresse des Domänennamens ab. Es gibt zwei Arten von DNS-Servern: genehmigende Server, die eine Datenbank mit IP-Adressen enthalten, und rekursive Server, die den genehmigenden Server im Namen des Clients abfragen. Viele Unternehmen stellen nur eine kleine Anzahl an DNS-Servern bereit. Dieser Umstand macht das DNS besonders anfällig für volumenbasierte Angriffe. Wenn Angreifer das DNS „überfluten“, müssen sie keine Webserver ausschalten. Stattdessen legen sie den DNS-Server lahm, um Nutzer daran zu hindern, die gewünschten Websites zu finden.

TCP-SYN-Flooding ist ein beliebtes Beispiel für einen einfachen Flooding-Angriff. Beim TCP-SYN-Flooding sendet das angreifende System eine TCP-SYN-Anforderung mit einer gefälschten IP-Quelladresse an einen Host. Diese TCP-SYN-Anforderungen scheinen im ersten Moment legitim. Die gefälschte Adresse verweist jedoch auf einen Client, der nicht

existiert, sodass die finale ACK-Nachricht niemals an den betroffenen Host gesendet wird. Das Ergebnis sind halb geöffnete Verbindungen am betroffenen Standort. Diese werden in einer Backlog-Warteschlange gespeichert, die die Ressourcen des Servers auslastet. Daraufhin sind keine legitimen Verbindungen mehr möglich, was zu einem Denial-of-Service führt.

SYN-ACK

SYN

?

SYN

Anatomie eines einfachen Flooding-Angriffs


Verstärkungsangriffe Angreifer suchen ständig nach Methoden, um die Größe ihrer Flooding-Angriffe zu erhöhen. Zwei häufig verwendete Methoden zur Verstärkung von Angriffen machen sich die DNS- und NTP-Protokolle zunutze:

DNS-Reflection- und Amplification-AngriffeDrei Eigenschaften von DNS-Servern machen gegenüber Reflektions- und Verstärkungsangriffen besonders anfällig:

• Einige rekursive Server beantworten Anfragen von jedem beliebigen Client.

• Das DNS basiert auf dem UDP-Protokoll (Universal Datagram Protocol), einem verbindungslosen Protokoll, das IP-Quelladressen nicht prüft, weshalb diese Adressen leicht gefälscht werden können.

• Eine kleine DNS-Anforderung kann eine große Menge an Daten als Antwort auslösen.

Um einen Angriff durchzuführen, sendet ein Angreifer eine Reihe von DNS-Abfragen an den rekursiven Server. Dabei wird die Quelladresse der Anforderungen zu der des gewünschten Ziels geändert. Die Anforderungen zielen auf eine deutlich größere Antwort ab, sodass etwa acht Mal mehr Datenverkehr am Ziel generiert wird, als empfangen wurde. Weitere Informationen zu DrDoS-Angriffen (Distributed Reflective Amplification Denial of Service) finden Sie in der Fallstudie „Global DDoS Attack“ von Prolexic für das 3. Quartal 2013. Den Bericht können Sie hier aufrufen.

NTP-VerstärkungsangriffeAnfang 214 kamen NTP-basierte Angriffe als wichtiges Werkzeug im DDoS-Arsenal auf. NTP ist das Network Time Protocol, das mit dem Internet verbundene Rechner zum Einstellen der Uhrzeit nutzen. Ebenso wie das DNS ist NTP ein einfaches UDP-basiertes Protokoll, das gegenüber Verstärkungsangriffen anfällig ist. Dies liegt daran, dass es auf ein Paket mit einer gefälschten IP-Quelladresse reagiert und aufgrund eines der integrierten Befehle eine lange Antwort auf eine kurze Anforderung sendet. Der Befehl „monlist“, der zu Überwachungszwecken an einen NTP-Server gesendet werden kann, gibt die Adressen der bis zu 600 letzten Rechner aus, mit denen der NTP-Server interagiert hat. Wenn ein Server mit der maximalen Anzahl an Adressen antwortet, kann eine Anforderung mit nur 234 Byte zu einer Antwort mit 100 Paketen und einem Volumen von mehr als 48 KB führen, was einen Verstärkungsfaktor von 206 bedeutet.

Im Februar 2014 nutzten Angreifer einen NTP-Reflection-Angriff für einen der größten aufgezeichneten DDoS-Angriffe der Geschichte mit knapp unter 400 Gbit/s.

LINK }

Lucian Constantin, „Slew of spoofs used in massive, record-breaking DDoS attack“, PC World, 11. Februar 2014.

http://www.prolexic.com/knowledge-center-dos-and-ddos-attack-reports.html

http://www.pcworld.com/article/2096720/attackers-use-ntp-reflection-in-huge-ddos-attack.html


Tools für DDoS-AttackenWirklich jeder kann mithilfe eines der vielen frei erhältlichen und unkomplizierten Tools innerhalb von Sekunden eine DDoS-Attacke starten. Diese Tools können zur Durchführung einfacher Flooding-Angriffe sowie von Verstärkungsangriffen genutzt werden.

BotnetsEin Botnet ist eine Zusammenstellung von PCs, die mit Malware infiziert wurden und zentral von einem Botmaster gesteuert werden. Der Botmaster kontrolliert diese Slave-Rechner über einen Command-and-Control-Server – einen zentralen Standort, über den infizierte Rechner Anweisungen erhalten. Ein Botnet kann locker Tausende oder Zehntausende infizierte Rechner umfassen. Der Botmaster nutzt all diese Rechner, um so viele Anforderungen wie möglich an einen einzelnen mit dem Internet verbundenen Computer oder Dienst zu senden und ihn so zu überlasten und daran zu hindern, legitime Anforderungen zu verarbeiten.

Low Orbit Ion CannonLow Orbit Ion Cannon (LOIC) wurde ursprünglich von Praetox Technologies als Open-Source-Tool zum Test der Netzwerkauslastung entwickelt und später öffentlich zur Verfügung gestellt. Mit LOIC werden DoS-Attacken zum Kinderspiel. Die Software bietet einem potenziellen Angreifer eine intuitive grafische Nutzeroberfläche.

Ein Botnet greift sein Opfer an

LINK }

Opfer

Angreifer

Master

Slaves

http://www.insecure.in/images/ddos.gif


Der Hacker nutzt diese Oberfläche, um eine URL einzugeben, eine Angriffsmethode auszuwählen (TCP, UDP, HTTP) und die Anforderung zu senden. Es dauert nur 60 Sekunden, um das Tool herunterzuladen, mehrere Verbindungen zum Zielserver zu öffnen und eine fortlaufende Abfolge von Nachrichten zu senden. Auch die berüchtigte Hackergruppe Anonymous, die sich zu Angriffen auf Sony, das FBI und andere US-Sicherheitseinrichtungen bekannt hat, setzte dieses Tool als Waffe ein. LOIC kam auch bei anderen Angriffen mit hohem Öffentlichkeitsinteresse auf PayPal, MasterCard und Visa zum Einsatz.

High Orbit Ion CannonHigh Orbit Ion Cannon (HOIC) stellt eine leistungsstarke Verbesserung von LOIC dar. Statt wiederholt einen einzelnen Website-Aufruf eines gefälschten Nutzers zu senden, nimmt HOIC Unterseiten ins Visier. HOIC generiert gefälschte Nutzer, die Begrüßungsseiten, Hilfeseiten und Artikelseiten sowie alle anderen Inhalte einer betroffenen Website besuchen. Bei dieser Taktik können einige Firewalls nicht erkennen, dass es sich um einen Angriff handelt. Selbst wenn die Firewall dem Angriff auf die Schliche kommt, hat sie Probleme damit, die Verbindung zu schließen, da HOIC mehrere gefälschte Nutzer an mehrere Seiten innerhalb einer Domäne sendet. Einen Bedrohungsbericht zu HOIC können Sie auf der Akamai-Website herunterladen. }

BrobotOperation Ababil, eine DDoS-Initiative, die vermutlich von der Hacktivismus-Gruppe Izz ad-Din al-Qassam Cyber Fighters unterwandert wurde, nutzt ein modifiziertes russisches Skript-Toolkit, das unter dem Namen Brobot bekannt ist, um US-Banken ins Visier zu nehmen. Die Gruppe erkennt anfällige Software-Erweiterungen auf Computern, die mit breitbandintensiven Websites und Rechenzentren für Webhosting verbunden sind. Anschließend

WIRTSCHAFTLICHE DDOS-ANGRIFFE

Wenn Ihre Anwendung von einem Cloud-Dienstanbieter gehostet wird, kann die Cloud-Infrastruktur erweitert werden, um Datenverkehrsspitzen während einer DDoS-Attacke zu bewältigen. In der Regel bezahlen Sie für die von Ihnen genutzte Bandbreite. Wenn ein DDoS-Angriff wichtige Ressourcen auslastet, sind Ihre Server so weiterhin aktiv – doch Sie können es sich möglicherweise nicht leisten, dass das auch so bleibt. Die Kosten für CPU oder Bandbreite in gehosteten Umgebungen, wie bei Amazon Web Services, können sich schnell summieren.

http://www.prolexic.com/knowledge-center-dos-and-ddos-threat-advisories.html



kompromittiert und steuert sie diese Computer, indem sie einen nahezu unsichtbaren eingebetteten Code in den HTML-Code dieser Erweiterungen einschleust. Diese Botnet-Slave-Computer mit hoher Bandbreite können dann die Websites der Banken mit leistungsstarken DDoS-Angriffen mit einer Größe von bis zu 190 Gbit/s bombardieren. Einen Bedrohungsbericht zum „itsoknoproblembro“-Toolkit mit Erkennungsregeln zur Identifizierung infizierter Webserver (bRobots) können Sie hier herunterladen. }

Die Top 10 der DDoS-Trends 2013

2013 stellte ein Rekordjahr für DDoS-Angriffsaktivitäten dar, wie diese Infografik zu

DDoS-Trends zeigt.

Laut einer Studie von Prolexik stieg das DDoS-

Angriffsvolumen im Vergleich zum Vorjahr um

ganze 32%.



Akamai-Kunden meldeten 768 Angriffe auf Anwendungsebene im Jahr 2012 sowie 1153 Angriffe im Jahr 2013 – also ein Zuwachs von 50% im Jahresvergleich.

Weitere Informationen finden Sie im „State of the Internet Report“ von Akamai: http://www.akamai.com/stateofthe internet/

LINK }

Veracode schätzt, das drei von vier Unternehmen zu einem beliebigen Zeitpunkt Opfer von Webanwendungs-Exploits werden und Webanwendungen 54% der gesamten durch Hacking verursachten Datensicherheitsverletzungen ausmachen.

DuPaul, Neil (Juli 2013). Infografik „The Real Cost of a Data Breach“. Abgerufen von http://www.veracode.com/

blog/2013/07/the-real-cost-of-a-databreach-infographic/

Die Netzwerkebene ist nicht länger das einzige Ziel von DDoS-Angriffen. Angriffe auf Anwendungsebene erfreuen sich immer größerer Beliebtheit. Sie sehen auf den ersten Blick wie legitime Anforderungen aus, verursachen jedoch einen Denial-of-Service, indem sie die Kapazitäten der Webanwendungsserver erschöpfen. Diese Angriffe können dazu führen, dass der Server erhebliche Rechenressourcen für jede Anforderung aufwendet, eine schwächere Leistung zeigt oder unterschiedliche Ergebnisse für jede Anforderung ausgibt, um die Zwischenspeicherung auf dem Server zu vermeiden.

Angriffe mit hoher BandbreiteAngriffe auf Anwendungsebene mit hoher Bandbreite bombardieren in der Regel ressourcenlastige Seiten mit GET- oder POST-Anforderungen und setzten die Verbindung immer wieder zurück, um die Sitzungs- und Speicherkapazität des Servers zu überlasten. Alternativ generieren sie komplexe, rechenintensive Anforderungen oder rufen große Dateien von der Website ab, beispielsweise PDFs. Das Ergebnis ist eine übermäßige Ressourcennutzung, die Server praktisch lahmlegt, sodass sie nicht mehr auf legitimen Datenverkehr reagieren können. Beispiele für derartige Angriffe:

DoS-/DDoS- Attacken auf der Anwendungsebene

http://www.akamai.com/stateoftheinternet/

http://www.veracode.com/blog/2013/07/the-real-cost-of-a-databreach-infographic/

http://www.veracode.com/blog/2013/07/the-real-cost-of-a-databreach-infographic/


eine geringere Bandbreite erfordern. Und da Angreifer oft legitime Anwendungsfunktionen nutzen, ist nicht immer offensichtlich, ob es sich um einen Angriff oder legitimen Datenverkehr handelt. Das gestaltet die Verteidigung gegen diese Angriffe deutlich schwerer.

Bei einigen Beispielen für Angriffe mit geringer Bandbreite werden die Ressourcen offen gehalten oder Einkaufswagen angegriffen:

Angriffe, die Ressourcen offen halten Bei einigen Angriffen werden die Ressourcen offen gehalten, um die Serververbindungs-Pools und -Ressourcen auszulasten. Dieser Ansatz ist deutlich effizienter als die Überflutung mit GET-Anforderungen. Statt Tausender von fortlaufenden Anforderungen sind nur Hunderte Anforderungen in regelmäßigen Intervallen erforderlich, um eine große Website mit einem einzelnen Gerät auszuschalten. Zum Beispiel:

• Slowloris stellt langsam Anforderungs-Header bereit und zwingt somit den Webserver, die Verbindungen aufrechtzuerhalten, ohne die Anforderungen abzuschließen. Diese Vorgehensweise führt schnell zu einer Auslastung des Verbindungs-Pools auf dem Server.

• Slow HTTP POST stellt den Nachrichtentext langsam bereit, um die Webserverressourcen auszulasten.

• Slow Read verkleinert das TCP-Fenster auf Client-Seite. Dadurch wird der Server gezwungen, Daten sehr langsam an den Client zu senden. Der Server muss die Verbindungen aufrecht erhalten, und weitere Ressourcen werden geöffnet, um sicherzustellen, dass die Daten gesendet werden. So lässt sich eine schnelle Überlastung erreichen.

• SSL-Exploits – Der Datenverkehr einiger Seiten, wie der Anmeldeseite, muss mit SSL verschlüsselt werden, um die Nutzeranmeldedaten während der Übertragung zu schützen. Der Aufbau eines SSL-Handshakes erfordert neun Schritte, bei denen teilweise komplexe kryptografische und Schlüsselerzeugungs-Vorgänge durchgeführt werden. Wenn ein Angreifer ein Botnet zum gleichzeitigen Aufbau mehrerer SSL-Sitzungen nutzt, ist die Anwendung nicht mehr verfügbar, da das System mit der Verarbeitung der vorhergehenden Anforderungen ausgelastet ist.

• Datenbanküberlastung – Eine datenbankbasierte Seite, beispielsweise eine Händlersuche, muss bei jeder Anforderung die Datenbank abfragen. Dies erfordert in der Regel eine große Anzahl unterschiedlicher oder komplexer Datenbanktransaktionen sowie eine Überprüfung auf Feldebene und andere Methoden zur Abwehr anderer Angriffe auf Anwendungsebene. Durch das Senden derartiger Anforderungen wird der Datenbankserver wiederholt überlastet.

• Angriffe auf Formularseiten – Formularseiten müssen bei jeder Anforderung auf eine Datenbank zugreifen. Angreifer können eine unnötige Datenbankverarbeitung verursachen, beispielsweise indem sie zufällige Zahlen anstelle von echten Postleitzahlen verwenden oder indem sie überlange Kennwörter eingeben.

Angriffe mit geringer Bandbreite Viele Angriffe auf Anwendungsebene beruhen darauf, dass der Hacker die Anwendung und ihre Sicherheitslücken genauestens kennt. Diese Angriffe können deutlich effizienter als ein Bombardement des Netzwerks sein, da sie deutlich weniger Angriffsknoten und


Bei einem spektakulären Angriff nutzte eine

Hacktivismus-Gruppe SQL-Injection zum Diebstahl

von Daten zu mehr als 1,6 Millionen Konten bei US-

Regierungsorganisationen, darunter der NASA, dem

FBI und dem Pentagon.

VII. Newton, Casey (Dezember 2012). GhostShell claims breach of 1.6M accounts at FBI, NASA, and more. Abgerufen von http://news.cnet.com/8301-1009_3-57558338-83/ghostshell-claims-breach-of-1.6m-accounts-at-fbi-nasa-and-more/

Manchmal gehen DoS-Angriffe auch mit Datenangriffen Hand in Hand, indem sie als Ablenkung fungieren, während der Hacker Daten stiehlt. Dell SecureWorks Counter Threat Unit meldete, dass ein beliebtes DDoS-Toolkit namens „Dirt Jumper“ genutzt wurde, um die Aufmerksamkeit von Bankmitarbeitern von betrügerischen Überweisungen im Wert von bis zu 2,1 Millionen USD abzulenken.

Brenner, Bill (August 2013), DDoS Attacks Used as a Cover for Other Crimes

LINK }

Missbrauch von Einkaufswagen Ein Angreifer kann mehrere Artikel in einen Einkaufwagen legen, ihn eine Zeitlang verlassen und dann zurückkehren und den Einkaufswagen aktualisieren. Dadurch wird der Sitzungsablauf verschoben, und die Datenbank muss den Einkaufswagen neu laden. Wenn der Angreifer eine große Menge an Artikeln in den Einkaufswagen legt, verbraucht dieser Vorgang eine deutliche Menge an Ressourcen.

Angriffe, die auf einen Datendiebstahl abzielen Während DoS-/DDoS-Angriffe die Erreichbarkeit Ihrer Website stören, wirken Angriffe, die auf einen Datendiebstahl abzielen, sich mitunter direkt auf Ihre Erträge aus. Unternehmen haben immer häufiger mit Datendiebstahlversuchen zu kämpfen. Diese Angriffe machen sich in der Regel die Sicherheitsrisiken von Webanwendungen zunutze und sind oftmals nur schwer zu erkennen, da der von ihnen generierte Anwendungsdatenverkehr für herkömmliche Sicherheits-Tools auf Netzwerkebene legitim erscheint.

Bei einem versuchten Datendiebstahl werden in den meisten Fällen Injection-Angriffe eingesetzt. Bei diesen Attacken fügt ein Hacker Befehle in eine anfällige Webanwendung ein. Der Angreifer kann dann diese Befehle ausführen, um Daten anzuzeigen und zu löschen oder den Rechner zu übernehmen. Injection-Fehler treten auf, wenn die Anwendung die eingegebenen Daten nicht auf Richtigkeit überprüft. Ein Angreifer kann so die Eingabe manipulieren, um nicht vertrauenswürdige Daten in einen Befehl oder eine Abfrage einzuschleusen. Zu den gängigsten Injection-Angriffen zählen SQL-Injection, Remote File Inclusion und Local File Inclusion:

https://blogs.akamai.com/2013/08/DDoS-Attacks-Used-As-Cover-For-Other-Crimes.html


SQL-Injection SQL-Injection nutzt Programmierungsfehler in Webanwendungen aus, über die Hacker beispielsweise SQL-Befehle in ein Anmeldeformular einfügen und so direkt die auf einer Website gespeicherten Daten abfragen können. Funktionen wie Anmeldeseiten, Support- und Produktanforderungsformulare, Feedback-Formulare, Suchseiten und Einkaufswagen sind alle für SQL-Injection-Angriffe anfällig.

Remote File Inclusion Remote File Inclusion (RFI) bezeichnet ein Website-Sicherheitsrisiko, über das ein Angreifer mithilfe eines Skripts eine Remote-Datei auf den Webserver einschleusen kann. Anschließend hat der Hacker freie Hand und kann beispielsweise Code auf dem Webserver ausführen, um temporär Daten zu stehlen oder die Kontrolle über einen anfälligen Server zu übernehmen.

Local File Inclusion Local File Inclusion (LFI) ähnelt der Remote File Inclusion. Statt Remote-Dateien können jedoch nur lokale Dateien, d. h. Dateien auf dem aktuellen Server, eingefügt werden.

Kontenprüferangriffe Der Kontenprüfer ist eine weitere beliebte Angriffsmethode, die auf Kundendaten abzielt. Diese Angriffe treten auf, wenn Cyberkriminelle automatisierte Angriffs-Tools und Skripte (so genannte Kontenprüfer) einsetzen, um gültige Kombinationen aus Nutzer-ID/Kennwort zu

bestimmen. Sobald das Konto kompromittiert wurde, erfasst der Angreifer die persönlichen Daten und Kreditkarteninformationen eines Nutzers, um sie zu Betrugszwecken einzusetzen. Angreifer verstecken ihre Angriffe, indem sie eine Liste von offenen Proxys durchlaufen. Kontenprüferangriffe können auch einen DDoS verursachen, wenn der Angreifer seine Tools nicht richtig konfiguriert. In diesem Fall probiert das Tool so schnell wie möglich verschiedene Nutzernamen und Kennwörter aus, was die Zielserver überlastet.


Im dritten Quartal 2013 bekannte die Syrische

Elektronische Armee (SEA), eine Hacktivismus-Gruppe,

die das Regime des syrischen Präsidenten Baschar

Hafiz al-Assad unterstützt, sich zu einer Reihe von

Phishing-Angriffen auf DNS-Registrierungen mehrerer

Unternehmen. Einer dieser Angriffe kompromittierte

ein Verwaltungskonto einer Inhaltserkennungs-Engine

eines Drittanbieters. Im Rahmen des Angriffs wurde

schädlicher Code in die an Kunden bereitgestellten

Inhalte eingeschleust. Über diese Angriffe konnte

die SEA den Datenverkehr von legitimen Domänen

an Domänen unter ihrer Kontrolle weiterleiten.

Alle Besucher der betroffenen Websites wurden

an syrianelectronicarmy.com weitergeleitet, eine

Propagandaseite der SEA.

„State of the Internet“-Bericht von Akamai für Q3 2013

LINK }

DNS-Attacken Das DNS bildet eine Schwachstelle in der Websicherheit. Neben DDoS- und Amplification-Angriffen ist das DNS auch für weitere Bedrohungen anfällig, wie Hijacking der Registrierungsstelle und Weiterleitungs-/Cache-Poisoning.

Registrierungs-HijackingDie Domänennamen-Registrierung verwaltet die Reservierung von Internet-Domänennamen. Beim Registrierungs-Hijacking wird Social Engineering eingesetzt, um die Kundendienstmitarbeiter der Registrierung zu beeinflussen. Wenn ein Angreifer über einen Phishing-Angriff das Konto eines Unternehmens bei der Registrierung kompromittiert, erhält er die Kontrolle über den Domänennamen und kann diesen auf einen Server seiner Wahl umleiten, beispielsweise Namensserver, Webserver, E-Mail-Server usw. Die Domäne kann sogar an einen neuen Besitzer übertragen werden.

Umleitung/Cache-PoisoningBei DNS-Umleitungsangriffen leitet der Angreifer DNS-Namensanforderungen an Server weiter, die unter der Kontrolle des Angreifers stehen. Dazu wird ein falsches Weiterleitungsprotokoll angegeben, das den Datenverkehr an die Server des Angreifers überträgt. Alternativ können Angreifer den Cache eines DNS-Servers mit falschen DNS-Daten überfluten, die nachfolgende Anforderungen an Server unter der Kontrolle des Angreifers weiterleiten.



1,5TBIT/S GENERIEREN WIRD.

A K A M A I S C H Ä T Z T , D A S S E I N DURCHSCHNITTLICHER DDOS-ANGRIFF IM JAHR 2020 EINEN NETZWERKDATENVERKEHR VON


DoS-/DDoS-Angriffe, die auf die

Netzwerkebene und die Anwendungsebene

abzielen, nutzen unterschiedliche Techniken.

Ihr Unternehmen muss sich vor beiden schützen

können. Ganz gleich, welches Tool Sie verwenden –

Ihr Unternehmen benötigt einen mehrschichtigen

Ansatz zum Schutz von Webanwendungen vor

Denial-of-Service-Angriffen und Datendiebstahl.

Maßnahmen zur Minimierung von Sicherheitsrisiken

in Anwendungen schützen sowohl vor DoS-

Angriffen auf Anwendungsebene als auch vor

Datendiebstahlversuchen.

KAPITEL 2

Ein mehrschichtiger Ansatz

zum SCHUTZ VON WEBANWENDUNGEN


Die Verteidigung gegen DDoS-Attacken auf Netzwerkebene

erfordert einen zweiseitigen Ansatz. Zunächst benötigen

Sie genügend Netzwerkbandbreite, um massive

Datenverkehrsmengen einfach bewältigen zu können.

Des Weiteren müssen Sie Angriffsdatenverkehr ausfiltern

können, um legitimen Datenverkehr zuzulassen und

Angriffsdatenverkehr abzulehnen.

Verteidigung gegen DDoS-Attacken auf Netzwerkebene


Viele Sicherheitsrisiken auf Anwendungsebene lassen sich durch

angemessene Vorbeugungsmaßnahmen für Webanwendungen

und einen sicheren Software-Entwicklungszyklus vermeiden.

Beispielsweise sollten Sie jede Anwendung durch eine sichere

Konfiguration und zeitnahe Updates und Patches abhärten.

Entwickler sollten bei allen Anwendungsanforderungen

und in der Architektur- und Designphase die Sicherheit stets

berücksichtigen. Zudem sollten Sicherheitsmaßnahmen in die

Software integriert werden, beispielsweise eine angemessene

Eingabeprüfung, um sicherzustellen, dass die Anwendung

nicht für Injection-Angriffe anfällig ist. Alle Konfigurationen

und Anwendungen sollten gründlich auf Sicherheitsrisiken

getestet werden. Weitere Informationen zu einer angemessenen

Vorbeugung für Webanwendungen finden Sie in Kapitel 5.

Schutz von Anwendungen vor DDoS-Attacken und Datendiebstahl

Die Internet-Vorbeugung ist jedoch in den wenigsten Fällen

perfekt. Daher empfiehlt es sich, zum Schutz vor offenen

Sicherheitsrisiken eine Web Application Firewall (WAF)

zu implementieren. Die WAF bietet virtuelle Patches über

integrierte Regeln, die vor neuen Bedrohungen schützen,

bis Ihre IT-Mitarbeiter den tatsächlichen Patch anwenden

können. Die WAF stellt auch eine weitere Verteidigungslinie

für Datenbedrohungen (wie SQL-Injection-Angriffe, die die

Sicherheitsrisiken der Anwendungsebene ausnutzen) und

DoS-Attacken auf Anwendungsebene (wie die Slowloris-

Sitzungsmanipulation) dar. Natürlich kann eine einzelne

WAF wie jede andere Komponente von einem DOS-Angriff

überwältigt werden. Daher benötigt auch die WAF Anti-DoS-

Funktionen und einen architektonischen Schutz vor Brute-

Force-Angriffen. Worauf Sie bei einer WAF achten müssen,

erfahren Sie in Kapitel 4.


Sicherheitslösungen sind niemals Einheitslösungen.

Sie müssen daher unbedingt Ihre Ressourcen und Risiken

kennen, um die richtige Lösung für Ihr Unternehmen

zu finden. Es sind kommerzielle Lösungen erhältlich,

die die verschiedenen in Kapitel 2 dieses Handbuchs

beschriebenen Aspekte der Webanwendungssicherheit

abdecken. Dazu gehören Hardware vor Ort und Cloud-

basierte Dienste.

KAPITEL 3

Ihre OPTIONEN


Die meisten Unternehmen vertrauen in puncto Sicherheit auf Hardware, die vor Ort in ihren Rechenzentren installiert ist, wie Netzwerk-Firewalls, DDoS-Abwehrmechanismen und eine WAF. Die Installation und Implementierung dieser Geräte vor Ort erfordert hohe anfängliche Kapitalinvestitionen mit einem typischen Hardware-Lebenszyklus und einer Abschreibung von zwei bis drei Jahren. Angesichts des derzeitigen Fachkräftemangels ist die Einstellung von Experten mit den entsprechenden Fachkenntnissen zur Nutzung dieser Hardware für die Angriffsabwehr mitunter mit hohen Kosten und Schwierigkeiten verbunden.

Zudem kann die Verteidigung gegenüber Angriffen auf Anwendungsebene erhebliche Ressourcen verschlingen. WAFs erfordern eine große Menge an Rechenressourcen und Verarbeitungsaufwand, was die Performance beeinträchtigen kann.

Die meisten Geräte stellen einen Single-Point-of-Failure dar, da sie DDoS-Angriffe nicht ohne Ausfälle absorbieren können. Zudem versucht Hardware vor Ort wie der Name schon sagt erst dann, einen DDoS-Angriff abzuwehren, wenn dieser bereits

in das Rechenzentrum vorgedrungen ist. In Bezug auf die gängigsten Sicherheitsbedrohungen bildet dies einen Single-Point-of-Failure. Wenn Ihr Unternehmen außerdem nicht über eine ausreichend dimensionierte Internet-Verbindung verfügt, verzehrt der Angriff die gesamte verfügbare Bandbreite und verursacht so einen Ausfall des gesamten Rechenzentrums. Alternativ kann ein Angriff auch andere Bestandteile der Rechenzentrumsinfrastruktur lahmlegen, wie Router, Netzwerk-Firewalls oder Lastausgleicher. Selbst wenn die Lösungen eine wirksame Verteidigung gegen Angriffe bieten, können bandbreitenintensive Angriffe die Performance für legitime Nutzer beeinträchtigen. Angesichts der steilen Wachstumsraten von DDoS-Angriffen müssen Unternehmen weiterhin zusätzliche Bandbreite bereitstellen, um eine ausreichende Skalierung zu erreichen. Bei mehreren Rechenzentren steigen die Kosten so schnell exponentiell.

Hardware vor Ort


Cloud-basierte Dienste befinden sich außerhalb des Rechenzentrums eines Unternehmens, um den Datenverkehr zu sichern, bevor er die interne Infrastruktur erreicht. Es gibt zwei Hauptarten von Cloud-basierten Anti-DoS-/DDoS-Diensten: Dienste, die verdächtigen Datenverkehr an einen zentralen Standort weiterleiten, an dem der schädliche Datenverkehr herausgefiltert wird, und Website-Schutzdienste, die Content Delivery Networks (CDNs) zur Absorption und Untersuchung schädlichen Datenverkehrs über ein verteiltes Netzwerk an Servern nutzen, um die Websites und Anwendungen des Unternehmens abzuschirmen.

Anbieter für DDoS-AbwehrAnbieter für DDoS-Abwehr betreiben „Scrubbing-Zentren“, in denen eine Zusammenstellung von Geräten, technischen Regeln und direkter Nutzerinteraktion zum Schutz vor DoS- und DDoS-Attacken eingesetzt wird. Diese privaten Rechenzentren verfügen über eine hohe Bandbreite, um eingehende Floods zu verarbeiten und die Verfügbarkeit der Websites zu gewährleisten.

Diese Unternehmen stellen einige der umfassendsten Schutzmaßnahmen für DoS-/DDoS-Attacken bereit, da sie alle

Arten von Angriffen von einfachen Flooding-Angriffen bis hin zu auf HTTP/S, FTP und anderen Nicht-Webanwendungen basierenden Angriffen verarbeiten.

Derartige Dienste können „dauerhaft aktiv“ (Always on) oder „nach Bedarf“ (On Demand) angeboten werden.

• Always-on-Dienste überwachen den Datenverkehr fortlaufend auf verdächtige Aktivitäten, die auf einen Angriff hinweisen. Die Always-on-Abwehr fungiert als Stoßdämpfer, der das Netzwerk des Kunden vor dem ersten großen Schlag eines DDoS-Angriffs schützt und damit einen besseren Schutz vor kostspieligen Website-Ausfallzeiten bietet.

• On-Demand-Optionen bieten eine bessere Performance und sind erschwinglicher. Über standardmäßige IP-Weiterleitungsprotokolle kann eingehender Datenverkehr einfach abgefangen und mit Out-of-Band-Abwehrdiensten auf Anomalien geprüft werden. Der ausgehende Datenverkehr wird nicht geprüft und kann seinen normalen Pfad fortsetzen. Legitimer Datenverkehr wird erkannt und weitergeleitet, während schädlicher Angriffsdatenverkehr verworfen bzw. „gescrubbt“ wird.

Cloud-basierte Dienste


Beide Dienstarten verfügen jedoch über potenzielle Probleme, die es zu beachten gilt. Always-on-SOC-Dienste sind teurer, und die fortlaufende Überprüfung des Datenverkehrs beeinträchtigt die Website-Performance. Wenn Ihr Unternehmen eine On-Demand-Lösung nutzt, müssen Sie festlegen, wann der Dienst aktiviert werden soll, und zur Aktivierung den Anbieter kontaktieren. On-Demand-Lösungen sind zudem nicht in der Lage, Angriffe zu erkennen, die nach und nach erfolgen, wie SQL-Injection. Dies setzt Unternehmen der Gefahr von Angriffen aus, die auf Datendiebstahl oder Schädigungen des Markenrufs abzielen.

Website-Schutzdienste Anbieter von Website-Schutzdiensten nutzen CDNs zur Bereitstellung von Sicherheit auf Anwendungsebene für Websites und Anwendungen. Diese Netzwerke stellen sich als Cloud-basierte Proxys vor Ihre IT-Infrastruktur und stellen Datenverkehr von Ihren Endnutzern an Ihre Websites und Anwendungen bereit. Die Cloud-Plattform überprüft den Netzwerkdatenverkehr auf bekannte Angriffsmuster und leitet nur legitimen Datenverkehr an die Webanwendung weiter.

Da diese Lösungen integriert ausgeführt werden, ist Ihr Unternehmen jederzeit ganz ohne Nutzereingriff geschützt. Somit lassen sich auch Angriffe abwehren, die neu oder noch nicht aufgetreten sind. Einige Dienste nutzen WAF-Technologie und

bieten damit Schutz vor Angriffen auf Anwendungsebene, wie SQL-Injection.

CDNs basieren auf einer verteilten Architektur, d. h. aus verschiedenen Servern auf der ganzen Welt. Damit eine DoS-Attacke erfolgreich ist, müsste sie jeden einzelnen dieser Server gleichzeitig ins Visier nehmen und überwältigen. CDNs sind speziell auf die Verarbeitung großer Datenverkehrsvolumen ausgelegt, sodass diese Aufgabe für Angreifer zur Herausforderung wird. Gleichzeitig bieten diese Lösung Beschleunigungsdienste zur parallelen Verringerung der Performance-Einbußen und Verbesserung der End-to-End-Performance Ihrer Webanwendung.

Ein potenzielles Problem für CDNs ist, dass einige dieser Lösungen von kleineren Anbietern stammen, die nicht über die nötige Infrastruktur für einen globalen Schutz und/oder einen Schutz vor großen DDoS-Attacken verfügen. In den vergangenen Jahren traten bei verschiedenen Anbietern schwerwiegende Ausfälle auf, und Kunden wurden durch DDoS-Angriffe auf andere Kunden beeinträchtigt. Zudem müssen Kunden aufgrund eines mangelnden oder eingeschränkten Kunden-Supports ihre Angriffsreaktion ggf. selbst verwalten. Einige CDNs umfassen außerdem keine WAF-Technologie, und andere wiederum keinen ausreichenden Schutz vor vielen Angriffen auf Anwendungsebene.


Die Wahl der richtigen LÖSUNG

KAPITEL 4

Jedes Unternehmen ist anders. Die müssen daher

eine Lösung finden, die auf Ihre Anforderungen

zugeschnitten ist. In diesem Abschnitt des Handbuchs

erfahren Sie, welche Fragen Sie stellen müssen, um

die richtigen Entscheidungen für Ihr Unternehmen zu

treffen.


IDG Research hat herausgefunden, dass es im Schnitt zehn Stunden dauert, bevor ein Unternehmen überhaupt beginnen kann, einen DDoS-Angriff abzuwehren. Durchschnittlich wird ein DDoS-Angriff erst 4,5 Stunden nach seinem Beginn erkannt, und weitere 4,9 Stunden vergehen, bevor die Abwehrmaßnahmen in die Wege geleitet werden können. Angesichts von durchschnittlichen Ausfallkosten in Höhe von 100.000 USD pro Stunde kann eine DDoS-Attacke ein vom Internet abhängiges Unternehmen schnell 1 Million USD kosten – und zwar noch bevor überhaupt mit der Angriffsabwehr begonnen wird.

Quelle: http://www.infosecurity-magazine.com/view/35238/a-ddos-attack-could-cost-1-million-before-mitigation-even-starts

LINK }

Die Verteidigung gegenüber volumenbasierten DoS-Attacken auf der Netzwerkebene erfordert eine zuverlässige Netzwerkarchitektur, die hohe Datenverkehrsspitzen abfangen und sämtlichen Datenverkehr ausfiltern kann, um sicherzustellen, dass nur der Webdatenverkehr in das Netzwerk gelangt. Auf den folgenden Seiten werden die zentralen Punkte erläutert:

Bietet die Lösung einen positiven Schutz?Viele DDoS-Attacken auf Netzwerkebene lassen sich aufhalten, indem nur legitimer HTTP-Datenverkehr im Netzwerk zugelassen wird, z. B. Port 80 (HTTP) oder Port 443 (HTTPS). Die Lösung sollte jeglichen Nicht-Anwendungsdatenverkehr verwerfen, wie übermäßige TCP-SYN-Pakete, ICMP-Paketfluten oder UDP-Pakete ohne Anwendungsnutzlast.

Absorbiert die Lösung sämtlichen Angriffsdatenverkehr?Nicht alle Angriffe richten sich gegen Webanwendungen oder -Dienste. Einige versuchen, sich über FTP oder Nicht-Web-Ports einzuschleichen. Um einen umfassenden Schutz zu erreichen, sollten Sie nach einer Lösung Ausschau halten, die den gesamten Datenverkehr einschätzen kann.

Ist die Lösung immer aktiv?Sicherheitsmaßnahmen schützen Ihre Website oder Anwendung nur dann, wenn sie auch ausgeführt werden. Sie müssen die von der Lösung versprochene Verfügbarkeit und deren Bereitstellung unter die Lupe nehmen. Müssen Sie mehrere redundante Versionen einer Sicherheitsmaßnahme erwerben, um die Verfügbarkeit zu gewährleisten? Bietet der Lösungsanbieter eine durch ein Service Level Agreement abgedeckte garantierte Verfügbarkeit?

Schutz vor DoS-/DDoS-Attacken auf Netzwerkebene

http://www.infosecurity-magazine.com/view/35238/a-ddos-attack-could-cost-1-million-before-mitigation-even-starts





Bietet die Lösung eine skalierbare Bandbreite zur Bewältigung des Angriffsvolumens?Schon ein herkömmlicher DDoS-Angriff kann eine Datenverkehrsmenge erzeugen, die eine Website normalerweise im Laufe von zwei Jahren verarbeitet. Um die Verfügbarkeit der Website zu gewährleisten, muss die Lösung diesen Datenverkehr auch bewältigen können. Wahrscheinlich ist es für Sie nicht rentabel, selbst eine ausreichende Kapazität bereitzustellen, da diese einen Großteil der Zeit nicht genutzt würde. Viele Cloud-Anbieter bieten Ihnen jedoch nach Bedarf Zugriff auf die benötigte zusätzliche Bandbreite zur Absorption eines Angriffs. Fragen Sie den Anbieter, welche Datenverkehrsspitzen er bewältigen kann.

Wehrt die Lösung wirtschaftliche DDoS-Angriffe durch Gebührenobergrenzen für Datenverkehrsspitzen ab?Wenn Cloud-Dienstanbieter zusätzliche Bandbreite zur Abwehr einer DDoS-Attacke bereitstellen, wird Ihnen der zusätzliche Datenverkehr oftmals in Rechnung gestellt.

So kann Ihr Cloud-Dienstanbieter Ihre Website zwar schützen, aber Sie können sich die Kosten dafür möglicherweise nicht erlauben. Halten Sie daher nach einem Dienstanbieter Ausschau, der Obergrenzen für seine Dienstgebühren anbietet.

Hält die Lösung Angriffe auf, bevor sie Ihr Rechenzentrum erreichen?Bedenken Sie die möglichen Auswirkungen eines Angriffs auf Ihr gesamtes Rechenzentrum. Cloud-Lösungen sind darauf ausgelegt, einen Angriff aufzuhalten, bevor er in Ihr Rechenzentrum gelangt. Sie müssen sich daher keine Sorgen machen, dass DDoS-Attacken Ihr Rechenzentrum beeinträchtigen. Geräte vor Ort schützen Sie hingegen erst, wenn der Angriff das Gerät erreicht. Das bedeutet, dass der Angriff in Ihr Rechenzentrum eindringen kann. Falls Sie eine Vor-Ort-Lösung nutzen, müssen Sie daher innerhalb der gesamten Rechenzentrums-Infrastruktur (Netzwerkbandbreite, Router und Firewalls) genügend Ressourcen bereitstellen, um einem Angriff standhalten zu können.

DDoS-Attacken haben sich zu

einem der gängigsten Auslöser

von Rechenzentrumsausfällen

entwickelt. 18% der Ausfälle in

den 67 der US-Rechenzentren,

die im Dezember 2013 an einer

Studie des Ponemon Institute

teilgenommen haben, beruhten

auf diesen Angriffen. Als Ponemon

2010 Rechenzentren zu Ausfällen

befragt hatte, machten DDoS-

Angriffe noch nur 2% der

Ausfälle aus.

Quelle: http://www.networkcomputing.com/next-generation-data-center/news/servers/ddos-attacks-wreak-havoc-on-data-centers/240164503

LINK }

http://www.networkcomputing.com/next-generation-data-center/news/servers/ddos-attacks-wreak-havoc-on-data-centers/240164503






Beeinträchtigt die Lösung die Performance?E-Commerce- und Medienstreaming-Anwendungen benötigen eine herausragende Performance. Dennoch müssen Sie bei vielen Sicherheitsmaßnahmen einen Kompromiss zwischen Sicherheit und Performance eingehen. Eine WAF prüft beispielsweise sämtlichen Datenverkehr vom Nutzer zur Anwendung. Je höher der Datenverkehr und je mehr Angriffstypen, desto mehr Regeln und Hardware benötigen Sie, um Pakete ohne Beeinträchtigung der Performance zu verarbeiten. Um eine gute Performance zu gewährleisten, suchen Sie nach einer Lösung, die sowohl auf Performance als auch auf Sicherheit ausgelegt ist.

Ist die Lösung integriert?Integrierte Lösungen werden ohne Unterbrechung ausgeführt, um auf Angriffe zu prüfen und davor zu schützen – ob Sie sich dieser Angriffe

bewusst sind oder nicht. Um jedoch die Auswirkungen der Sicherheitsmaßnahmen auf die Performance einzuschränken, entscheiden einige Unternehmen sich für eine Out-of-Band-Lösung, die nur dann aktiv wird, wenn ein Angriff erfolgt. Diese Out-of-Band-Lösungen bieten keinen proaktiven Schutz vor der Beeinträchtigung Ihrer Systeme durch Angriffe. Und da sie nicht jederzeit verfügbar sind, schützen sie Sie auch nicht vor weniger offensichtlichen Angriffen, wie schädlichem Code, der in die Systeme eingeschleust wird, um Daten zu stehlen.

Wie hoch sind die Gesamtbetriebskosten?Viele Sicherheitsmanager betrachten nur den Preis einer Lösung, jedoch nicht die Gesamtbetriebskosten. Berücksichtigen Sie bei der Bestimmung der Gesamtbetriebskosten die Kosten des Geräts, der redundanten Systeme zur Gewährleistung der Verfügbarkeit und der Verwaltung der Lösung. Zudem sollten Sie die Kosten eines Datensicherheitsverstoßes im Vergleich zur Effektivität der Lösung beim Schutz vor derartigen Angriffen beurteilen.

Das britische Branchenanalyseunternehmen OVUM veröffentlichte kürzlich ein Whitepaper mit dem Titel „Delivering Effective DDoS Protection“ (Bereitstellung eines effektiven DDoS-Schutzes). Darin betont der Autor und Principal Analyst, Security, Andrew Kellett, dass nicht alle Sicherheitslösungen in der Lage sind, das benötigte Maß an DDoS-Schutz bereitzustellen. Er empfiehlt Unternehmen, DDoS-Abwehranbieter anhand von zehn unternehmensrelevanten Kriterien zu prüfen:

1. Breite der Erfahrung

2. Bereitstellung von dedizierten Netzwerkkapazitäten zur Abwehr

3. Belegte Fähigkeit und globale Ressourcen zur Abwehr der größten und komplexesten Internet-Angriffe

4. Innovative DDoS-Abwehrtechnologie

5. Erfahrenes Personal an vorderster Front einer DDoS-Attacke

6. Über Service-Level Agreements garantierte schnelle Behebung

7. Abwehr auf SSL-Ebene

8. Flexibilität der Dienstbereitstellung

9. Threat Intelligence

10. Netzwerktransparenz in Echtzeit


Schutz vor Angriffen auf Anwendungsebene

Angriffe auf Anwendungsebene erfordern einen facettenreicheren Ansatz als der Schutz vor Anwendungen auf Netzwerkebene. Viele Anwendungen auf Anwendungsebene, ob DoS-Attacken oder Datendiebstahlversuche, basieren auf legitimem Datenverkehr. Beispielsweise beginnen sowohl DDoS-Attacken als auch legitime Anwendungstransaktionen mit einer einfachen Anwendungsanforderung.

Die meisten Unternehmen gehen diese Angriffe auf zwei Arten an:

1. Beseitigen der Sicherheitsrisiken in den Anwendungen über einen sicheren Software-Entwicklungslebenszyklus und eine angemessene Internet-Vorbeugung, wie in Kapitel 5 erläutert.

2. Frontend-Anwendungen mit einer WAF.

Unsere Empfehlung? Nutzen Sie beides.

Natürlich kann eine WAF ebenso wie jede andere Netzwerkkomponente auch ins Visier genommen und überwältigt werden.

Sie benötigt daher alle im vorherigen Abschnitt beschriebenen Anti-DoS-Funktionen und architektonischen Schutzmaßnahmen.

Sie sollten sich mit den Funktionen und Fähigkeiten Ihrer WAF, ob als Vor-Ort-Gerät oder als von Ihrem ISP verwalteten Dienst, vertraut machen und in Erfahrung bringen, wie die Firewall mit unterschiedlichen Arten von Angriffsvektoren zurechtkommt. Sie sollten auch wissen, was mit Ihrer Netzwerk-Performance geschieht, wenn Sie eine zustandsbehaftete Inspektion nutzen, wie beispielsweise SYN-Cookies, im Vergleich zu einer zustandslosen Blockierung Ihrer Firewall vor Ort.

Berücksichtigen Sie, dass eine Firewall in der Regel nur einen begrenzten Schutz vor UDP- und ICMP-Flooding und keinen Schutz vor SYN-Flooding bei Angriffen mit 2 oder 3 Gbit/s oder auf Anwendungsebene bietet. Firewalls bietet auch keinen oder nur geringen Schutz vor Angriffen auf Anwendungsebene mit geringer

Geschwindigkeit, die HTTP- und HTTPS-Anforderungen über die Firewall enthalten. Zudem ist der von einer Cloud-basierten ISP-Firewall angebotene Schutz eingeschränkt. Nicht jede Art von ISP-Firewall kann jede Art von DDoS-Attacke bewältigen, und bestimmte Zugangskontrolllisten können ausfallen, besonders wenn sie auf einer geringen Anzahl von Geräten in der Nähe Ihres Servers bereitgestellt werden.

Ob Sie eine Firewall vor Ort oder ACLs auf ISP-Ebene nutzen – die Verwaltung von Firewalls im Rahmen einer internen DDoS-Verteidigungsstrategie ist ein mit Herausforderungen verbundener Prozess, der während eines DDoS-Angriffs viele komplexe Regeländerungen erfordert. Indem Sie all diese komplexen Prozesse an einen Cloud-basierten DDoS-Abwehrdienst auslagern, können Sie sich die zeitaufwändige Neukonfigurierung der Firewall und die Kontaktaufnahme mit Ihrem ISP während eines DDoS-Angriffs sparen.


1. Wie flexibel und umfassend sind die WAF-Regeln?WAFs führen eine Deep Packet Inspektion der HTTP/S-Anforderungen/ -Antworten und ihrer Nutzlast durch, um Angriffe wir SQL-Injection, RFI usw. zu erkennen und davor zu schützen. Anhand von WAF-Regeln werden die Formate der Anforderungen und Adressen daraufhin überprüft, ob sie bestimmten Mustern entsprechen, die bekanntermaßen auf einen Angriff hinweisen. Wenn die WAF eines dieser Muster erkennt, kennzeichnet und/oder blockiert sie diesen Datenverkehr. Halten Sie nach einer WAF Ausschau, die die folgenden Regeltypen umfasst:

}Regeln zur Erkennung bekannter ProblemeViele Angriffe kursieren schon seit längerer Zeit und sind gut definiert, wie SQL-Injection-Angriffe oder Anforderungen von automatisierten Tools, die keinen Browser nutzen. Die meisten Lösungen umfassen Regeln für hinreichend bekannte Angriffe.

}Regeln für neue AngriffeAngriffe entwickeln sich ständig weiter. Kein Unternehmen mit einer Website kann je alle Angriffe erkennen und Regeln zur Verteidigung gegen all diese neuen Angriffe selbst entwickeln. Einige Cloud-Anbieter haben jedoch Einblicke in eine beträchtliche Menge Datenverkehr und können daher neue Arten von Angriffen gleich bei ihrem Auftreten erkennen, neue Regeln zur Diagnose dieser Angriffe festlegen und diese Regeln allen Kunden weltweit bereitstellen.

}Angepasste Regeln/virtuelle PatchesUnternehmen sollten immer neue Versionen und Patches für ihre Software installieren. Diese Patches müssen jedoch getestet werden, bevor sie installiert werden können, und das braucht Zeit. Eine Lösung, die die Erstellung angepasster Regeln gestattet, kann als „virtueller Patch“ dienen, der Angreifer an der Ausnutzung der gefundenen Schwachstelle hindert, bis Sie den eigentlichen Patch implementieren können.

}WAF-Regeln für SituationsabhängigkeitIn einigen Fällen möchten Sie eine bestimmte Aktivität nicht zwingend blockieren. In Kombination mit anderen Aktionen wirkt sie jedoch plötzlich verdächtig und erfordert eine weitere Untersuchung. Regeln, die Sie in diesen Fällen benachrichtigen, können daher für Sie von Vorteil sein. Ein Beispiel: Eine eCommerce-Anwendung verfügt über ein Sicherheitsrisiko in basket.php. Eine normale Google-Suche wäre alles andere als verdächtig. Es könnte Sie jedoch interessieren, wenn im Web nach „nurl:basket.php“ gesucht wird, da dies darauf hinweisen könnte, dass ein Angreifer nach Möglichkeiten zur Ausnutzung des basket.php-Sicherheitsrisikos sucht. Sie sollten daher in der Lage sein, die Firewall so zu konfigurieren, dass Personen zugelassen werden, die eine harmlose Google-Suche durchgeführt haben, aber Personen, die nach „nurl:basket.php“ gesucht haben, blockiert werden.

Bei der Auswahl einer WAF sollten Sie folgende Punkte berücksichtigen:


2. Welche Kontrollen auf Netzwerkebene bietet die WAF? Stellt die WAF Kontrollen auf Netzwerkebene bereit, um Anforderungen von bestimmten IP-Adressen zuzulassen bzw. einzuschränken und so den Ursprungsserver vor Angriffen auf Anwendungsebene zu schützen? Halten Sie nach einer WAF Ausschau, die die folgenden Kontrolltypen umfasst:

}BlacklistsEin negatives Sicherheitsmodell geht davon aus, dass „alle zulässig sind, die nicht explizit abgelehnt wurden“. Können Sie in der WAF eine Liste von zu blockierenden IP-Adressen festlegen?

}WhitelistsEin positives Sicherheitsmodell geht davon aus, dass „alle abgelehnt werden, die nicht explizit zugelassen wurden“. Können Sie in der WAF eine Liste von IP-Adressen oder IP-Adressbereichen festlegen, die zulässig sind?

}Geo-BlockierungDie Geo-Blockierung filtert Datenverkehr von bestimmten geografischen Regionen aus, um lokalisierte DDoS-Attacken abzuwehren. Sobald bestimmte IP-Adressen erkannt wurden, kann der Datenverkehr von diesen IP-Adressen blockiert oder gedrosselt werden, bevor er die Anwendung erreicht. Unterstützt die WAF Geo-Blockierung?

3. Bietet die WAF verhaltensbasierte Kontrollen?Die meisten WAFs blockieren Datenverkehr basierend auf bestimmten Signaturen oder Regeln. Verhaltensbasierte WAF-Regeln betrachten jedoch das Verhalten des Anfordernden, einer IP-Adresse oder eines Nutzers zum aktuellen Zeitpunkt und über einen Zeitraum hinweg und reagieren entsprechend. So können Sie beispielsweise eine verhaltensbasierte Regel erstellen, die prüft, wie viele Anforderungen ein Nutzer innerhalb eines bestimmten Zeitraums sendet, und Nutzer blockieren, die mehr als eine festgelegte Anzahl an Anforderungen

innerhalb dieses Zeitraums senden. Sie können auch Nutzer blockieren, die mehr als eine festgelegte Anzahl an Anforderungen senden, die zu einer „404: Seite nicht gefunden“-Fehlermeldung führen.

4. Bietet die WAF Ursprungsabschirmung?Ein Hintertürchen für den Zugriff auf einen Webserver öffnet sich, wenn eine Person die IP-Adresse des Servers kennt und diesen direkt aufruft. Bei der „Ursprungsabschirmung“ schirmt eine Lösung die Website oder den Anwendungsserver vom Internet ab und verhindert damit, dass Nutzer eine direkte Verbindung aufbauen. Stattdessen gestattet der Dienstanbieter nur dem Ursprung selbst, eine direkte Verbindung zu den Servern im Netzwerk des Anbieters herzustellen. Zugangskontrolllisten innerhalb der Kunden-WAF bestimmen, welche Server Datenverkehr an den Ursprung senden können.


Sie können gegen DNS-Server gerichtete DDoS-Attacken und DNS-Reflektions- und Verstärkungsangriffe mit den gleichen Sicherheitskontrollen handhaben, die auch andere netzwerkbasierte DDoS-Attacken abwehren. Zur Bewältigung von Cache-Poisoning und Registrierungs-Hijacking benötigen Sie jedoch zwei zusätzliche Funktionen:

Unterstützt die Lösung DNS Sec?Angreifer, die Cache-Poisoning/Umleitungsangriffe nutzen, können einen beliebigen Schritt des DNS-Suchvorgangs kompromittieren und die Kontrolle über eine Sitzung an sich reißen, um beispielsweise Nutzer an ihre eigenen betrügerischen Websites weiterzuleiten und ihre Kontodaten und Kennwörter zu erfassen. Die Lösung ist eine End-to-End-Bereitstellung der DNS Security Extensions (DNSSEC). DNSSEC sollte zur digitalen Signierung von Daten verwendet werden, um ihre Gültigkeit

sicherzustellen. DNSSEC wird in jedem Schritt des Aufrufvorgangs implementiert, um sicherzustellen, dass der Endnutzer eine Verbindung mit der tatsächlichen Website bzw. dem tatsächlichen Dienst herstellt, die/der mit dem jeweiligen Domänennamen verknüpft ist. Um DNSSEC nutzen zu können, benötigen Sie ein internes Schüsselmanagement oder einen Dienstanbieter, der Schlüsselmanagement anbietet und DNSSEC-Datenverkehr verarbeiten kann.

Nutzt der Dienstanbieter eine vertrauenswürdige Registrierung?

Viele Registrierungen verfügen nicht über narrensichere geschäftliche Prozesse zum Schutz vor Phishing-Angriffen, durch die die Website aus der Registrierung verschoben werden kann. Halten Sie daher nach einem Anbieter mit Cloud-basierter Webanwendungssicherheit Ausschau, der eigene Registrierungsdienste mit strengen Kontrollen zur Vermeidung von Social-Engineering-Angriffen bietet.

Weitere Informationen zu WAFs:

1. Wechsel von Web-DDoS-Angriffen in die Cloud: https://blogs.akamai.com/2014/04/

cloudification-of-web-ddos-

attacks.html/

2. So sieht ein Webangriff für das Professional Services-Team von Akamai aus: https://blogs.akamai.com/2014/03/

what-a-web-attack-looks-like-to-

akamais-professional-services-

team-lessons-from-the-defense-of-

a-rec.html/

3. Eine DDoS-Checkliste: https://blogs.akamai.com/2014/03/

a-ddos-checklist.html/

Schutz vor DNS-Attacken

https://blogs.akamai.com/2014/%2003/what-a-web-attack-looks-like-to-akamais-professional-services-team-lessons-from-the-defense-of%20-a-rec.html/












https://blogs.akamai.com/2014/03/a-ddos-%20checklist.html/




KAPITEL 5

Eine einzelne Sicherheitslösung kann niemals alle

Sicherheitsherausforderungen bewältigen. Sie

benötigen einen mehrschichtigen Ansatz. Optimale

Internet-Sicherheitslösungen kombinieren erworbene

Sicherheitslösungen mit internen Maßnahmen, um die

Sicherheitsrisiken Ihrer Websites und Anwendungen zu

minimieren.

INTERNET-VORBEUGUNG: Gängige Sicherheitsrisiken von Webanwendungen und was Sie dagegen tun können


Der erste Schritt in der Bewältigung von Sicherheitsrisiken bei Webanwendungen besteht darin zu verstehen, woher diese Risiken kommen und wie sie Ihre Systeme beeinträchtigen können. Sicherheitsrisiken finden sich sowohl in angepassten (intern entwickelten) als auch in Drittanbieter-Anwendungen.

Sicherheitsrisiken in intern entwickelten AnwendungenIn Unternehmen, die ihre eigenen Anwendungen erstellen, kommt es nicht selten zu Anwendungs-Sicherheitsrisiken, die auf einem nicht sicheren Design oder einer unsicheren Implementierung basieren. Diese Sicherheitsrisiken werden als unbekannte oder anwendungsspezifische Sicherheitsrisiken bezeichnet, da sie Hackern erst bekannt werden, wenn sie mit der Anwendung interagieren.

Sicherheitsrisiken in Drittanbieter-SoftwareHacker könnten zwar nach Schwachstellen in angepassten Anwendungen suchen, doch es ist deutlich einfacher, sich auf Sicherheitsrisiken in Drittanbieter-Software zu konzentrieren.

Die meisten Webanwendungen nutzen zumindest teilweise vorgefertigte Software, wie Plug-ins, Web-Forensoftware oder Blog-Software, die über Sicherheitsrisiken verfügen. Sicherheitsexperten entdecken Schwachstellen in diesen beliebten Produkten, benachrichtigen den Anbieter und geben eine öffentliche Warnung bezüglich des Problems heraus.

Derartige Warnungen sind frei zugänglich, auch für Hacker. Hacker nutzen diese bekannten Probleme und durchsuchen das Internet nach Rechnern, die diese Sicherheitslücke aufweisen, insbesondere bei SQL-Injection-, Remote File Inclusion- und Local File Inclusion-Sicherheitsrisiken. Da Administratoren und Website-Besitzer in der Regel Zeit benötigen, um einen Patch für ihre Websites zu implementieren, werden Angreifer bei ihrer Suche nach anfälligen Rechnern immer fündig.

Kürzlich haben Hacker erkannt, dass es viel sinnvoller ist, Webserver zu übernehmen (anstelle von Nutzerrechnern), da diese über eine größere Bandbreite verfügen und später zur Generierung deutlich höherer Angriffsvolumen genutzt werden können.

Das Open Web Application Security Project (OWASP) ist eine offene Community, die sich zum Ziel gesetzt hat, Unternehmen bei der Entwicklung, beim Kauf und bei der Pflege von vertrauenswürdigen Anwendungen zu unterstützen. Die Top-10-Liste des OWASP nennt die kritischsten Risiken, mit denen Unternehmen heute zu kämpfen haben.

1. Injection

2. Fehlerhafte Authentifizierung und falsches Sitzungsmanagement

3. Cross-Site-Scripting (XSS)

4. Unsichere Direct Object References

5. Falsch konfigurierte Sicherheit

6. Offenlegung von vertraulichen Daten

7. Fehlende Zugriffskontrolle auf Funktionsebene

8. Cross-Site Request Forgery (CSRF)

9. Nutzung bekannter anfälliger Komponenten

10. Ungeprüfte Umleitungen und Weiterleitungen

Wo liegen die häufigsten Sicherheitsrisiken?


Um die Sicherheitsrisiken innerhalb Ihrer Webanwendungen zu minimieren, müssen Sie vor allem Ihre Internet-Vorbeugung verbessern. Dies umfasst die Befolgung von Best Practices für Anwendungsdesign, Implementierung, Konfiguration, Tests und Pflege:

Halten Sie Software auf dem neuesten Stand, und installieren Sie alle aktuellen PatchesKein Programmcode ist perfekt. Früher oder später kommen immer irgendwelche Fehler ans Licht. Die schwerwiegendsten Fehler sind Sicherheitsprobleme. Ihre erste Verteidigungslinie gegen schädliche Angriffe bilden eine aktuelle Version Ihrer Webserver- und Anwendungsserver-Software sowie die schnellstmögliche Installation von Sicherheits-Patches.

Software-Plug-ins und -Add-ons (wie WordPress-Plug-ins) sind besonders anfällig, da sie oft von unerfahrenen Programmierern entwickelt werden oder aus Quellen stammen, die die Programmierungsrichtlinien nicht immer befolgen. Verwenden Sie nur Plug-ins, die Sie tatsächlich benötigen, und stellen Sie sicher, dass diese auf dem neuesten Stand sind.

Definieren Sie sichere Konfigurationen Falsch konfigurierte Sicherheit kann in jeder Ebene eines Anwendungs-Stacks auftreten, darunter in der Plattform, im Webserver, im Anwendungsserver, in der Datenbank und im angepassten Programmcode. Entwickler und Systemadministratoren müssen eng zusammenarbeiten, um eine ordnungsgemäße Konfiguration des gesamten Stacks zu gewährleisten.

Berücksichtigen Sie folgende Aspekte für eine sichere Konfiguration:• Angemessene Nutzung von Verschlüsselung

für Daten im Ruhezustand und während der Übertragung

• Entfernung nicht benötigter Konten• Deaktivierung oder Entfernung nicht

benötigter Dienste• Befolgung des Prinzips der minimalen

Berechtigungsvergabe Ein Webserver ist schnell falsch konfiguriert. Diese Fehler ermöglichen böswilligen Nutzern den Zugriff auf Bereiche, die nicht für sie vorgesehen sind, wie Verwaltungsseiten, Verzeichnislisten und andere Elemente, die normalen Nutzern nicht offenbart werden sollen und Hackern

schwerwiegendere Angriffe ermöglichen. Ein gut konfiguriertes System gestattet Nutzern nur den Zugriff auf die Bereiche, auf die sie auch wirklich zugreifen müssen.

Entwickeln Sie eine Standardkonfiguration und einen wiederholbaren Abhärtungsprozess, der die Bereitstellung von Systemen und die Gewährleistung ihrer Abschirmung beschleunigt und vereinfacht. Entwicklungs-, Qualitätssicherungs- und Produktionsumgebungen sollten alle über einen automatisierten Prozess gleich konfiguriert sein, um den Einrichtungsaufwand für neue, sichere Umgebungen zu minimieren. Führen Sie regelmäßig Scans und Überprüfungen durch, um fehlerhafte Konfigurationen zu erkennen.

Schreiben Sie sicheren CodeGanz gleich, ob Sie Software von Grund auf entwickeln oder Add-ins in bestehende Software integrieren: Lassen Sie die Sicherheit niemals außer Acht. Sicherheitsprobleme in einer frühen Phase der Entwicklung zu finden und beheben ist deutlich günstiger, als den Code zu korrigieren, nachdem die Anwendung bereits in der Produktion implementiert wurde.

Handhabung der gängigsten Sicherheitsrisiken von Webanwendungen


Anforderungen

Bereitstellung Entwurf

Tests Programmierung

Die meisten Fehler und Schwachstellen lassen sich vermeiden, indem Sie die Sicherheit bei allen Anwendungsanforderungen und in der Architektur- und Designphase stets berücksichtigen. Modellieren Sie beispielsweise Bedrohungen schon von Anfang an, um Seiten mit dem größten Logikumfang und damit den längsten Ladezeiten zu erkennen und ggf. zusätzliche DoS-Verteidigungsmaßnahmen zu implementieren. Schulen Sie die Personen, die Ihre Webanwendungen bereitstellen, in der Integration von Sicherheit in den Software-Entwicklungslebenszyklus, und schaffen Sie Prozesse zur Unterstützung dieser Bemühungen.

Die effektivsten Schutzmaßnahmen, die Sie in Ihre Software integrieren sollten, umfassen folgende Funktionen:

• Eingabeprüfung: Die meisten Sicherheitsrisiken werden durch eine mangelnde Überprüfung von Nutzereingaben und eine unzureichenden Bereinigung von Eingaben verursacht. Vertrauen Sie Nutzereingaben niemals. Fügen Sie stattdessen Eingabeprüfungen für Formularfelder hinzu, um Pufferüberlauf, Code-Injection und andere Angriffe zu vermeiden, die auf die Anwendungslogik abzielen.

• Verschlüsselung: Verschlüsseln Sie Daten sowohl während der Übertragung als auch im Ruhezustand mit aktuellen branchenüblichen Verschlüsselungsstandards.

Ein sicherer Software-Entwicklungslebenszyklus

Quelle: http://resources.infosecinstitute.com/intro-secure-software-development-life-cycle/

Um sicherzustellen, dass Ihre

Anwendungen sicher sind,

sollten Sie von Anfang an das

Augenmerk auf die Sicherheit

legen. Berücksichtigen Sie die

Sicherheit wie hier gezeigt

in jeder Phase der Software-

Entwicklung.


Scannen Sie Ihren Programmcode und Ihre Plug-insAuch wenn Sie eine Anwendung besonders sorgfältig entwerfen und entwickeln, wird sie immer Schwachstellen im Programmcode enthalten. Oftmals sind diese nicht sofort offensichtlich und setzen sich in anderen Anwendungen fort, wenn Entwickler Bestandteile von bereits vorhandenem Code integrieren. Die Suche nach Sicherheitsrisiken bietet die Möglichkeit, Hintertüren in Anwendungen, schädlichen Programmcode und andere Bedrohungen zu finden, die in erworbener Software und intern entwickelten Anwendungen vorhanden sein können.

Ihnen stehen zwei Methoden zur Suche nach Sicherheitsrisiken zur Verfügung: statische Tests und dynamische Tests.

• Statische Tests – Statische Tests durchforsten den Quellcode der Anwendung und informieren Sie über Bereiche, die für schädliche Eingaben anfällig sind, wie beispielsweise für

SQL-Injection. Bei statischen Tests wird jede Codezeile untersucht und die genaue Position etwaiger Schwachstellen ermittelt. Automatisierte Tools können Ihnen sogar Korrekturmaßnahmen vorschlagen und so die Nachforschungszeit verkürzen. Die Ergebnisse dieser Tests sind jedoch sehr theoretisch und enthalten oftmals Falschmeldungen. Anders ausgedrückt: Sie erhalten eine lange Liste von Sicherheitsrisiken, die Hacker wahrscheinlich nicht bemerken, und die Tools werden einige Schwachstellen übersehen.

• Dynamische Tests – Dynamische Tests erkennen Sicherheitsrisiken in der Laufzeitumgebung, indem sie das Verhalten eines Hackers nachahmen. Diese Testmechanismen durchsuchen Websites, füllen Formulare aus, senden Anforderungen und analysieren die Struktur der Anwendung. Anschließend bombardieren sie die Anwendung mit schädlichen Eingaben, um etwaige Schwachstellen zu finden. Der Vorteil dieser Tests besteht darin,

dass sie echte Sicherheitsrisiken finden und Schwachstellen aufdecken, die statische Tools möglicherweise übersehen haben. Ihr Nachteil beruht auf ihrem eingeschränkten Umfang. Webanwendungen sind extrem komplex, und Test-Tools haben Probleme, die gesamte Anwendung zu durchsuchen. Sie erhalten daher eine geringere Abdeckung als bei statischen Tests.

Um die meisten, wenn nicht sogar alle Sicherheitsrisiken zu erkennen, sollten Sie eine Kombination der beiden Methoden anwenden. Einige Testanbieter haben Lösungen im Angebot, die beide Funktionen gleichzeitig umfassen.

Installieren Sie eine WAFDie Installation einer WAF gestattet Ihnen mehr Zeit für die Behebung von Sicherheitsrisiken. Sie können eine WAF verwenden, um einen virtuellen Patch für die Anwendung anzuwenden, indem Sie eine Regel zur Blockierung des neu erkannten Sicherheitsrisikos entwickeln, bis eine permanente Lösung möglich ist.


Wenn Sie eine WAF implementieren, sollten Sie unbedingt die Standardkonfiguration testen, überwachen und mit Regeln aktualisieren, die auf Ihre Anwendungsumgebung zugeschnitten sind. Vergessen Sie nicht, dass eine einmalige Einrichtung bei keinem Sicherheits-Tool ausreicht. Best Practices empfehlen, den Regelsatz mindestens vierteljährlich oder im besten Fall monatlich zu überprüfen und aktualisieren.

Analysieren Sie die Genauigkeit der WAFSie sollten unbedingt die Genauigkeit Ihrer WAF überprüfen. Testen Sie die WAF in Bezug auf ihre Fähigkeit, Angriffe zu blockieren und legitimen Datenverkehr zuzulassen. Berücksichtigen Sie dabei folgende Faktoren:

• Anzahl der blockierten realen Angriffe (positive Übereinstimmungen)

• Anzahl der zugelassenen gültigen Anforderungen (negative Übereinstimmungen)

• Anzahl der fälschlicherweise blockierten gültigen Anforderungen (positive Falschmeldungen)

• Anzahl der zugelassenen Angriffe (negative Falschmeldungen)

• Erfahren Sie mehr über den Matthews-Korrelationskoeffizienten und wie Sie diesen auf Ihre WAF anwenden (http://en.wikipedia.org/wiki/Matthews_correlation_coefficient)

Suchen (oder entwickeln) Sie eine WAF-Testlösung zur Bestimmung der Genauigkeit Ihrer Bereitstellung. Das Tool sollte sowohl gültigen Datenverkehr als auch reale Angriffe simulieren und Ihnen gestatten, problemlos Testfälle für gültigen Datenverkehr und Angriffe hinzuzufügen. Es sollte genaue Statistiken erfassen und Ihnen umfassende Informationen zu jedem Test bereitstellen, darunter die vollständige Anforderung, die Antwort, das erwartete Verhalten und die Art der Anforderung. Zudem sollte es Berichtfunktionen umfassen.

http://en.wikipedia.org/wiki/Matthews_correlation_coefficient





Wenn Sie immer mehr Daten und Dienste in das Internet verlagern, können Sie sich nicht mehr auf einen robusten Perimeterschutz verlassen, um die Sicherheit Ihrer Systeme und Daten zu gewährleisten. Sie benötigen Lösungen, die speziell auf die Sicherheitsrisiken zugeschnitten sind, die im Internet auf Sie lauern, insbesondere DoS-/DDoS-Angriffe auf Netzwerk- und Anwendungsebene und versuchter Datendiebstahl.

In diesem E-Book haben Sie die Bedrohungsarten kennengelernt, die Internet-Ressourcen heimsuchen, sowie mehr über die benötigten Elemente einer Lösung und die Ihnen zur Verfügung stehenden Optionen erfahren. Für welche Lösung Sie sich auch entscheiden: Nutzen Sie einen mehrschichtigen Ansatz, der eine ausreichende Bandbreite auf der Netzwerkebene bietet und nur HTTP-Datenverkehr im Netzwerk zulässt. Befolgen Sie auf der Anwendungsebene sichere Entwicklungsprozesse und angemessene Internet-Vorbeugungsmaßnahmen, und implementieren Sie eine umfassende WAF zur Handhabung von Angriffen, die nicht vollständig abgewehrt werden können. Wenn Sie über einen umfassenden Satz an Sicherheitsmaßnahmen verfügen, kann Ihr Unternehmen die mit dem Internet-Auftritt verbundenen Risiken minimieren.

Aktuelle Informationen zur DDoS-Landschaft finden Sie im aktuellen vierteljährlichen Angriffsbericht. Weitere Informationen zur allgemeinen Sicherheits- und Internet-Landschaft erhalten Sie im „State of the Internet Report“ von Akamai.

ABSCHLIESSENDE BEMERKUNG

http://www.prolexic.com/knowledge-center-dos-and-ddos-attack-reports.html%20



Erstellen Sie jetzt Ihren Plan für die Webanwendungssicherheit:

Befolgen Sie diese 5 Schritte zur Verbesserung Ihres Ansatzes zur Webanwendungssicherheit:

1. Prüfen Sie die Sicherheitsrisiken, die Ihre Websites und Webanwendungen am ehesten beeinträchtigen.

2. Erstellen Sie ein Inventar Ihrer Sicherheitsmechanismen, und prüfen Sie die erforderlichen zusätzlichen Maßnahmen zur Abwehr der Risiken.

3. Bewerten Sie die Sicherheitsrisiken Ihre Webanwendung, und befolgen Sie die Best Practices zur Internet-Vorbeugung, um sie zu vermeiden.

4. Prüfen Sie Ihre Optionen.

5. Implementieren Sie Ihre mehrschichtige Lösung

Die Cybersicherheitslandschaft entwickelt sich kontinuierlich

weiter. Akamai bleibt am Puls der Zeit und versorgt Sie auch

künftig mit Erkenntnissen seiner Vordenker.

Täglich neue Kommentare zur Sicherheitsbranche finden Sie in UNSEREM BLOG } http://blogs.akamai.com.

Wenn Sie mit einem unserer Vertreter sprechen möchten, RUFEN SIE AN UNTER: +49 89 94006 308, oder

NEHMEN SIE KONTAKT MIT UNSEREM VERTRIEBSTEAM AUF } unter: http://www.akamai.com/html/forms/sales_form.html

http://blogs.akamai.com


http://www.akamai.com/html/forms/sales_form.html


http://www.akamai.com/html/forms/sales_form.html?utm_campaign=error-pages&utm_source=404&utm_content=email-us


NÜTZLICHE RESSOURCEN:12 Sicherheitsexperten, die Sie kennen müssen – Sie benötigen Hilfe beim Verständnis der aktuellen Trends in der Cybersicherheit? Diese Experten zählen zu den anerkanntesten Fachleuten der Branche und sind in den sozialen Medien vertreten.

Folgen Sie ihnen, um zahlreiche Fakten zum Thema Informationssicherheit mit einer gehörigen Portion Schlagfertigkeit zu erhalten:

ANDY ELLIS ....................................................................... Akamai Chief Security Officer .................................................................................. Twitter: @CSOAndy

ANDREW JAQUITH ....................................................... CTO, SilverSky ................................................................................................................ Twitter: @arj

BILL BRENNER ................................................................. Akamai Security Evangelist ........................................................................................ Twitter: @BillBrenner70

BRIAN KREBS ................................................................... Enthüllungsjournalist ................................................................................................... Twitter: @BrianKrebs

CHRIS HOFF ........................................................................ VP Strategy and Planning, Juniper Networks ...................................................... Twitter: @Beaker

JACK DANIEL ..................................................................... Technical Project Manager, Tenable ........................................................................ Twitter: @jack_daniel

JOSHUA CORMAN ....................................................... CTO, Sonatype .............................................................................................................. Twitter: @JoshCorman

MARTIN MCKEAY ......................................................... Akamai Security Evangelist ........................................................................................ Twitter: @Mckeay

MICHAEL SMITH ............................................................ Akamai CSIRT Director ................................................................................................. Twitter: @rybolov

MIKE ROTHMAN ........................................................... President, Securosis ...................................................................................................... Twitter: @securityincite

RICH MOGULL .................................................................. CEO, Securosis ............................................................................................................... Twitter: @RMogull

STEPHANIE BALAOURAS .......................................... VP and Research Director, Forrester Research ..................................................... Twitter: @sbalaouras

ANHANG 1


WEITERFÜHRENDE Globaler Bericht zu DDoS-Angriffen DOKUMENTE: Bleiben Sie bei Trends in der Cybersicherheit auf dem Laufenden.

Kundenfallstudien Erfahren Sie, wie andere Unternehmen ihre Websites vor DDoS-Angriffen

schützen.

PLXsert-Bedrohungsratgeber Erfahren Sie mehr über aktuelle DDoS-Bedrohungen und Schritte zum Schutz.

Man, Machine & DDoS Mitigation (Menschen, Maschinen und DDoS-Abwehr Finden Sie heraus, warum Cybersicherheitsexperten in der DDoS-Bedrohungslandschaft von heute unerlässlich sind.

Ovum: Delivering Effective DDoS Protection (Bereitstellung eines effektiven DDoS-Schutzes) Erfahren Sie in diesem Analystenbericht, warum DDoS-Schutz einen Teil Ihres Sicherheits-Reaktionsplans bilden sollte.

ANHANG 2

http://www.prolexic.com/knowledge-center-dos-and-ddos-attack-reports.html

http://www.akamai.com/html/ms/security.html



http://www.prolexic.com/knowledge-center-white-paper-man-machine-and-ddos-mitigation.html

http://www.prolexic.com/knowledge-center-analyst-report-ovum-delivering-effective-ddos-protection.html


© 2014 Akamai, Alle Rechte vorbehalten.

http://www.akamai.com

Documents

BEDROHUNGEN UND SCHUTZMASSNAHMEN HANDBUCH FÜR … · 2019. 3. 4. · Anatomie eines einfachen Flooding-Angriffs ... und aufgrund eines der integrierten Befehle eine lange Antwort