Erkennung und Abwehr vier risikoreicher Angriffstypen
Unsere jahrelange Erfahrung im Schutz von Unternehmen aus unterschiedlichen Branchen hat uns gelehrt, dass es vier gängige Arten von Angriffen gibt – und wie wir sie abwehren können. Heute wollen wir einen Blick auf die Angriffstypen werfen, mit denen Sie zu kämpfen haben, aber auch auf die Maßnahmen, die Sie ergreifen können, um Ihre Web-Apps und APIs zu schützen.
1. Credential Stuffing
Laut dem Data Breach Investigation Report 2021 von Verizon werden inzwischen bei über 80 % aller Sicherheitsverletzungen gestohlene Zugangsdaten verwendet, um auf vertrauliche Daten zuzugreifen. Angreifer nutzen diese Zugangsdaten zur Account-Übernahme, um Zugriff auf private IoT-Geräte (Internet of Things) zu erlangen und um Angriffe zu verketten, indem sie auf E-Mail-Adressen zur Account-Wiederherstellung zugreifen. Credential Stuffing ist die am häufigsten verwendete Methode für Account-Übernahmen. Die Anzeichen für solche Angriffe unterscheiden sich allerdings von Wörterbuchangriffen (Dictionary Attacks) oder der Brute-Force-Methode, bei der Passwörter erraten werden.
Im Allgemeinen werden Credential-Stuffing-Angriffe oft auf eine große Anzahl von IP-Adressen verteilt, um den Schein zu erwecken, dass keine großen Mengen gestohlener Zugangsdaten von einer einzelnen Quelle getestet werden. Zu den Angriffsindikatoren gehören beispielsweise Anmeldeversuche aus unterschiedlichen geografischen Regionen, die für Ihre Nutzer untypisch sind, oder eine steigende und unerwartete Zahl fehlgeschlagener Anmeldeversuche. Ein weiterer möglicher Hinweis können erfolgreiche Anmeldungen von verdächtigen IP-Adressen sein.
Anstatt den Zugriff grundsätzlich zu verweigern, können Sie gezieltere Maßnahmen ergreifen, um festzustellen, ob Anmeldeversuche nicht doch von legitimen Nutzern stammen. Sie können zum Beispiel eine Zwei-Faktor-Authentifizierung verlangen oder eine Baseline für das Anfragevolumen bei grundlegenden Authentifizierungsvorgängen wie Anmeldeversuchen und dem Zurücksetzen von E-Mail-Adressen oder Passwörtern festlegen und anschließend das Anfragevolumen überwachen. Anfragen, die erwartete Schwellenwerte überschreiten, sollten Sie temporär blockieren. Vor allem sollten Sie aber Sicherheitstools zur Hand haben, die Ihnen Einblicke in spezielle Authentifizierungsvorgänge liefern. Denn nur so können Sie Missbrauch von Anmeldedaten erkennen.
Diese Art von Flexibilität ist besonders wichtig für Unternehmen, die sich darauf konzentrieren, neue Funktionen bereitzustellen, Code zu patchen und Angriffe so schnell wie möglich abzuwehren. Wenn Sie DevOps-Prozesse zur Entwicklung, Bereitstellung und Verwaltung Ihrer Anwendungen nutzen, benötigen Sie Warnfunktionen, die in Ihre Kommunikationskanäle integriert sind, um Probleme und deren Behebung nachverfolgen zu können. Ein Application Security Tool, das während des DevOps-Zyklus Feedback in Echtzeit liefert, kann es Ihnen ermöglichen, ein Anwendungssicherheitsproblem in Echtzeit zu beheben, anstatt sich mit den Nachwirkungen einer Sicherheitsverletzung auseinandersetzen zu müssen.
2. API-Missbrauch
Die explosionsartige Zunahme von nativen mobilen und einseitigen Webanwendungen hat dazu geführt, dass Daten mehr und mehr über APIs ausspioniert werden. Da Anwendungen mittlerweile vorrangig über Cloud-Infrastrukturen bereitgestellt und von speziellen Entwickler- oder DevOps-Teams gewartet werden, haben sich RESTful APIs und Microservices stark verbreitet. Dieser zunehmenden Beliebtheit von APIs ist es geschuldet, dass sie zu einem verlockenden Angriffsziel geworden sind. Tatsächlich gehören Injection-Angriffe sowohl in den OWASP Top 10 als auch in den API Top 10 zu den häufigsten Sicherheitsrisiken.
Angreifer, die nach der Brute-Force-Methode vorgehen, finden oft einen anfälligen API-Service und überschwemmen ihn mit Anfragen. Weil sie nicht auf eine wichtige Ressource zugreifen kann, kommt die Anwendung dadurch zum Erliegen. Angreifer, die subtiler vorgehen, suchen hingegen nach Möglichkeiten, eine API für ihre Zwecke zu nutzen und Daten zu stehlen, indem sie legitim erscheinende Anfragen senden. Häufig suchen Angreifer auch nach APIs, die es jedem ermöglichen, Identifizierungsmerkmale für Ressourcen wie Nutzerkontos oder Kundenprämien zu erraten. Wenn es Ihrer API an Sicherheit mangelt oder sie einen defekten Authentifizierungsmechanismus hat, kann sie das System für Missbrauch anfällig machen.
Angriffe auf APIs sind oft als legitime Anfragen getarnt, enthalten aber hinter der Maske ungewöhnliche Muster, basieren auf veralteten Anmeldedaten oder treten in für legitimen Traffic übermäßig hohen Quoten auf. Zu den Indikatoren gehören unter anderem ein ungewöhnlich hohes Anfragevolumen, ungültige API-Anfragen, unzulässige Cookies oder Verbindungsversuche von einem nicht vertrauenswürdigen Gerät aus. Einen weiteren Hinweis, dass etwas nicht stimmt, stellen API-Anfragen dar, die nicht ordnungsgemäß autorisiert wurden und aus einer verdächtigen Region stammen oder versuchen, auf geschützte Daten zuzugreifen.
Da Sie Ihren Kunden den Zugriff auf Ihre cloudbasierten Anwendungen nicht verwehren möchten, besteht die erste Maßnahme zur Schadensbegrenzung darin, verdächtige IP-Adressen und Angriffscluster zu untersuchen, um Angriffsmuster aufzudecken, die als Grundlage für weitergehende Abwehrlösungen dienen können. Arbeiten Sie mit einer WAF, mit der Sie im Handumdrehen Blocking-Regeln erstellen können, wonach Angriffsmuster und API-Zugriff von unlauteren IP-Adressen oder geografischen Regionen aus, in denen Ihr Unternehmen nicht tätig ist, blockiert werden.
3. SQL Injection
Viele Websites sind im Backend mit SQL-Datenbanken verbunden. Da SQL-Datenbanken heutzutage allgegenwärtig sind und wertvolle Informationen enthalten, versuchen Angreifer, über Websites auf sie zuzugreifen. Bei solchen SQL Injection-Angriffen können sensible Produktdaten (wie Bestandsinformationen) ausgespäht, Nutzerdaten (wie Adressen, Telefonnummern und Kreditkarteninformationen) gesammelt oder Nutzernamen und Passwörter gestohlen werden.
Um Angriffe automatisch blockieren zu können, benötigen Sie hochpräzise Erkennungsfunktionen. SQL Injection lässt sich zwar durch einen einfachen Musterabgleich aufdecken, dieser ist allerdings anfällig für Fehlalarme und übersieht neue Angriffe leicht. Wie bereits erwähnt, ist es dringend ratsam, einen Anfrageschwellenwert festzulegen; immer wenn dieser überschritten wird, ist ein böswilliger Angriff naheliegend. Abhängig von der Angriffskadenz müssen Sie in der Lage sein, Vorfälle genau zu untersuchen, um zu entscheiden, ob Ihre Datenbestände von einer bestimmten Gruppe ins Visier genommen werden, und sich gegen diese Angriffsversuche abzusichern.
4. Business Logic Exploits
Bei Business Logic Exploits spionieren Angreifer aus, wie eine Anwendung funktioniert, um dann bestimmte Teile ihres Designs zu missbräuchlichen Zwecken abzuändern. Sie nutzen oft öffentlich zugelassene Funktionen, um Daten zu stehlen, Zugriff auf Accounts zu erhalten, Serviceunterbrechungen zu verursachen oder eine App anderweitig auf unerwünschte Weise zu missbrauchen.
Beispielsweise können Parameter, die an einen Server zur Aufrechterhaltung des Sitzungsstatus übermittelt werden, so manipuliert werden, dass der Angreifer über erweiterte Zugriffsberechtigungen verfügt. Bedingungen auf E-Commerce-Websites, im Rahmen derer Rabatte auf Basis von Nutzerprofilen angeboten werden, können durch Profiländerungen umgangen werden. Und eine App, über die Sitzplätze für ein Konzert vor der endgültigen Buchung fünf Minuten lang reserviert werden, kann von einem Angreifer so manipuliert werden, dass er eine Masse an Tickets für sich selbst abgreift.
Da bei Angriffen auf die Geschäftslogik gültige Anwendungsfunktionen verwendet werden, sind sie oft schwer zu erkennen. Um Ihr Unternehmen zu schützen, müssen Sie Hinweise auf Anwendungsmissbrauch nachverfolgen und Kontrollsysteme für ihre Anwendungen einrichten, die potenziell riskante Eingaben wie die Inanspruchnahme von Anwendungsressourcen und Performance-Probleme oder unübliche API-Calls oder Servicenutzung überprüfen.
Sobald Sie einen Angriff entdeckt haben, können Sie den Missbrauch mithilfe spezifischer Regeln solange blockieren, bis Sie Ihre Anwendung durch entsprechende Abwehrmaßnahmen aktualisiert haben. Die besten Sicherheitstools sind solche, die es Ihnen ermöglichen, Regeln auf Basis von Signalen zu definieren. Diese Signale werden aus der Interaktion zwischen Anwendung und Nutzer sowie aus externen Daten gezogen. Dazu zählen beispielsweise User Agents, Anfrageparameter, Cookies und andere Daten, die mit Angreifern in Verbindung gebracht werden können. Mithilfe dieser Regeln können Sie dann bessere Einblicke in den Angriff gewinnen und automatisierte Maßnahmen festlegen, um auf Angriffsversuche, die es auf Ihre Anwendung abgesehen haben, zu reagieren und diese zu vereiteln.
Wählen Sie das beste Tool zur Webverteidigung
Um genauere Einblicke in Angriffe auf Ihre Anwendungen und Cloud-Infrastruktur zu erhalten und Angriffe abzufangen, die Sie sonst übersehen würden, brauchen Sie Sicherheitstools mit flexiblen Bereitstellungsoptionen und Kompatibilität mit Edge-Tools. Ihre Entwickler benötigen verwertbare Daten, die ihnen helfen, Fehler zu beheben und ihre Anwendungen zu verbessern. Die besten Web-Sicherheitstools ermöglichen es Ihnen außerdem, Schwachstellen virtuell zu patchen, und liefern Entscheidern gleichzeitig wichtige Daten zur Performance und zu potenziellen Angriffen, damit alle Beteiligten verstehen, wie Angreifer versuchen, Ihre Web-Layer-Assets für ihre böswilligen Zwecke zu missbrauchen.