Seit der Einführung von E-Mail in den 1970er Jahren hat die Anzahl der Anwendungen und Systeme von Drittanbietern, auf die wir uns verlassen, in den letzten Jahrzehnten nur zugenommen. Heute hat die Ausbreitung von Geschäftsanwendungen die durchschnittliche Abteilung aufgebläht, die auf Dutzende von Anwendungen angewiesen ist. Die Produktion dieser Anwendungen hat ebenfalls zugenommen und hält rasant Schritt. Diese haben mit überwältigender Mehrheit eine Komponente außer Atem gelassen: Sicherheit.
Die Cybersicherheit befindet sich bereits in der Defensive. Lösungen von Drittanbietern wie Web Application Firewalls (WAF) sind nicht mehr nur Vorschläge, um Ihr Unternehmen auf dem neuesten Stand zu halten. a WAF ohne Kopfschmerzen jetzt ist es eine Notwendigkeit.
Nutzt Beat-Patches aus
Softwareentwicklung läuft in Zyklen ab. Nach einem agilen Rahmen arbeiten die Teams in Sprints von einer Woche oder fünfzehn Tagen. Nach jeder Iteration liefern die Produktteams eine funktionierende App, sammeln Feedback und passen die Ziele neu an, bevor sie mit dem nächsten Sprint beginnen. Dieser Prozess ist sehr schnell und konzentriert sich darauf, das Minimum Viable Product (MVP) auf den Markt zu bringen. Es macht aus wirtschaftlicher Sicht sehr viel Sinn; Schließlich kann nur eine funktionierende App Geld verdienen. Ein großer Fehler in diesem Entwicklungsprozess liegt jedoch in der üblichen Überwachung der Sicherheit. 3 von 4 Bewerbungen die von Softwareanbietern produziert werden, entsprechen nicht den OWASP Top 10-Standards, was bedeutet, dass sie die häufigsten Schwachstellen nicht einhalten.
Die meisten Sicherheitslücken werden in dieser Reihenfolge identifiziert und dann behoben. Schlimmer noch, die durchschnittliche Patchzeit ist zwischen 60 und 150 Tagen.
Vergleichen Sie das mit der Lieferkette für Software auf dem dunklen Markt. Viele Malware-Elemente arbeiten nach einem Ransomware-as-a-Service-Modell; Hier zahlen die Partner den ursprünglichen Entwicklern einen festen Betrag für die Verwendung ihres Schadcodes. Es ist normalerweise ein Prozentsatz dessen, was Affiliates mit einem erfolgreichen Lösegeld verdienen. Das Geschäftsmodell, auf das sich diese Cyberkriminellen verlassen, ist von Natur aus viral, da derselbe Code repliziert und als Waffe gegen Millionen potenzieller Opfer eingesetzt werden kann. Schlimmer noch: Sobald ein RaaS einen erfolgreichen Ruf erlangt hat, schließen sich immer mehr Affiliates an und suchen ihr eigenes Stück vom Kuchen.
Das Finden und Ausnutzen von Schwachstellen ist natürlich wichtiger als das Patchen, weshalb Schwachstellenkataloge eine entscheidende Rolle bei der Aufrechterhaltung der Gesundheit der gesamten Sicherheitsumgebung spielen. Häufige Schwachstellen, die einmal in freier Wildbahn oder von Forschern entdeckt wurden, erhalten einen CVE-Code. Viele davon werden dann auf branchenspezifischen Listen katalogisiert. Beispielsweise unterhält CISA eine maßgebliche Quelle für Schwachstellen. Bundes- und Landesbehörden sind verpflichtet, die enthaltenen Patch-Anforderungen einzuhalten.
Die Zahl der Schwachstellen in Katalogen wie der US National Vulnerability Database ist in den letzten Jahren sprunghaft angestiegen; 2021 wurden 18.374 Schwachstellen im Produktionscode entdeckt. Interessanterweise gab es jedoch weniger Fehler mit hohem Schweregrad als im Jahr 2020, was darauf hindeutet, dass Angriffe immer vielfältiger und komplexer werden.
Brandneue Verstöße
Einige der 2021-Schwachstellen waren relativ spezifisch; andere waren massiv. Microsoft Exchange ist einer der größten verfügbaren Mailserver, der von Hunderttausenden von Organisationen auf der ganzen Welt verwendet wird. Im Laufe des Jahres 2021 wurden auf diesem Server mehrere Schwachstellen gefunden, eine der schlimmsten war der ProxyShell-Angriff.
Sowohl ProxyShell als auch ProxyLogin beziehen sich auf Angriffsketten, die sich auf die Eskalation von Berechtigungen und die Umgehung der Authentifizierung konzentrieren. Die HAFNIUM-Angriffsgruppe nutzte diese Schwachstelle besonders aus und zielte auf in den USA ansässige Organisationen in der Infektionsforschung, Wohltätigkeitsorganisationen und Hochschulbildung ab. Auf der ganzen Welt im Nahen Osten stellten Forscher fest, dass diese Angriffskette häufig zum Einschleusen von Ransomware verwendet wurde.
es wird nur noch schlimmer
Während jeden Tag neue Schwachstellen entdeckt werden, verlassen sich viele Angriffe in freier Wildbahn weiterhin auf alte Schwachstellen.
Die massive Datenschutzverletzung von Equifax im Jahr 2017 wurde durch eine monatelange Schwäche in der Struts-Funktion von Apache verursacht. Apache Struts ist ein Open-Source-Framework für Webanwendungen, das in diesem Fall für Formulardaten verwendet wurde. Die Schwachstelle bedeutete, dass ein Angreifer ohne Anmeldung, ohne auch nur Formulardaten hochzuladen, eine Remotecodeausführung durchführen konnte.
Bei der ersten Datenpanne wurden die Anmeldedaten von Mitarbeitern gestohlen. Die angreifende Gruppe nutzte diese Details dann, um sich Zugang zu den Kreditüberwachungsdatenbanken von Equifax zu verschaffen. Von dort extrahierten sie die privaten Aufzeichnungen von fast 150 Millionen Amerikanern, 15 Millionen britischen Bürgern und 19.000 kanadischen Bürgern.
Seit diesem Jahr wurden die Daten nicht mehr im Darknet zum Verkauf angeboten: Dies liegt daran, dass es sich um einen politischen Spionageakt der von der KPCh gegründeten Hackergruppe der Volksbefreiungsarmee handelte.
Wie man vorne bleibt
Angesichts der Distanz zwischen der Entdeckung eines Exploits und seiner Verwendung in einem echten Angriff könnte man denken, dass Datenschutzverletzungen einfach die Kosten der Geschäftstätigkeit sind. Viele Organisationen haben bereits diese Philosophie, besonders wenn sie wachsen.
Diese Art des Denkens ist jedoch sowohl für Ihre Kunden als auch für Ihre Interessengruppen ein völliger Fehlschlag. Insbesondere Ransomware-Kriminelle gehen davon aus, dass Unternehmen sie dafür bezahlen, dass sie verschwinden. Das Problem einfach zu ignorieren oder schlimmer noch, die Lösung aufzuschieben, ermutigt diese Kriminellen direkt.
Die Antwort liegt im virtuellen Patchen. Virtuelle Patches, die manchmal auch als Schutz vor Schwachstellen bezeichnet werden, fungieren als vorübergehender Verband, um zu verhindern, dass eine bekannte oder unbekannte Schwachstelle ausgenutzt wird. Robustes virtuelles Patching implementiert Richtlinienschichten, die a Schlag vom Angreifer zu Ihren kritischen Systemen.
Eine Web Application Firewall (WAF) ist eine Firewall, die eine Anwendung umschließt. Durch die Überwachung der Perimeter prüft die WAF jede von Ihnen hergestellte Verbindung anhand ihrer eigenen anpassbaren schwarzen und weißen Liste. Ein positives WAF-Modell erlaubt jede Verbindung mit Ausnahme einiger weniger; während ein negatives WAF-Modell nur bestimmte Verbindungen zulässt. Diese letzte Option sollte die Standardeinstellung für nicht-öffentliche Infrastrukturteile sein, da sie Angreifer von Natur aus daran hindert, die Kontrolle über einen Befehls- und Kontrollserver eines Drittanbieters zu übernehmen und zu erlangen. Eine gut konfigurierte WAF gibt Ihnen Zeit und Ressourcen für die kritischen Sicherheitsaufgaben frei, auf die es ankommt.
Die zweite Ebene des virtuellen Patchens sollte Ihre Runtime Application Self-Protection (RASP)-Lösung sein. Dies befindet sich in der App selbst und überwacht Ihr Verhalten direkt. Sobald es ein Verhalten erkennt, das als abnormal angesehen wird, meldet es dies und Sie können die Aktivität beenden. Dadurch können sogar neue Zero-Day-Angriffe, wie z. B. das Microsoft Exchange ProxyShell-Problem, verhindert werden.
Quelle: Source link www.noobpreneur.com