Finanzdienstleistungen - Versuche einer feindlichen Übernahme - "State of the Internet"-Sicherheitsbericht - Akamai
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Band 6, Ausgabe 1
„State of the Internet“-Sicherheitsbericht
Finanzdienstleistungen –
Versuche einer feindlichen
ÜbernahmeInhaltsverzeichnis
2 Mitteilung des Herausgebers
3 Gastbeitrag: „Schäden vermeiden“ von
Jennifer Leggio, Claroty
5 Die Motte in der Maschine und der Pionier,
der sie entdeckt hat
6 Studien von Akamai
8 API-Angriffe
11 Webangriffe
13 DDoS-Angriffe
16 Zero Trust
20 Gelernte Lektionen
21 Anhang: Methodik
25 Mitwirkende
1 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1Mitteilung des
Herausgebers
Martin McKeay
Editorial Director
Willkommen zu Ausgabe 6 des „State of the Internet“- Die Daten, die als Grundlage für die Analysen in
Sicherheitsberichts. Es ist ein neues Jahr. Wir alle diesem Bericht dienen, stammen aus einer Vielzahl
haben gute Vorsätze gefasst. Aber vielfach haben von Produkten und Messungen in unserem gesamten
wir diese Vorsätze bereits gebrochen und genauso Unternehmen. Durch die Einführung neuer und die
weitergemacht wie vorher. Verfeinerung bestehender Produkte erhalten wir neue
Einblicke in die Angriffe und die Angreifer, mit denen
Die Mitarbeiter des SOTI-Teams hatten nur einen
wir es zu tun haben. Denn wenn wir nicht wachsen,
guten Vorsatz – und zwar denselben wie schon seit
uns weiterentwickeln und innovativ sind, sind wir als
Jahren: sich weiterzuentwickeln. Es besser zu machen,
Sicherheitsunternehmen irrelevant.
als in der Vergangenheit, aus unseren Fehlern zu
lernen, neue Herausforderungen zu entdecken Wir haben uns im vergangenen Jahr mehrfach
und zu überwinden. Das haben wir im letzten mit dem Missbrauch von Anmeldedaten befasst,
Jahr bestmöglich getan, bemühen uns aber auch und dies ist nach wie vor ein wichtiges Thema. In
weiterhin darum, die von uns veröffentlichten diesem Bericht führen wir zwei neue Datensätze aus
Berichte fortlaufend zu verbessern. unseren Identity Cloud- und Enterprise Application
Access-Produkten ein. Beide bieten Einblicke in
Das schaffen wir nicht immer. Aber selbst in einem
verschiedene Aspekte von Nutzerkonten sowie
solchen Fall lernen wir aus unseren Fehlern und
Remotezugriff auf das Netzwerk und lassen sich
sorgen dafür, diese Fehler nicht noch einmal zu
weitgehend unter Zero Trust einordnen.
machen. In vieler Hinsicht ist dies genau das, was ein
gutes Unternehmen bzw. ein gutes Sicherheitsteam Viele Menschen fassen zum Jahreswechsel gute
anstreben sollte: heute besser zu sein als gestern. Vorsätze. Unser Engagement für Wachstum und
Veränderung ist ein integraler Bestandteil dieses
Der SOTI-Bericht ist nicht mehr der gleiche wie
Berichts. Im Laufe eines Jahres untersuchen wir
vor drei Jahren, vor zwei Jahren oder sogar noch
dieselben Datentypen möglicherweise mehrmals,
Anfang 2019. Akamai ist nicht mehr dasselbe
aber der jeweilige Bericht enthält immer etwas Neues.
Unternehmen wie Anfang 2019, und Ihr Unternehmen
So können wir Ihnen weitere Informationen zu den von
ist es wahrscheinlich auch nicht mehr. Ihre
uns im Internet beobachteten Aktivitäten bereitstellen.
Sicherheitspraktiken haben sich hoffentlich im
vergangenen Jahr weiterentwickelt, denn wir sind Veränderungen sind die einzige Konstante, an die
davon überzeugt, dass auch Kriminelle und andere wir uns halten. Wir gehen jeden Bericht unter einem
digitale Disruptoren besser gerüstet sind, um Ihre anderen Gesichtspunkt an und hoffen, dass dies für
Verteidigungsmaßnahmen zu umgehen. unsere Leser hilfreich ist.
Übersicht/Zusammenfassung
• Zwischen November 2017 und Oktober 2019 waren • Der Großteil des Zugriffs auf Anwendungen und
mehr als 40 % der eindeutigen DDoS-Ziele in der Services (74 %) erfolgt nach wie vor über die
Finanzdienstleistungsbranche angesiedelt. herkömmliche Anmeldung (Nutzername und
Kennwort).
• Von Mai bis Oktober 2019 zielten
Credential-Stuffing-Angriffe auf die
Finanzdienstleistungsbranche vermehrt auf APIs
ab: Vielfach machten sie mindestens 75 % der
gesamten Credential-Stuffing-Angriffe auf diesen
2 Sektor aus. 2Schäden vermeiden
Jennifer Leggio
CMO, Claroty
Ein neues Jahr, eine neue Saison für Furcht, Unsicherheit und Zweifel
Sicherheitskonferenzen und eine weitere Runde
(kurz „FUD“)
von Sicherheitsanbietern, die alles tun, um die
Aufmerksamkeit der Käufer zu gewinnen. Aus Aufgrund von Furcht, Unsicherheit und Zweifel
diesem Grund gibt es Marketing, und darum wenden lassen sich Produkte verkaufen oder zumindest
Marketingteams so viel Zeit, Aufwand und Geld die Aufmerksamkeit von Käufern auf sich ziehen.
für Konferenzen auf. Der Grund, aus dem manche Sicherheitsexperten sprechen oft darüber, den
Teams scheitern, ist die Methode, mit der sie Ihre Faktor FUD in der Branche zu reduzieren oder
Aufmerksamkeit auf sich lenken wollen. ganz auszumerzen, aber viele grundlegende
Marketingtaktiken stützen sich auf genau diesen
Als Marketer weiß ich aus erster Hand, dass Ansatz. Es ist schwer, dieser Verlockung zu
Anbieter kreativ sein müssen, um sich von der widerstehen, vor allem, weil sie so gut funktioniert.
Masse abzuheben. Genau das ist unsere Aufgabe:
Vertriebsorganisationen zu unterstützen, ihnen beim Ständig finden sich Schlagzeilen wie diese:
Aufbau von Geschäftsbeziehungen und letztendlich „Angesichts der sich ständig verändernden
bei Umsatzsteigerungen zur Seite zu stehen. Cybersicherheitslandschaft von heute muss X als
Marketingorganisationen in der Sicherheitsbranche Abwehrmaßnahme eingesetzt werden!“ In meinem
tragen jedoch eine zusätzliche Verantwortung: Sie Kopf wird das automatisch so übersetzt: „Leute,
müssen dafür sorgen, dass ihre Kampagnen zur die Sicherheitsbranche verändert sich stetig! Es
Unterstützung des Geschäfts dem Unternehmen ist unmöglich, Schritt zu halten, daher sollten Sie
keinen Schaden zufügen. unbedingt unsere Pressemitteilung lesen!“ Eine
solche Meldung hört sich hochgradig autoritär an.
Die Sicherheitsbranche reagiert im Vergleich
zu anderen Branchen empfindlicher auf Und sie spricht einen empfindlichen Punkt an, über
Marketingaktivitäten, die irreführend, nicht den viele meiner CISO (Chief Information Security
wahrheitsgemäß oder einfach falsch sind. Dies steht Officer)-Freunde schon geredet haben: Glauben
im Gegensatz zu dem Druck, den die Führungsebene Sie nicht, dass Sie wissen, was meine Probleme sind
häufig auf Marketingteams ausübt, um jeden Preis oder wie ich sie angehen sollte. Jede Organisation
die Aufmerksamkeit der Käufer zu erregen. Dies ist anders, und jeder CISO hat unterschiedliche
passiert nicht nur im Marketingbereich. Auch bei Anforderungen. Marketingfachleute, die den FUD-
Führungskräften außerhalb des Marketings, bei Ansatz nutzen, mindern unter Umständen eine
technischen Leitern, Ingenieuren, Analysten und eigentlich wichtige Botschaft, an der ein CISO
sogar Forschern lassen sich nur allzu oft fragwürdige interessiert sein könnte. Anstatt den CISO zum
Verhaltensweisen in sozialen Medien beobachten. Lesen der Botschaft anzuregen, schafft FUD die
Marketingteams haben im Allgemeinen zwar eine Wahrnehmung, dass das Unternehmen Angstmacherei
lautere Stimme (und ein höheres Budget), aber für den Verkauf benötigt, was sich möglicherweise
dafür müssen alle Beteiligten in Betracht ziehen, rufschädigend auswirkt.
welche Schäden durch aufmerksamkeitserregende
Kampagnen verursacht werden können.
Meiner Ansicht nach gibt es eine Falle, die besonders
gefährlich ist: FUD (Fear, Uncertainty, Doubt).
3 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1Es folgen Beispiele für weitere auffällige FUD- Für das Jahr 2020 fordere ich alle in unserer
Schlagzeilen: Branche und unserer Community auf, ihren Ansatz
beim Sicherheitsmarketing zu überdenken. Geht
• „Ihr Unternehmen ist wahrscheinlich gefährdet, es bei der von Ihnen gesendeten Nachricht und
Sie wissen es nur noch nicht!“ bei den von Ihrem Unternehmen durchgeführten
Forschungsarbeiten darum, den Sicherheitssektor zu
• „Sorgen Sie dafür, dass Ihnen nicht dasselbe wie verbessern oder davon abzulenken? Es stimmt zwar,
[Unternehmen] passiert!“ dass der Grat zwischen Forschung und Angstmacherei
bisweilen sehr schmal ist, aber es ist in der Regel nicht
• „Wir wissen etwas über Ihr Unternehmen,
schwer, den Unterschied zu erkennen. Senden Sie
das Sie nicht wissen – in einem Telefonat mit
daher keine sensationsgierigen Botschaften, sondern
uns erfahren Sie mehr!“
solche, die den Leser informieren und das Risiko in
• Jegliche Bilder einer Person in einem dunklen unserer Welt reduzieren.
Hoodie, die sich über eine Tastatur beugt.
Manche Unternehmen verteidigen möglicherweise
den Einsatz von FUD, hauptsächlich deshalb,
weil „es funktioniert“. Wenn mir dieses Argument
begegnet, frage ich immer nach einer Definition von
„funktionieren“. Vielleicht führen solche Schlagzeilen
zu einem Interessenten oder sogar zu einem Verkauf,
aber was sind die langfristigen Auswirkungen auf
Kundentreue und Ruf des Unternehmens? Jede
Beziehung stützt sich auf Vertrauen. Angstmacherei
wirkt sich aber negativ auf das Vertrauen aus. Meiner
Meinung nach ist der kurzfristige Nutzen von FUD-
Kampagnen und -Inhalten es nicht wert, unsere
Kundenbeziehungen aufs Spiel zu setzen.
Jennifer Leggio ist Chief Marketing Officer bei Claroty, einem weltweit führenden Unternehmen im Bereich industrielle
Cybersicherheit. Sie arbeitet seit fast 20 Jahren als Sicherheitsmarketer und leitet Teams, Programme und Strategien für
Start-ups und öffentliche Unternehmen. Jennifer Leggio ist eine leidenschaftliche Verfechterin von wahrheitsgetreuem
Sicherheitsmarketing, ethischer Marktführerschaft und Schutz der Sicherheitsforschung. Sie hat diese Themen bei
DEF CON, Hack in the Box, auf der RSA Conference und in unzähligen Podcasts behandelt. Sie ist auf Twitter unter
@mediaphyter erreichbar.
4Die Motte in der Maschine und
der Pionier, der sie entdeckt hat
Am 9. September 1947 soll Admiral Grace Hopper eine etwa 5 cm lange Motte
in einem Kurzschlussrelais im Computer Harvard Mark II entdeckt haben.
Im Logbuch notierte sie: „Habe heute den ersten richtigen Bug gefunden.“ NH 96566-KN mit freundlicher
Genehmigung des Naval History
and Heritage Command
01100010 01101111 01110100 01110100 01101111 01101101 00100000 01101111 01100110 00100000 01110000 01100001 01100111 01100101
Sie schreibt zwar ihrem Team zu, die Motte 1934 erhielt sie einen Doktortitel in Mathematik von
entdeckt zu haben, aber egal, wer sie der Yale University und unterrichtete anschließend
auch gefunden hat: Es wäre nicht ihre an den Universitäten Vassar, Penn und an der George
erste Entdeckung. Washington University sowie bei der US Naval
Reserve.
1952 gelang es Admiral
Hopper, den Unterroutinen Sie wehrte sich erfolgreich gegen ihre abgelehnte
in der Maschinensprache Bewerbung bei der US-Marine. Als sie nach 40 Jahren
Rufnummern zuzuweisen, die auf Dienstzeit (drei Auslandseinsätze) in den Ruhestand
Admiral Grace Hopper Magnetbandabschnitten aufgezeichnet ging, war sie Konteradmiral.
(1906–1992)
wurden. Dies war der weltweit erste
Compiler. In der Zwischenzeit war an ihrem Schreibtisch eine
Totenkopfflagge angebracht. Die Uhr an der Wand
1953 ersetzte sie die Rufnummern durch Wörter lief gegen den Uhrzeigersinn. Und bekanntermaßen
und schuf die erste dem Englischen ähnliche wird sie im CHIPS-Newsletter der US-Navy zitiert:
Datenverarbeitungssprache FLOW-MATIC. Damit „Es ist einfacher, um Entschuldigung zu bitten als
übernahm sie die Führungsrolle bei der Entwicklung um Erlaubnis.“
von COBOL.
Es ist kein Wunder, dass Studenten, Kollegen,
Und als das COBOL eines Unternehmens 1967 nicht Vorgesetzte und ihr Mitarbeiterstab sie
auf dem Computer eines anderen Unternehmens „Amazing Grace“ nannten.
ausgeführt werden konnte, entwickelte sie den ersten
Branchenstandard für die Informationstechnologie. Heute haben wir dank Admiral Hopper
Branchenstandards, die alles möglich machen: von
Admiral Grace Brewster Murray Hoppers Arbeit war digitalen Fotos bis hin zu 5G. Statt INHEX, HEXERTS
so bahnbrechend, dass sie zum angesehenen Fellow und CO1E 8D F0 können wir „Hey, Google“ sagen.
der British Computer Society ernannt wurde und der
erste Computer Science Man of the Year der Data Und wenn Sie das nächste Mal ein System debuggen,
Processing Management Association war. denken Sie daran, dass Admiral Hopper darin
Pionierarbeit geleistet hat.
Den Begriff der „gläsernen Decke“ gab es zu Zeiten
von Admiral Hopper noch nicht. Und wenn es ihn
gegeben hätte, hätte sie ihn ignoriert. Menschen sind allergisch gegen
Veränderungen. Sie sagen gern: „Das haben
wir schon immer so gemacht.“ Genau diese
Einstellung will ich ausmerzen.“
Admiral Hopper
5 68 74 74 70 73 3A 2F 2F 70 61 73 74 65 62 69 6E 2E 63 6F 6D 2F 52 37 48 75 57 5A 32 39Studien von Akamai
6Einführung
In Band 5, Ausgabe 4 des „State of the Internet“- APIs sind heute überall. Mitarbeiter und Kunden
Sicherheitsberichts haben wir uns auf die im Finanzdienstleistungssektor begegnen ihnen
Methoden und Tools konzentriert, die Kriminelle zur ständig, insbesondere REST, da es häufig in der
Durchführung von Credential-Stuffing-Angriffen auf Entwicklung von Websites und Apps eingesetzt wird.
die Finanzdienstleistungsbranche einsetzen. Damals Außerdem ist SOAP eine weitere beliebte Option im
haben wir festgestellt, dass Angriffe auf Finanzinstitute Unternehmensbereich, besonders im Bankwesen.
sowohl von der Menge als auch von der Raffinesse SOAP bietet ein höheres Maß an Flexibilität beim
her zunahmen. Umgang mit Client- und Serverbeziehungen, für die
bei Datenbanktransaktionen eine hohe Präzision
Das gilt auch heute noch. Kurz nach Veröffentlichung erforderlich ist.
des Berichts verzeichnete Akamai einen
rekordverdächtigen Angriff auf ein bekanntes Für Kriminelle sind REST- und SOAP-Architekturen
Finanzunternehmen. Dieser Angriff umfasste lediglich Ziele. Sie müssen umgangen werden, um
55.141.782 schädliche Anmeldeversuche am wichtige Daten oder finanzielle Informationen zu
7. August 2019. Diese Anmeldeversuche, allgemein erhalten.
als Credential-Stuffing-Angriffe bezeichnet, stellten
die höchste Spitze bei gezielten Credential-Stuffing- Die fehlende Einheitlichkeit der API-
Angriffen auf ein Finanzdienstunternehmen dar, Entwicklungsmethoden haben zu vielen der
die wir seit Beginn der Verfolgung dieser Angriffe Probleme geführt, die wir in den letzten Jahren erlebt
verzeichnet haben. Obwohl die Angreifer letztlich haben. Einige APIs erlauben beispielsweise, das
scheiterten, zeigen Menge und Intensität der Attacke, Kennwort so oft zu erraten, wie für eine erfolgreiche
dass der Finanzsektor nach wie vor ein Hauptziel für Authentifizierung nötig ist, während es bei anderen
Kriminelle ist. Beschränkungen gibt. Kriminelle nutzen solche
fehlenden Beschränkungen und verarbeiten
In diesem Bericht untersuchen wir Application Zehntausende von Anmeldedaten in Minuten. Bei
Programming Interfaces (API), auf die es Kriminelle beschränkten APIs setzen Kriminelle das Threading-
mithilfe von Credential-Stuffing-Angriffen abgesehen Verfahren ein, um ihre Ziele langsamer – und damit
haben. unauffällig – zu erreichen.
Die für Credential Stuffing untersuchten APIs Eine weitere API-Entwicklungspraxis, die zu Problemen
verwenden REST und SOAP für den Zugriff auf führt, bezieht sich auf die Fehlerprüfung. Kriminelle
Ressourcen. Dazu gehören Kontoauszüge mit nutzen APIs, um ihre Listen zu validieren und zu
persönlichen Informationen, Kontodatensätzen und bestätigen, dass ein Nutzername tatsächlich bei
Salden sowie andere Tools oder Services innerhalb einem Service vorhanden ist. Je nachdem, wie die
der Plattform. Anwendung oder Plattform entwickelt wurde, können
die Fehlerantworten verwendet werden, um Listen zu
REST und SOAP sind zwar nicht direkt vergleichbar, sortieren und zu validieren, was ein besseres Targeting
es handelt sich dabei aber im Wesentlichen um ermöglicht.
Kommunikationsmethoden zwischen Anwendungen.
REST kann je nach Projekt auf unterschiedliche Weise Und schließlich ist es Kriminellen aufgrund der
implementiert werden. SOAP ist ein Standard für den breiten Einführung und Nutzung von APIs möglich,
Datenaustausch. ihre Angriffe zu automatisieren. Aus diesem
Grund ist die Anzahl der Credential-Stuffing-
Vorfälle im Jahresvergleich weiter angestiegen,
und entsprechende Angriffe stellen in allen
Marktsegmenten ein konstantes Risiko dar.
7 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1Staging von Angriffen auf Finanzdienstleister
Kriminelle benötigen drei Dinge, um Credential-Stuffing-Kampagnen durchzuführen. Zunächst brauchen sie
Zugangsdatenlisten (auch Kombinationslisten genannt), die Nutzernamen und Kennwörter enthalten.
Weiterhin benötigen Kriminelle ein bekanntes Ziel mit zugänglichen Authentifizierungsmechanismen.
In vielen Fällen handelt es sich bei diesen Authentifizierungsmechanismen um API-Endpunkte.
Schließlich brauchen sie ein Tool, um diese Listen sowie Konfigurationsdateien zu nutzen und
ordnungsgemäß mit dem Authentifizierungsmechanismus des Opfers zu kommunizieren.
API-Angriffe
Von Dezember 2017 bis November 2019 beobachtete Abbildung 1 zeigt die täglichen schädlichen
Akamai 85.422.079.109 Angriffe mithilfe des Anmeldungen, wobei die offensichtlichen API-
Missbrauchs von Anmeldedaten in unserem Endpunkte hervorgehoben sind. Das obere
Kundenstamm. Fast 20 % oder 16.557.875.875 Diagramm zeigt alle Branchen, während im unteren
betrafen Hostnamen, die eindeutig als API-Endpunkte Diagramm ausschließlich Finanzdienstleister
identifiziert wurden. Von diesen griffen 473.518.955 aufgeführt sind. Ab Mai 2019 stieg die Anzahl
Unternehmen in der Finanzdienstleistungsbranche schädlicher Anmeldeversuche auf APIs im
an. Einige Unternehmen verwenden weniger Finanzdienstleistungssektor deutlich an. Außerdem
offensichtliche Pfade und Namen für ihre APIs, aber werden die höchsten Einzelspitzen in unseren
für unsere Zwecke gab es eindeutig identifizierbare Daten für den Missbrauch von Nicht-API- und API-
Endpunkte, die für uns ausreichend waren. Anmeldedaten hervorgehoben, sowohl allgemein als
auch im Finanzdienstleistungssektor.
Schädliche Anmeldeversuche pro Tag – Eindeutige API-Hostnamen hervorgehoben
Alle Branchen
300 Mio.
25. Jan. 2018 27. Okt. 2018
113.324.322 287.168.120
200 Mio.
Schädliche Anmeldeversuche (in Millionen)
100 Mio.
0 Mio.
Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019
Finanzdienstleister
7. Aug. 2019
55.141.782
40 Mio.
20 Mio. 25. Aug. 2019
19.058.161
0 Mio.
Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019
Offensichtlicher API-Endpunkt? Nein Ja
Abb. 1: Ab Mai 2019 stieg die Anzahl schädlicher Anmeldeversuche auf APIs im Finanzdienstleistungssektor deutlich an.
8Wöchentlicher Prozentsatz böswilliger Anmeldeversuche auf APIs
75 %
API-Angriffe (in Prozent)
50 %
25 %
0%
Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019
Alle Branchen Finanzdienstleister
Abb. 2: Im Mai 2019 stiegen schädliche Anmeldeversuche auf API-Endpunkte im Finanzsektor im Vergleich zum Prozentsatz
der Gesamtangriffe stark an.
Abbildung 2 zeigt Credential-Stuffing-Angriffe auf APIs Auffallend ist der Monat Mai, in dem sich die
als Anteil dieser Angriffe und illustriert, wie Angriffe Anzahl schädlicher Anmeldeversuche in der
auf APIs in den letzten Monaten zugenommen haben, Finanzdienstleistungsbranche von 2018 bis
sodass sie bisweilen 75 % der Angriffe ausmachen. 2019 fast verdreifacht hat. Die Ursache für dieses
Dies weist auf eine drastische Verlagerung der Ziele Wachstum lässt sich wahrscheinlich auf die Flut
von Kriminellen weg von allgemeinen Anmeldeseiten von Anmeldedatenlisten auf dem kriminellen
und hin zu API-Anmeldungen hin. Markt zurückführen sowie auf die Tatsache, dass
Daten aus der Finanzdienstleistungsbranche für
Bei Untersuchung der Daten aus weiteren sechs Kriminelle, die sie für Gelddiebstahl, Geldwäsche und
Monaten in diesem Bericht konnten wir verschiedene Identitätsbetrug nutzen, äußerst wertvoll sind. Dies
interessante Beobachtungen über Credential-Stuffing- entspricht auch der Verlagerung beim Credential
Angriffe auf die Finanzdienstleistungsbranche machen. Stuffing hin zu API-Seiten, wodurch signalisiert wird,
Abbildung 3 zeigt den wöchentlichen versuchten dass sich die Angriffe auf diese API-Anmeldungen
Missbrauch von Anmeldedaten für die gleichen erheblich steigern werden.
Wochen im Jahr 2018 bzw. 2019 im Vergleich sowie
die monatliche Änderung.
Vergleich bösartiger Anmeldeversuche im Finanzsektor – 2018 und 2019
+12 % +7 % +105 % +175 % +47 % +15 % +14 %
Schädliche Anmeldeversuche pro Woche (in Millionen)
200 Mio.
100 Mio.
0 Mio.
-21 % -2 % -9 % -83 %
Jan. Feb. März Apr. Mai Juni Juli Aug. Sep. Okt. Nov.
2018 2019
Abb. 3: Im Mai trat die höchste Spitze von Credential-Stuffing-Angriffen im Finanzdienstleistungssektor auf, wobei die Anzahl der
Anmeldungen sich von 2018 auf 2019 fast verdreifacht hat.
9 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1Tägliche schädliche Anmeldeversuche mit Ursprungsland Malaysia
Finanzdienstleister und andere
26. Apr. 2019 16. Mai 2019
33.852.298 33.434.902
Schädliche Anmeldeversuche (in Millionen)
30 Mio.
20 Mio.
29. Apr. 2019
16.165.478
10 Mio.
18. Mai 2019
8.890.600
0 Mio.
Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019
Branche Sonstige Finanzdienstleister
Abb. 4: Der Großteil der schädlichen Anmeldeversuche bei Finanzdienstleistern mit Ursprungsland Malaysia erfolgte im
1. und 2. Quartal 2019.
Kriminelle kaufen, verkaufen und handeln nach wie Finanzdienstleister aus Malaysia. In unserem jüngsten
vor äußerst kurzfristig mit Bankkarten, Anmeldedaten Datensatz macht Malaysia 351.107.813 böswillige
für Finanzdienstleister, kompromittierten Anmeldeversuche auf den Finanzsektor bzw. 21,49 %
Geschenkkartensalden und Online-Banking-Konten, aus (ein Rückgang von 1,66 %, obwohl sich die Anzahl
da die Nachfrage danach nicht abnimmt. Einige schädlicher Anmeldeversuche insgesamt um mehr als
kompromittierte Assets werden gegen Bargeld 100 Millionen erhöht hat).
eingetauscht, während andere direkt zwischen
Kriminellen gegen weitere Produkte ausgetauscht In den ersten sechs Monaten des Jahres 2019
werden, z. B. tauscht jemand gültige Bankkonten hatten praktisch alle schädlichen Anmeldeversuche
gegen Salden von Kreditkartenkonten in Europa. auf Finanzdienstleister ihren Ursprung in Malaysia.
Insgesamt 99,6 % der Versuche in diesem Zeitraum –
Ein weiterer Credential-Stuffing-Datenpunkt betrifft knapp 351 Millionen – richteten sich gegen einen
die Ursprungsländer. In unserem letzten Bericht bekannten Dienstleister für Onlinezahlungen.
über Finanzdienstleistungen war Malaysia nach
China und den USA die drittgrößte Angriffsquelle.
Zu diesem Zeitpunkt stammten 227,443,763
(23,15 %) der schädlichen Anmeldeversuche auf
Der Kauf und Verkauf von kompromittierten Bankkarten und
Anmeldedaten für Finanzdienstleister ist unter Kriminellen
nach wie vor üblich.
10Webangriffe Unter Berücksichtigung all dieser Faktoren versuchen
Kriminelle mit LFI-Angriffen Daten aufzudecken, die
Credential Stuffing ist nur einer der Angriffstypen, eine stärkere Präsenz auf dem Server ermöglichen,
denen sich die Finanzdienstleistungsbranche z. B. eine Konfigurationsdatei mit Zugangsdaten
gegenübersieht. Kriminelle sind nicht wählerisch, für die Datenbank. Wenn der Datenbanknutzer
wenn es um Methoden geht, und meistens versuchen Schreibberechtigungen hat, könnte der Kriminelle die
sie es mit verschiedenen Angriffstypen, bis sie Erfolg über LFI preisgegebenen Daten einsetzen, um eine
haben. Daher lassen sie sich nur mit einem soliden Remoteverbindung zur Datenbank herzustellen und
mehrschichtigen Verteidigungsansatz aufhalten. durch das Ausführen von Befehlen den Server selbst
zu gefährden.
Im selben 24-monatigen Zeitraum, in dem der
Datentraffic zum Missbrauch von Anmeldedaten
untersucht wurde, verzeichnete Akamai
662.556.776 Angriffe auf Webanwendungen im Zwischen 2018 und 2019 war
Finanzdienstleistungssektor und 7.957.307.672
Angriffe in allen Branchen. Die Spitzen-Angriffsdaten
Local File Inclusion (LFI) der häufigste
für 2018 und 2019 sind in Abbildung 5 aufgeführt. Angriffstyp im Finanzsektor.
Abbildung 6 zeigt eine Aufschlüsselung der
Webangriffstypen während des 24-monatigen
Beobachtungszeitraums. Insgesamt machte SQL-
Injection (SQLi) in diesem Zeitraum über alle Branchen Mit 50,7 Millionen erfassten Angriffen oder 7,7 %
hinweg mehr als 72 % aller Angriffe aus. Diese des beobachteten Angriffstraffics war XSS die
Rate halbiert sich auf 36 %, wenn man sich nur die dritthäufigste Art von Angriffen auf Finanzdienstleister.
Angriffe auf Finanzdienstleister ansieht. Der häufigste XSS machte in allen Branchen 3,3 % der Angriffe
Angriffstyp für den Finanzdienstleistungssektor war aus. Danach folgte PHP-Injection (PHPi) mit fast
mit 47 % des beobachteten Datentraffics Local File 16 Millionen Angriffsversuchen auf Finanzdienstleister.
Inclusion (LFI). Die übrigen 5,7 % der Angriffe auf Finanzdienstleister
umfassen Command Injection (CMDi), Remote
LFI-Angriffe nutzen verschiedene Skripte aus, die auf File Inclusion (RFI), OGNL-Injection und schädliche
Servern ausgeführt werden. In der Regel ist das PHP, Dateiuploads.
aber auch LFI-Fehleranfälligkeiten sind in ASP, JSP und
anderen Webtechnologien zu finden. Die Folge dieser
Angriffe ist in der Regel die Offenlegung wichtiger
Informationen. Außerdem lassen sich LFI-Angriffe
für die clientseitige Befehlsausführung (z. B. eine
anfällige JavaScript-Datei) nutzen, was zu XSS- (Cross-
Site Scripting) und DoS-Angriffen (Denial-of-Service)
führen kann.
11 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1Angriffe auf Webanwendungen pro Tag
Finanzdienstleister und andere
17. Okt. 2019
50 Mio. 50.350.787
22. Nov. 2019
22. Nov. 2018 42.248.675
40 Mio. 40.376.035
Webangriffe (in Millionen)
30 Mio.
23. Dez. 2018
23.771.753
20 Mio.
28. Okt. 2019
13.491.776
10 Mio.
0 Mio.
Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019
Branche Sonstige Finanzdienstleister
Abb. 5: Eintägige Spitzenwerte bei Angriffen sind zwar für einzelne Unternehmen beunruhigend, aber das anhaltende
Wachstum bei Webangriffen wirkt sich auf alle Unternehmen aus.
Angriffsvektoren bei Webanwendungen
Dezember 2017 bis November 2019
Alle
Branchen
Branche
Finanzdienst
leister
0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 %
% Angriffe
Angriffsvektor SQLi LFI XSS PHPi RFI CMDi Sonstige
Abb. 6: LFI war der größte Angriffstyp auf Finanzdienstleister, aber beim Blick auf alle Branchen dominiert SQLi weiterhin.
12DDoS-Angriffe nach Branche
Dezember 2017 bis November 2019
9.000
7.000
DDoS-Angriffe
5.000
3.000
1.000
es a/
un /
ge t-
n
en -
ch
g
ng
n
r
e
ia
ld ig
el
el
ng ns
to
ie
w m
in
un ns
ie
tig
en
g
n
ed
Te
pi
nd
Bi ütz
gu
tu e
ek
ed
ts ar
am
ed
ist ie
is m
ns
ss
h-
M
Ha
ei h
rS
le nzd
rti
om
nn
le h
M
ck
G
P
So
ig
st ne
al
he
Fe
ei
lü
le
H
de
na
ci
r
lic
m
G
ita
en te
So
Vi
dh
Fi
nt
Ge
di Un
ig
ffe
un
D
Ö
es
G
Eindeutige DDoS-Ziele nach Branche
Dezember 2017 bis November 2019
40,0 %
Prozentsatz eindeutiger Ziele
30,0 %
20,0 %
10,0 %
0,0 %
es a/
en -
g
n
en
n
g
e
ia
g
ch
r
el
el
ng ns
to
ie
un
ie
tig
w m
un
in
en
ed
nd
pi
ng
Te
tu e
ed
ek
ed
ts ar
am
ld
ig
is m
ns
ss
M
tu
Ha
h-
ei h
rS
om
Bi
M
rt
le h
ck
So
P
G
is
ig
al
st rne
Fe
he
g/
le
le
de
lü
ci
H
zi
lic
st
ita
So
G
en te
Vi
üt
dh
en
nt
di Un
ig
nn
ffe
di
un
D
nz
ei
Ö
es
em
na
G
Fi
G
Abb. 7: Über 40 % der Unternehmen, die Akamai vor Angriffen geschützt hat, waren in der
Finanzdienstleistungsbranche tätig.
DDoS-Angriffe
Die Finanzdienstleistungsbranche war während des Anders ausgedrückt: Angriffe auf Gaming- und High-
Berichtszeitraums die am dritthäufigsten von DDoS- Tech-Ziele konzentrierten sich auf einige wenige
Angriffen betroffene Branche, wobei der Gaming- und Unternehmen, während DDoS-Angriffe auf den
der High-Tech-Sektor die häufigsten Ziele waren. Wenn Finanzsektor eine größere Anzahl von Unternehmen
wir jedoch die Anzahl der angegriffenen Unternehmen umfassten. DDoS-Angriffe sind nicht nur ein effektives
betrachten, rangieren Finanzdienstleister auf dem Mittel, um die Aufmerksamkeit des Opfers zu erlangen,
ersten Platz. Abbildung 7 zeigt, dass mehr als 40 % sondern können auch zur Verschleierung anderer
aller Unternehmen, auf die DDoS-Angriffe ausgeübt Angriffstypen wie SQLi und LFI verwendet werden.
wurden, in die Finanzdienstleistungsbranche fallen.
13 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1Mittlere Spitzen-PPS von DDoS-Angriffen im Zeitverlauf
Alle Branchen im Vergleich zu Finanzdienstleistungen
750.000
PPS
500.000
250.000
Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019
Alle Branchen Finanzdienstleister
Gleitender Mittelwert über 90 Tage
Abb. 8: Die Spitzen-PPS im Finanzwesen verzeichneten im Mai 2019 einen deutlichen Anstieg, gefolgt von einem starken
Rückgang gegen Ende des Sommers.
Der Mittelwert der Datenpakete pro Sekunde (PPS) ist Am 25. April 2019 richtete sich ein Vorfall mit
in den letzten 24 Monaten konstant geblieben, aber 113 Millionen PPS und 39 Gigabit pro Sekunde
wie in Abbildung 8 gezeigt, waren die Spitzen-PPS (Gbit/s) gegen eine Onlinebank und einen
für Angriffe auf Finanzdienstleister im Vergleich zu Kreditkartenaussteller, was dies nach PPS zum größten
Angriffen auf alle Branchen durchweg höher. PPS ist Angriff dieses Jahres über alle Branchen hinweg
eine wichtige Messzahl für den Angriffstraffic, wenn machte. Die Paketanzahl für diesen Angriff war zwar
Schwachstellen in Anwendungen oder Netzwerken extrem hoch, die einzelnen Pakete dagegen jedoch
über DDoS-Angriffe ausgenutzt werden. Angesichts relativ klein, wodurch das Volumen des erzeugten
der kleineren Datensätze von Kunden aus der Datentraffics begrenzt wurde.
Finanzdienstleistungsbranche wird der Mittelwert
stärker durch Einzelangriffe beeinflusst als die
Gesamtmessung der PPS.
Mehr als 40 % aller eindeutigen DDoS-Angriffsziele waren in der
Finanzdienstleistungsbranche zu finden.
14Abbildung 9 zeigt die mittlere Spitzenrate in Gbit/s Am 22. April 2019 wurden bei einem DDoS-Angriff
bei Verwendung des gleichen Darstellungsstils auf eine bekannte und etablierte Bank sechs
wie in Abbildung 8. Im Gegensatz zu PPS wurde verschiedene Angriffstypen eingesetzt: SYN- und
beim mittleren Spitzenwert in Gbit/s bei allen UDP-Floods, UDP-Fragmentierung, RESET-Floods,
Angriffen im vergangenen Jahr ein erhebliches Netbios-Floods und CLDAP-Reflection. Der Angriff
Wachstum verzeichnet. Ähnlich wie bei den Spitzen- erreichte einen Spitzenwert von 160 Gbit/s und
PPS ist die Spitzenrate in Gbit/s für Angriffe auf 32 Millionen PPS. Es ist nicht ungewöhnlich, bei einem
Finanzdienstleister in der Regel höher als bei allen einzigen Angriff mehrere Angriffstypen zu verwenden,
Angriffen; davon ausgenommen ist ein großer Abfall wobei Reflektoren wie CLDAP zur Verstärkung des
im Sommer 2019. Datentraffics der Angreifer dienen.
Volumetrische Angriffe, die Netzwerke mit mehr
Datentraffic überlasten, als sie bewältigen können,
nutzen Gbit/s als wichtigste Kennzahl für die jeweiligen
Auswirkungen. Dies sind die Angriffe, die den meisten
Lesern in Verbindung mit DDoS-Angriffen in den
Sinn kommen. Sie werden im Allgemeinen durch
Reflektoren erstellt (z. B. Services wie DNS), die den
Datentraffic verstärken, den Angreifer aus den von
ihnen kontrollierten Systemen erzeugen können.
Mittlere Spitzen-Bit/s von DDoS-Angriffen im Zeitverlauf
Alle Branchen im Vergleich zu Finanzdienstleistungen
3 Gbit/s
2 Gbit/s
1 Gbit/s
Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019
Alle Branchen Finanzdienstleister
Gleitender Mittelwert über 90 Tage
Abb. 9: Während der Zeit des schnellen Wachstums von September 2018 bis März 2019 blieb der mittlere Spitzenwert in Gbit/s
für Finanzdienstleistungen relativ konstant.
15 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1In Abbildung 10 untersuchen wir die Dichte von Angriffsdichte mit Spitzen-PPS und Spitzen-BIT/S
Angriffen nach Bit/s und PPS für alle Branchen sowie Alle Branchen
für die Finanzdienstleistungsbranche. Die X-Achse
gibt die Spitzen-PPS an, während die Y-Achse 1012
Spitzen-Bits pro Sekunde (Bit/s) anzeigt. Beide
sind logarithmisch skaliert. Hellere Farben stellen
eine höhere Angriffsdichte in einem bestimmten
1010
Sechseck dar. Aufgrund der unterschiedlichen
Anzahl von Angriffen pro Schnittstelle haben wir für
Spitzen-Bit/s
die Finanzdienstleistungen eine separate Farbskala
gewählt. Diese Diagramme zeigen einen starken
108
Zusammenhang zwischen den PPS und der Menge
an Datentraffic, die innerhalb eines breiten Bands
erzeugt wird.
106
Zero Trust
Wir haben in diesem Bericht bereits viel über Angriffe 102 104 106 108
gesprochen, von Credential Stuffing bis hin zu SQLi Spitzen-PPS
und DDoS. Nun wollen wir ein Framework erörtern, Anzahl der Angriffe
das darauf ausgelegt ist, all diese Angriffe zu 1 10 100 1000
verhindern. Das Konzept gibt es bereits seit
2010. Es ist unter einer Reihe von Namen wie
Mikrosegmentierung, Nanosegmentierung und Angriffsdichte mit Spitzen-PPS und Spitzen-BIT/S
BeyondCorp bekannt. Am bekanntesten ist jedoch Finanzdienstleister
der Name Zero Trust.
1012
Der Ansatz „Vertrauen, aber verifizieren“ reichte aus,
wenn es um Netzwerke mit klar definierten Grenzen
ging. Das war noch vor der Revolution, die durch 1010
BYOD (Bring Your Own Device) und den Boom
von Telearbeitern ausgelöst wurde, sowie lange
Spitzen-Bit/s
bevor cloudbasierte Architekturen zur Norm für
Unternehmen wurden.
108
Das Zero-Trust-Modell ersetzt diesen alten Ansatz
durch „Vertraue nichts und niemandem“. Mit Zero
Trust verweigert das Netzwerk den gesamten 106
Zugriff auf Netzwerkressourcen, bis es ermittelt
hat, wer der Nutzer ist und ob er autorisiert ist.
Nichts, wirklich absolut nichts, innerhalb oder
außerhalb des Netzwerks ist vertrauenswürdig.
103 105 107
Sicherheitsarchitekturen unterstützen diesen Ansatz
Spitzen-PPS
weiter, indem sie das Prinzip der geringstmöglichen
Anzahl der Angriffe
Berechtigungen auf Nutzer und Ressourcen 1 3 10 30
anwenden, denen Zugriff gewährt wird.
Abb. 10: Heller dargestellte Sechsecke zeigen den
häufigsten Schnittpunkt der Anzahl der Pakete und
des Traffics bei DDoS-Angriffen.
16Wöchentliche Registrierungen nach Typ
1.500.000
Wöchentliche Anzahl
1.000.000
500.000
0
Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019
Art der Registrierung Herkömmlich Social
Abb. 11: Auch wenn Social-Registrierungen weiterhin genutzt werden, sind herkömmliche Registrierungen noch immer die
gängigste Variante.
Es mag hart erscheinen. Das ist es aber nicht. Denken die Unternehmensentwicklung zu integrieren. Zero
Sie an die Realität, mit der wir heute konfrontiert Trust erfüllt die Anforderungen eines Unternehmens,
sind. Unternehmen haben nach wie vor mit das nicht über ein zentrales Rechenzentrum verfügt,
Problemen beim Nutzerzugriff und bei Ressourcen sondern stattdessen einige Anwendungen vor
zu kämpfen, wie Ransomware oder kompromittierte Ort und andere in der Cloud hostet. Zero Trust
Server und Datenbanken. Außerdem müssen sie wird auch eingesetzt, um kontrollierten Zugriff
kompromittierte Lieferketten und Entwicklungskanäle auf Netzwerkressourcen für Nutzer, Kunden und
in den Griff bekommen. Das alte Konzept der Geschäftspartner zu ermöglichen, unabhängig davon,
Netzwerkverteidigung kann nicht mit dem rasanten wo auf der Welt sie sich befinden.
Anwachs der Technologie mithalten.
Viele heutige Sicherheitsprogramme vertrauen Der Weg zu Zero Trust: Identität
Nutzern oder Geräten automatisch, sobald sie sich Zero Trust ist kein Produkt, das Sie kaufen. Es ist ein
im Netzwerk befinden. So können Kriminelle Daten Konzept, auf dem Sie aufbauen. Einer dieser Bausteine
einbringen, extrahieren oder schädliche Programme ist das Identity and Access Management (IAM). Heute
installieren. Ausgewogenheit ist ein weiteres Problem, gibt es zwei Arten von Identitätsmanagement: Die
dem Sicherheitsprogramme ausgesetzt sind. eine konzentriert sich auf interne Abläufe (IAM) und
Manchmal kann Sicherheit zu einem Hindernis werden, die andere auf externe Vorgänge, nämlich Customer
das dazu führt, dass Nutzer Kontrollen umgehen oder Identity and Access Management (CIAM). Es ist
ihre eigenen Lösungen implementieren – auch als möglich, beide in einem bestimmten Netzwerk zu
Schatten-IT bekannt. nutzen, und einige Unternehmen tun genau das. Im
Januar 2019 übernahm Akamai das Unternehmen
Unternehmen können Zero Trust nutzen, um all dies zu
Janrain, einen CIAM-Anbieter in Portland, Oregon.
bewältigen.
Diese Übernahme hat dazu beigetragen, die Identity
Abgesehen von der Bedrohungsabwehr wird Zero Cloud von Akamai zu formen.
Trust auch eingesetzt, um den Faktor Sicherheit in
17 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1Wöchentliche Anmeldungen nach Typ
12.000.000
9.000.000
Wöchentliche Anzahl
6.000.000
3.000.000
0
Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019
Art der Anmeldung Herkömmlich SSO Social
Abb. 12: Die SSO-Authentifizierung blieb während des Beobachtungszeitraums konstant, wobei Social Logins nur einen kleinen
Teil des Datentraffics ausmachten.
Anhand der Daten von Janrain aus dem Zeitraum Abbildung 11 zeigt, dass sich zwar einige
von Dezember 2017 bis November 2019 können Unternehmen und Nutzer vor der Registrierung
wir erkennen, dass Kunden zunehmend IAM/CIAM über ein soziales Netzwerk authentifizieren, die
einführen. Dies sind die Grundlagen, auf denen Zero Standardmethode über herkömmliche Methoden
Trust aufgebaut wird. aber immer noch vorrangig ist.
Abbildung 11 zeigt die wöchentlichen Registrierungen Bei der Anmeldung machen herkömmliche
nach Registrierungstyp. Es gibt zwei Registrierungen, Zugriffsmethoden (Nutzername und Kennwort)
die außerhalb des vom Administrator generierten weiterhin den Großteil der Zugriffsmethoden aus
API-Kontoimports verfolgt werden: „Herkömmlich“ (74 %). Single Sign-on (SSO) und Social-Anmeldungen
und „Social“. Herkömmliche Registrierungen erfolgen, treten jedoch ebenfalls auf. Tatsächlich verursachen
wenn ein Konto über die Registrierungsoberfläche, die Social Logins den niedrigsten Traffic. Innerhalb
JavaScript-API, das mobile SDK oder die OAuth-API dieser Daten sind Facebook, Google und Twitter
eingerichtet wird. Social-Registrierungen über soziale die wichtigsten OAuth-Mechanismen, die zur
Netzwerke erfolgen, wenn ein Konto von einem Nutzer Nutzerauthentifizierung verwendet werden. Anders
eingerichtet wird, der sich durch einen externen ausgedrückt: Es ist nicht zu erwarten, dass Sie Ihre
Identitätsanbieter authentifizieren lässt, z. B. Facebook, Anmeldeseite bald nicht mehr benötigen.
LinkedIn oder Google.
Wie in Abbildung 12 dargestellt, bleibt SSO während
Die Idee hinter Zero Trust besteht darin, ab dem des Aufzeichnungszeitraums relativ stabil, was
Zeitpunkt der Registrierung mit dem Aufbau von ein guter Indikator dafür ist, dass Unternehmen
Schutz- und Sicherheitsfunktionen zu beginnen. In für die täglichen Aktivitäten auf die mehrstufige
einigen Fällen beginnt die Authentifizierung des Authentifizierung umsteigen.
Nutzers je nach der erforderlichen Kontrollstufe
sogar schon, bevor das Konto erstellt werden kann.
18Top-10-Branchen – EAA-Kunden Prozentsatz der Anwendungen für jeden
Konnektortyp
BRANCHE % KUNDEN KONNEKTORTYP % ANWENDUNGEN
High-Tech 27,7 % VMware 60,3 %
Handel 14,1 % AWS EC2 25,4 %
Fertigungsindustrie 14,1 % Microsoft Azure 5,8 %
Finanzdienstleistungen 9,3 % Microsoft Hyper-V 4,9 %
Unternehmensdienst- OpenStack/KVM 1,8 %
7,1 %
leistungen
Videomedien 7,1 % Docker 0,8 %
Gemeinnützig/Bildung 3,9 % Google CGE 0,5 %
Öffentlicher Sektor 3,9 % VirtualBox 0,4 %
Pharma/Gesundheits-
3,2 % Konnektoren speziell für Anbieter von Cloud-Services
wesen
Andere digitale Medien 2,9 %
Abb. 13: High-Tech ist die Top-Branche, die EAA für Zugriffs- Abb. 14: VMware ist die erste Wahl für lokale Konnektoren,
und Identitätskontrollen verwendet. wobei Amazon EC2 der führende cloudbasierte Konnektor ist.
Der Weg zu Zero Trust: Zugriff
Identität ist nur ein Element des Zero-Trust-Konzepts. An einem Punkt verfolgten einige Unternehmen
Die anderen Bestandteile sind Zugang und Kontrolle. eine Idee, die der Netzwerkzugriffssteuerung
Bei Akamai nutzen wir das Zero-Trust-Framework intern (NAC) ähnelte. Es stellte sich aber heraus, dass
unter Einsatz unserer eigenen sowie externer Produkte, die Implementierung von NAC für die meisten
um unseren Kunden dasselbe zu bieten. Enterprise Unternehmen zu schwierig und zu teuer war, sodass
Application Access (EAA) ist eine Kernkomponente dies nicht weiter verfolgt wurde. Zero Trust erfüllt das
unseres Zero-Trust-Stacks: der Konnektor zwischen Versprechen von NAC, aber mit der Leichtigkeit eines
den Endnutzern und den von ihnen verwendeten VPN.
Anwendungen.
Laut den EAA-Daten sind fast 28 % der Nutzerbasis,
EAA ist so konzipiert, dass nur autorisierte Nutzer die Akamai bedient, im High-Tech-Sektor angesiedelt,
und Geräte Zugriff auf die benötigten internen gefolgt von Handel, Fertigung, Finanzdienstleistungen,
Anwendungen erhalten. Dies geschieht durch Geschäftsservices und Videomedien. Abbildung 13
die Kombination aus Datenpfadschutz, SSO, IAM, zeigt die Top-10-Branchen.
Anwendungssicherheit, Management und Transparenz
in einem einzigen Produkt.
19 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1Bei den Anwendungen, mit denen EAA-Nutzer eine der in Zero-Trust-Architekturen geschützten
Verbindung herstellen, steuert die Vor-Ort-Lösung Anwendungen um SaaS-Anwendungen (z. B. Azure
VMware die größte Anzahl von Anwendungen und und AWS). Wir gehen davon aus, dass diese Zahl im
Services. Es muss unbedingt bedacht werden, dass der Laufe der Zeit steigen wird, da immer mehr kritische
Konnektor selbst die Anwendung nicht wirklich hostet, Unternehmensanwendungen und -services in die
sondern einfach den Zugriff darauf ermöglicht. Cloud verlagert werden.
Ein Jahrzehnt des Wechsels in die Cloud hat nicht
dazu geführt, dass wir keine Verbindungen mit Wenn Unternehmen sich für die Einführung
Hosted Services mehr benötigen. Bei Konnektoren, cloudbasierter Anwendungen und Services
die direkt mit Cloud-Services verbunden sind, entscheiden, wird das Zero-Trust-Framework zu
ist AWS der Marktführer, was keine Überraschung sein einem wichtigen Bestandteil der Gleichung. AWS
dürfte. Die breite Einführung von AWS spiegelt die wird von Administratoren und Geschäftsführern
Tatsache wider, dass es sich um eine offenere Plattform als Branchenstandard angesehen, dicht gefolgt
für SaaS-Lösungen (Software-as-a-Service) handelt von Azure. Beide Plattformen wachsen mit dem
als viele Alternativen. Es gibt Anzeichen dafür, Kundenunternehmen und bieten individuellere
dass die Einführung weiter zunimmt, nicht nur Lösungen für die Netzwerk- und Servicearchitektur,
aufgrund der SaaS-Möglichkeiten, sondern auch, darunter Zero-Trust-Modelle.
weil der Schwerpunkt auf detaillierter Kontrolle
und Zugriff liegt – die gleichen Eigenschaften, die Diese Zahlen zeigen, dass Unternehmen bei der
für die Einrichtung einer Zero-Trust-Umgebung Delegierung von Aufgaben und Services flexibler
erforderlich sind. werden. Derzeit sind Unternehmen eher geneigt,
die Dinge möglichst vor Ort zu halten, um mehr
Laut den zum Zeitpunkt dieses Berichts Transparenz und Kontrolle zu erreichen.
verfügbaren Daten handelt es sich bei 30 %
Gelernte Lektionen
Phishing oder nutzerdefinierte Command-and-Control-
Es geht nicht nur um Finanzdienstleistungen. Server nicht mehr so leicht ausbeuten, da DNS an der
Cyberkriminelle, die gestohlene Anmeldedaten Quelle blockiert werden kann.
für ihre kriminellen Machenschaften missbrauchen,
haben es auf alle Branchen abgesehen. Die Zero Trust ist allerdings keine Wunderwaffe. Im Bereich
Finanzdienstleistungsbranche ist jedoch aufgrund Sicherheit reicht es einfach nicht, viel Geld und jede
der Fülle an Informationen in diesen Unternehmen Menge unterschiedliche Technologien einzusetzen,
ein wichtiges Ziel für Kriminelle. Finanzdienstleister um ein Problem zu lösen. Die größten Erfolge mit
sollten sich zumindest bewusst sein, dass beim Zero Trust erzielen Sie dadurch, dass Sie das Konzept
Missbrauch von Anmeldedaten eine Verlagerung auf einführen und Ihre Betriebsabläufe entsprechend
API-Anmeldungen stattfindet. Von Credential Stuffing einrichten, was natürlich auch gewisse Investitionen
bis hin zu DDoS-Angriffen – Kriminelle sind äußerst erfordert.
hartnäckig, sodass Unternehmen stets wachsam sein
müssen. Die Umstellung auf Zero Trust ist aber nicht einfach.
Es kann einige Zeit dauern, und ältere Systeme
Eines der Mittel zur Bekämpfung dieser fortlaufenden können zunächst Schwierigkeiten bereiten. Die
Angriffe ist Zero Trust. Mit der Verbreitung dieses Zukunft liegt aber darin, sich von der klassischen
Frameworks wird es für Kriminelle schwieriger, passive Netzwerkverteidigung wegzubewegen, da die
Angriffe wie Credential Stuffing zu nutzen, um in einem Konnektivität in unserer Welt rasant zunimmt.
bestimmten Netzwerk Fuß zu fassen. Sie können
20Anhang: Methodik 21
Allgemeine Hinweise
Die Daten in allen Abschnitten beziehen sich auf denselben Zeitraum von 24 Monaten, vom 1. Dezember 2017 bis
zum 30. November 2019.
API-Angriffe Webangriffe
Die Daten für diesen Abschnitt wurden aus Cloud Die Daten für diesen Abschnitt, die ebenfalls aus
Security Intelligence (CSI) gewonnen, einem dem CSI-Repository stammen, enthalten von Kona
internen Tool zur Speicherung und Analyse von Site Defender und Web Application Protector
Sicherheitsereignissen, die auf der Akamai Intelligent generierte Warnungen auf Anwendungsebene.
Edge Platform erkannt wurden. Dabei handelt es Die Produkte lösen diese Warnungen aus, wenn sie
sich um ein Netzwerk aus mehr als 230.000 Servern innerhalb einer Anfrage an eine geschützte Website
in Tausenden von Netzwerken auf der ganzen Welt. oder Anwendung eine bösartige Payload erkennen.
Diese Daten werden in Petabyte pro Monat gemessen Die Warnungen weisen nicht auf eine erfolgreiche
und von unserem Sicherheitsteam verwendet, um Kompromittierung hin. Obwohl diese Produkte ein
Angriffe zu untersuchen, schädliches Verhalten hohes Maß an Anpassung ermöglichen, haben wir
aufzudecken und zusätzliche Informationen in die die hier dargestellten Daten auf eine Weise erfasst,
Lösungen von Akamai einzuspeisen. bei der keine nutzerdefinierten Konfigurationen der
geschützten Ressourcen berücksichtigt werden.
Versuche, Anmeldedaten zu missbrauchen, wurden
als fehlgeschlagene Anmeldeversuche für Konten
identifiziert, bei denen eine E-Mail-Adresse als
Nutzername verwendet wurde. Wir verwenden zwei
DDoS-Forschung
Algorithmen, um zwischen Missbrauchsversuchen Prolexic Routed schützt Unternehmen vor DDoS-
und echten Nutzern zu unterscheiden, die sich nur Angriffen, indem der Netzwerktraffic über
vertippen. Der erste ist eine einfache volumetrische Scrubbing-Zentren von Akamai umgeleitet und nur
Regel, die die Anzahl der Anmeldefehler für unbedenklicher Datentraffic weitergeleitet wird.
eine bestimmte Adresse zählt. Dieser Vorgang Experten im Security Operations Center (SOC)
unterscheidet sich insofern von dem, was ein einzelnes von Akamai passen proaktive Abwehrkontrollen
Unternehmen ermitteln könnte, als dass Akamai Daten so an, dass Angriffe sofort erkannt und gestoppt
über Hunderte von Unternehmen hinweg korreliert. werden. Außerdem führen sie eine Live-Analyse
des verbleibenden Datentraffics durch, um bei
Der zweite Algorithmus verwendet Daten aus
Bedarf weitere Abwehrmaßnahmen einzusetzen.
unseren Bot-Erkennungsservices, um Missbrauch
DDoS-Angriffe werden je nach gewähltem
von Anmeldedaten durch bekannte Botnets und
Bereitstellungsmodell entweder vom SOC oder vom
Tools zu identifizieren. Mit einem gut konfigurierten
Unternehmen selbst erkannt – Always-On oder On-
Botnet kann eine volumetrische Erkennung
Demand. Das SOC zeichnet jedoch Daten für alle
vermieden werden, indem der Traffic auf viele Ziele
abgewehrten Angriffe auf. Über Spitzen-PPS und -Bit/s
verteilt wird. Erreicht wird dies beispielsweise durch
werden die höchsten aufgezeichneten Werte während
Ausweichtechniken wie eine große Anzahl von
eines Angriffs dargestellt, die zu unterschiedlichen
Systemen im Scan oder durch Verteilen des Traffics
Zeiten auftreten können.
auf einen bestimmten Zeitraum.
Um offensichtliche API-Endpunkte zu identifizieren,
haben wir Hostnamen mit einem regulären
Ausdrucksmuster abgeglichen und auf das
Vorhandensein von api, soap oder rest geprüft.
22Wichtigste Ursprungsländer: Schädliche Anmeldeversuche auf APIs
GLOBALER RANG
URSPRUNGSLAND API-ZIELE ALLE ZIELE
ALLE ZIELE
USA 4.125.096.694 27.720.941.969 1
Kanada 1.201.645.251 2.755.050.121 7
Deutschland 824.565.170 2.248.968.240 11
Russland 750.697.426 5.971.495.742 2
Brasilien 728.124.509 3.946.259.977 3
Frankreich 711.910.138 2.419.030.977 9
China 707.860.559 2.934.117.887 5
Indien 587.264.282 3.101.634.280 4
Vietnam 577.668.010 2.350.650.696 10
Niederlande 553.657.601 1.704.898.799 12
Wichtigste Ursprungsländer: Schädliche Anmeldeversuche auf Finanzdienstleister
GLOBALER RANG
URSPRUNGSLAND FINANZDIENSTLEISTER ALLE BRANCHEN
ALLE BRANCHEN
USA 1.510.868.522 27.720.941.969 1
Malaysia 351.107.813 1.633.449.986 15
China 248.220.277 2.934.117.887 5
Frankreich 201.122.825 2.419.030.977 9
Indonesien 187.890.980 2.587.071.754 8
Indien 177.518.111 3.101.634.280 4
Vietnam 166.682.300 2.350.650.696 10
Brasilien 166.370.637 3.946.259.977 3
Russland 140.434.207 5.971.495.742 2
Deutschland 125.437.147 2.248.968.240 11
23 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1Wichtigste Zielländer: Schädliche Anmeldeversuche auf APIs
GLOBALER RANG
ZIELLAND API-ZIELE ALLE ZIELE
ALLE ZIELE
USA 10.664.573.225 63.989.127.852 1
Indien 3.989.751.301 6.541.253.765 2
China 513.042.265 5.368.482.247 3
Kanada 294.066.912 2.117.361.682 4
Brasilien 289.952.527 745.960.037 9
Vereinigtes König-
281.425.519 1.097.838.460 6
reich
Vereinigte Arabische
270.209.848 391.643.895 10
Emirate
Schweiz 81.399.628 182.758.977 16
Italien 66.819.193 220.843.398 13
Australien 58.692.014 238.803.544 12
Wichtigste Zielländer: Schädliche Anmeldeversuche auf Finanzdienstleister
GLOBALER RANG
ZIELLAND FINANZDIENSTLEISTER ALLE BRANCHEN
ALLE BRANCHEN
USA 4.154.212.999 63.989.127.852 1
Kanada 184.382.462 2.117.361.682 4
Frankreich 87.871.337 242.255.513 11
Malaysia 30.064.767 199.700.300 15
Deutschland 29.726.664 1.555.016.496 5
Indien 12.246.297 6.541.253.765 2
Israel 11.693.350 11.693.350 27
Brasilien 11.596.822 745.960.037 9
Australien 3.482.832 238.803.544 12
Vereinigtes König-
3.104.323 1.097.838.460 6
reich
24Mitwirkende „State of the Internet“-Sicherheitsbericht – Beiträge Omri Hering Sean Calhoon Senior Lead Data Analyst, Product Line Director, API-Angriffe und Webangriffe Zero Trust Lydia LaSeur Bill Poulos Data Scientist, Engineering Manager, DDoS-Angriffe und Zero Trust Zero Trust Or Katz Robert Towne Principle Lead Security Researcher, Architect, Zero Trust Zero Trust Redaktionsteam Martin McKeay Amanda Fakhreddine Editorial Director Senior Technical Writer, Managing Editor Steve Ragan Lydia LaSeur Senior Technical Writer, Editor Data Scientist Marketing Georgina Morales Hampe Murali Venukumar Project Management, Creative Program Management, Marketing Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt alles – vom Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und sicher agieren können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud- Architekturen zu optimieren. Akamai bietet Schutz vor Angriffen und Bedrohungen, beschleunigt Entscheidungen und Anwendungen und liefert herausragende Online-Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance, Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden Kundenservice, Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie unter www.akamai.com, im Blog blogs.akamai.com oder auf Twitter unter @Akamai. Unsere globalen Standorte finden Sie unter www.akamai.com/locations. Veröffentlicht: Februar 2020 25 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Sie können auch lesen
