Finanzdienstleistungen - Versuche einer feindlichen Übernahme - "State of the Internet"-Sicherheitsbericht - Akamai
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Band 6, Ausgabe 1 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme
Inhaltsverzeichnis 2 Mitteilung des Herausgebers 3 Gastbeitrag: „Schäden vermeiden“ von Jennifer Leggio, Claroty 5 Die Motte in der Maschine und der Pionier, der sie entdeckt hat 6 Studien von Akamai 8 API-Angriffe 11 Webangriffe 13 DDoS-Angriffe 16 Zero Trust 20 Gelernte Lektionen 21 Anhang: Methodik 25 Mitwirkende 1 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Mitteilung des Herausgebers Martin McKeay Editorial Director Willkommen zu Ausgabe 6 des „State of the Internet“- Die Daten, die als Grundlage für die Analysen in Sicherheitsberichts. Es ist ein neues Jahr. Wir alle diesem Bericht dienen, stammen aus einer Vielzahl haben gute Vorsätze gefasst. Aber vielfach haben von Produkten und Messungen in unserem gesamten wir diese Vorsätze bereits gebrochen und genauso Unternehmen. Durch die Einführung neuer und die weitergemacht wie vorher. Verfeinerung bestehender Produkte erhalten wir neue Einblicke in die Angriffe und die Angreifer, mit denen Die Mitarbeiter des SOTI-Teams hatten nur einen wir es zu tun haben. Denn wenn wir nicht wachsen, guten Vorsatz – und zwar denselben wie schon seit uns weiterentwickeln und innovativ sind, sind wir als Jahren: sich weiterzuentwickeln. Es besser zu machen, Sicherheitsunternehmen irrelevant. als in der Vergangenheit, aus unseren Fehlern zu lernen, neue Herausforderungen zu entdecken Wir haben uns im vergangenen Jahr mehrfach und zu überwinden. Das haben wir im letzten mit dem Missbrauch von Anmeldedaten befasst, Jahr bestmöglich getan, bemühen uns aber auch und dies ist nach wie vor ein wichtiges Thema. In weiterhin darum, die von uns veröffentlichten diesem Bericht führen wir zwei neue Datensätze aus Berichte fortlaufend zu verbessern. unseren Identity Cloud- und Enterprise Application Access-Produkten ein. Beide bieten Einblicke in Das schaffen wir nicht immer. Aber selbst in einem verschiedene Aspekte von Nutzerkonten sowie solchen Fall lernen wir aus unseren Fehlern und Remotezugriff auf das Netzwerk und lassen sich sorgen dafür, diese Fehler nicht noch einmal zu weitgehend unter Zero Trust einordnen. machen. In vieler Hinsicht ist dies genau das, was ein gutes Unternehmen bzw. ein gutes Sicherheitsteam Viele Menschen fassen zum Jahreswechsel gute anstreben sollte: heute besser zu sein als gestern. Vorsätze. Unser Engagement für Wachstum und Veränderung ist ein integraler Bestandteil dieses Der SOTI-Bericht ist nicht mehr der gleiche wie Berichts. Im Laufe eines Jahres untersuchen wir vor drei Jahren, vor zwei Jahren oder sogar noch dieselben Datentypen möglicherweise mehrmals, Anfang 2019. Akamai ist nicht mehr dasselbe aber der jeweilige Bericht enthält immer etwas Neues. Unternehmen wie Anfang 2019, und Ihr Unternehmen So können wir Ihnen weitere Informationen zu den von ist es wahrscheinlich auch nicht mehr. Ihre uns im Internet beobachteten Aktivitäten bereitstellen. Sicherheitspraktiken haben sich hoffentlich im vergangenen Jahr weiterentwickelt, denn wir sind Veränderungen sind die einzige Konstante, an die davon überzeugt, dass auch Kriminelle und andere wir uns halten. Wir gehen jeden Bericht unter einem digitale Disruptoren besser gerüstet sind, um Ihre anderen Gesichtspunkt an und hoffen, dass dies für Verteidigungsmaßnahmen zu umgehen. unsere Leser hilfreich ist. Übersicht/Zusammenfassung • Zwischen November 2017 und Oktober 2019 waren • Der Großteil des Zugriffs auf Anwendungen und mehr als 40 % der eindeutigen DDoS-Ziele in der Services (74 %) erfolgt nach wie vor über die Finanzdienstleistungsbranche angesiedelt. herkömmliche Anmeldung (Nutzername und Kennwort). • Von Mai bis Oktober 2019 zielten Credential-Stuffing-Angriffe auf die Finanzdienstleistungsbranche vermehrt auf APIs ab: Vielfach machten sie mindestens 75 % der gesamten Credential-Stuffing-Angriffe auf diesen 2 Sektor aus. 2
Schäden vermeiden Jennifer Leggio CMO, Claroty Ein neues Jahr, eine neue Saison für Furcht, Unsicherheit und Zweifel Sicherheitskonferenzen und eine weitere Runde (kurz „FUD“) von Sicherheitsanbietern, die alles tun, um die Aufmerksamkeit der Käufer zu gewinnen. Aus Aufgrund von Furcht, Unsicherheit und Zweifel diesem Grund gibt es Marketing, und darum wenden lassen sich Produkte verkaufen oder zumindest Marketingteams so viel Zeit, Aufwand und Geld die Aufmerksamkeit von Käufern auf sich ziehen. für Konferenzen auf. Der Grund, aus dem manche Sicherheitsexperten sprechen oft darüber, den Teams scheitern, ist die Methode, mit der sie Ihre Faktor FUD in der Branche zu reduzieren oder Aufmerksamkeit auf sich lenken wollen. ganz auszumerzen, aber viele grundlegende Marketingtaktiken stützen sich auf genau diesen Als Marketer weiß ich aus erster Hand, dass Ansatz. Es ist schwer, dieser Verlockung zu Anbieter kreativ sein müssen, um sich von der widerstehen, vor allem, weil sie so gut funktioniert. Masse abzuheben. Genau das ist unsere Aufgabe: Vertriebsorganisationen zu unterstützen, ihnen beim Ständig finden sich Schlagzeilen wie diese: Aufbau von Geschäftsbeziehungen und letztendlich „Angesichts der sich ständig verändernden bei Umsatzsteigerungen zur Seite zu stehen. Cybersicherheitslandschaft von heute muss X als Marketingorganisationen in der Sicherheitsbranche Abwehrmaßnahme eingesetzt werden!“ In meinem tragen jedoch eine zusätzliche Verantwortung: Sie Kopf wird das automatisch so übersetzt: „Leute, müssen dafür sorgen, dass ihre Kampagnen zur die Sicherheitsbranche verändert sich stetig! Es Unterstützung des Geschäfts dem Unternehmen ist unmöglich, Schritt zu halten, daher sollten Sie keinen Schaden zufügen. unbedingt unsere Pressemitteilung lesen!“ Eine solche Meldung hört sich hochgradig autoritär an. Die Sicherheitsbranche reagiert im Vergleich zu anderen Branchen empfindlicher auf Und sie spricht einen empfindlichen Punkt an, über Marketingaktivitäten, die irreführend, nicht den viele meiner CISO (Chief Information Security wahrheitsgemäß oder einfach falsch sind. Dies steht Officer)-Freunde schon geredet haben: Glauben im Gegensatz zu dem Druck, den die Führungsebene Sie nicht, dass Sie wissen, was meine Probleme sind häufig auf Marketingteams ausübt, um jeden Preis oder wie ich sie angehen sollte. Jede Organisation die Aufmerksamkeit der Käufer zu erregen. Dies ist anders, und jeder CISO hat unterschiedliche passiert nicht nur im Marketingbereich. Auch bei Anforderungen. Marketingfachleute, die den FUD- Führungskräften außerhalb des Marketings, bei Ansatz nutzen, mindern unter Umständen eine technischen Leitern, Ingenieuren, Analysten und eigentlich wichtige Botschaft, an der ein CISO sogar Forschern lassen sich nur allzu oft fragwürdige interessiert sein könnte. Anstatt den CISO zum Verhaltensweisen in sozialen Medien beobachten. Lesen der Botschaft anzuregen, schafft FUD die Marketingteams haben im Allgemeinen zwar eine Wahrnehmung, dass das Unternehmen Angstmacherei lautere Stimme (und ein höheres Budget), aber für den Verkauf benötigt, was sich möglicherweise dafür müssen alle Beteiligten in Betracht ziehen, rufschädigend auswirkt. welche Schäden durch aufmerksamkeitserregende Kampagnen verursacht werden können. Meiner Ansicht nach gibt es eine Falle, die besonders gefährlich ist: FUD (Fear, Uncertainty, Doubt). 3 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Es folgen Beispiele für weitere auffällige FUD- Für das Jahr 2020 fordere ich alle in unserer Schlagzeilen: Branche und unserer Community auf, ihren Ansatz beim Sicherheitsmarketing zu überdenken. Geht • „Ihr Unternehmen ist wahrscheinlich gefährdet, es bei der von Ihnen gesendeten Nachricht und Sie wissen es nur noch nicht!“ bei den von Ihrem Unternehmen durchgeführten Forschungsarbeiten darum, den Sicherheitssektor zu • „Sorgen Sie dafür, dass Ihnen nicht dasselbe wie verbessern oder davon abzulenken? Es stimmt zwar, [Unternehmen] passiert!“ dass der Grat zwischen Forschung und Angstmacherei bisweilen sehr schmal ist, aber es ist in der Regel nicht • „Wir wissen etwas über Ihr Unternehmen, schwer, den Unterschied zu erkennen. Senden Sie das Sie nicht wissen – in einem Telefonat mit daher keine sensationsgierigen Botschaften, sondern uns erfahren Sie mehr!“ solche, die den Leser informieren und das Risiko in • Jegliche Bilder einer Person in einem dunklen unserer Welt reduzieren. Hoodie, die sich über eine Tastatur beugt. Manche Unternehmen verteidigen möglicherweise den Einsatz von FUD, hauptsächlich deshalb, weil „es funktioniert“. Wenn mir dieses Argument begegnet, frage ich immer nach einer Definition von „funktionieren“. Vielleicht führen solche Schlagzeilen zu einem Interessenten oder sogar zu einem Verkauf, aber was sind die langfristigen Auswirkungen auf Kundentreue und Ruf des Unternehmens? Jede Beziehung stützt sich auf Vertrauen. Angstmacherei wirkt sich aber negativ auf das Vertrauen aus. Meiner Meinung nach ist der kurzfristige Nutzen von FUD- Kampagnen und -Inhalten es nicht wert, unsere Kundenbeziehungen aufs Spiel zu setzen. Jennifer Leggio ist Chief Marketing Officer bei Claroty, einem weltweit führenden Unternehmen im Bereich industrielle Cybersicherheit. Sie arbeitet seit fast 20 Jahren als Sicherheitsmarketer und leitet Teams, Programme und Strategien für Start-ups und öffentliche Unternehmen. Jennifer Leggio ist eine leidenschaftliche Verfechterin von wahrheitsgetreuem Sicherheitsmarketing, ethischer Marktführerschaft und Schutz der Sicherheitsforschung. Sie hat diese Themen bei DEF CON, Hack in the Box, auf der RSA Conference und in unzähligen Podcasts behandelt. Sie ist auf Twitter unter @mediaphyter erreichbar. 4
Die Motte in der Maschine und der Pionier, der sie entdeckt hat Am 9. September 1947 soll Admiral Grace Hopper eine etwa 5 cm lange Motte in einem Kurzschlussrelais im Computer Harvard Mark II entdeckt haben. Im Logbuch notierte sie: „Habe heute den ersten richtigen Bug gefunden.“ NH 96566-KN mit freundlicher Genehmigung des Naval History and Heritage Command 01100010 01101111 01110100 01110100 01101111 01101101 00100000 01101111 01100110 00100000 01110000 01100001 01100111 01100101 Sie schreibt zwar ihrem Team zu, die Motte 1934 erhielt sie einen Doktortitel in Mathematik von entdeckt zu haben, aber egal, wer sie der Yale University und unterrichtete anschließend auch gefunden hat: Es wäre nicht ihre an den Universitäten Vassar, Penn und an der George erste Entdeckung. Washington University sowie bei der US Naval Reserve. 1952 gelang es Admiral Hopper, den Unterroutinen Sie wehrte sich erfolgreich gegen ihre abgelehnte in der Maschinensprache Bewerbung bei der US-Marine. Als sie nach 40 Jahren Rufnummern zuzuweisen, die auf Dienstzeit (drei Auslandseinsätze) in den Ruhestand Admiral Grace Hopper Magnetbandabschnitten aufgezeichnet ging, war sie Konteradmiral. (1906–1992) wurden. Dies war der weltweit erste Compiler. In der Zwischenzeit war an ihrem Schreibtisch eine Totenkopfflagge angebracht. Die Uhr an der Wand 1953 ersetzte sie die Rufnummern durch Wörter lief gegen den Uhrzeigersinn. Und bekanntermaßen und schuf die erste dem Englischen ähnliche wird sie im CHIPS-Newsletter der US-Navy zitiert: Datenverarbeitungssprache FLOW-MATIC. Damit „Es ist einfacher, um Entschuldigung zu bitten als übernahm sie die Führungsrolle bei der Entwicklung um Erlaubnis.“ von COBOL. Es ist kein Wunder, dass Studenten, Kollegen, Und als das COBOL eines Unternehmens 1967 nicht Vorgesetzte und ihr Mitarbeiterstab sie auf dem Computer eines anderen Unternehmens „Amazing Grace“ nannten. ausgeführt werden konnte, entwickelte sie den ersten Branchenstandard für die Informationstechnologie. Heute haben wir dank Admiral Hopper Branchenstandards, die alles möglich machen: von Admiral Grace Brewster Murray Hoppers Arbeit war digitalen Fotos bis hin zu 5G. Statt INHEX, HEXERTS so bahnbrechend, dass sie zum angesehenen Fellow und CO1E 8D F0 können wir „Hey, Google“ sagen. der British Computer Society ernannt wurde und der erste Computer Science Man of the Year der Data Und wenn Sie das nächste Mal ein System debuggen, Processing Management Association war. denken Sie daran, dass Admiral Hopper darin Pionierarbeit geleistet hat. Den Begriff der „gläsernen Decke“ gab es zu Zeiten von Admiral Hopper noch nicht. Und wenn es ihn gegeben hätte, hätte sie ihn ignoriert. Menschen sind allergisch gegen Veränderungen. Sie sagen gern: „Das haben wir schon immer so gemacht.“ Genau diese Einstellung will ich ausmerzen.“ Admiral Hopper 5 68 74 74 70 73 3A 2F 2F 70 61 73 74 65 62 69 6E 2E 63 6F 6D 2F 52 37 48 75 57 5A 32 39
Studien von Akamai 6
Einführung In Band 5, Ausgabe 4 des „State of the Internet“- APIs sind heute überall. Mitarbeiter und Kunden Sicherheitsberichts haben wir uns auf die im Finanzdienstleistungssektor begegnen ihnen Methoden und Tools konzentriert, die Kriminelle zur ständig, insbesondere REST, da es häufig in der Durchführung von Credential-Stuffing-Angriffen auf Entwicklung von Websites und Apps eingesetzt wird. die Finanzdienstleistungsbranche einsetzen. Damals Außerdem ist SOAP eine weitere beliebte Option im haben wir festgestellt, dass Angriffe auf Finanzinstitute Unternehmensbereich, besonders im Bankwesen. sowohl von der Menge als auch von der Raffinesse SOAP bietet ein höheres Maß an Flexibilität beim her zunahmen. Umgang mit Client- und Serverbeziehungen, für die bei Datenbanktransaktionen eine hohe Präzision Das gilt auch heute noch. Kurz nach Veröffentlichung erforderlich ist. des Berichts verzeichnete Akamai einen rekordverdächtigen Angriff auf ein bekanntes Für Kriminelle sind REST- und SOAP-Architekturen Finanzunternehmen. Dieser Angriff umfasste lediglich Ziele. Sie müssen umgangen werden, um 55.141.782 schädliche Anmeldeversuche am wichtige Daten oder finanzielle Informationen zu 7. August 2019. Diese Anmeldeversuche, allgemein erhalten. als Credential-Stuffing-Angriffe bezeichnet, stellten die höchste Spitze bei gezielten Credential-Stuffing- Die fehlende Einheitlichkeit der API- Angriffen auf ein Finanzdienstunternehmen dar, Entwicklungsmethoden haben zu vielen der die wir seit Beginn der Verfolgung dieser Angriffe Probleme geführt, die wir in den letzten Jahren erlebt verzeichnet haben. Obwohl die Angreifer letztlich haben. Einige APIs erlauben beispielsweise, das scheiterten, zeigen Menge und Intensität der Attacke, Kennwort so oft zu erraten, wie für eine erfolgreiche dass der Finanzsektor nach wie vor ein Hauptziel für Authentifizierung nötig ist, während es bei anderen Kriminelle ist. Beschränkungen gibt. Kriminelle nutzen solche fehlenden Beschränkungen und verarbeiten In diesem Bericht untersuchen wir Application Zehntausende von Anmeldedaten in Minuten. Bei Programming Interfaces (API), auf die es Kriminelle beschränkten APIs setzen Kriminelle das Threading- mithilfe von Credential-Stuffing-Angriffen abgesehen Verfahren ein, um ihre Ziele langsamer – und damit haben. unauffällig – zu erreichen. Die für Credential Stuffing untersuchten APIs Eine weitere API-Entwicklungspraxis, die zu Problemen verwenden REST und SOAP für den Zugriff auf führt, bezieht sich auf die Fehlerprüfung. Kriminelle Ressourcen. Dazu gehören Kontoauszüge mit nutzen APIs, um ihre Listen zu validieren und zu persönlichen Informationen, Kontodatensätzen und bestätigen, dass ein Nutzername tatsächlich bei Salden sowie andere Tools oder Services innerhalb einem Service vorhanden ist. Je nachdem, wie die der Plattform. Anwendung oder Plattform entwickelt wurde, können die Fehlerantworten verwendet werden, um Listen zu REST und SOAP sind zwar nicht direkt vergleichbar, sortieren und zu validieren, was ein besseres Targeting es handelt sich dabei aber im Wesentlichen um ermöglicht. Kommunikationsmethoden zwischen Anwendungen. REST kann je nach Projekt auf unterschiedliche Weise Und schließlich ist es Kriminellen aufgrund der implementiert werden. SOAP ist ein Standard für den breiten Einführung und Nutzung von APIs möglich, Datenaustausch. ihre Angriffe zu automatisieren. Aus diesem Grund ist die Anzahl der Credential-Stuffing- Vorfälle im Jahresvergleich weiter angestiegen, und entsprechende Angriffe stellen in allen Marktsegmenten ein konstantes Risiko dar. 7 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Staging von Angriffen auf Finanzdienstleister Kriminelle benötigen drei Dinge, um Credential-Stuffing-Kampagnen durchzuführen. Zunächst brauchen sie Zugangsdatenlisten (auch Kombinationslisten genannt), die Nutzernamen und Kennwörter enthalten. Weiterhin benötigen Kriminelle ein bekanntes Ziel mit zugänglichen Authentifizierungsmechanismen. In vielen Fällen handelt es sich bei diesen Authentifizierungsmechanismen um API-Endpunkte. Schließlich brauchen sie ein Tool, um diese Listen sowie Konfigurationsdateien zu nutzen und ordnungsgemäß mit dem Authentifizierungsmechanismus des Opfers zu kommunizieren. API-Angriffe Von Dezember 2017 bis November 2019 beobachtete Abbildung 1 zeigt die täglichen schädlichen Akamai 85.422.079.109 Angriffe mithilfe des Anmeldungen, wobei die offensichtlichen API- Missbrauchs von Anmeldedaten in unserem Endpunkte hervorgehoben sind. Das obere Kundenstamm. Fast 20 % oder 16.557.875.875 Diagramm zeigt alle Branchen, während im unteren betrafen Hostnamen, die eindeutig als API-Endpunkte Diagramm ausschließlich Finanzdienstleister identifiziert wurden. Von diesen griffen 473.518.955 aufgeführt sind. Ab Mai 2019 stieg die Anzahl Unternehmen in der Finanzdienstleistungsbranche schädlicher Anmeldeversuche auf APIs im an. Einige Unternehmen verwenden weniger Finanzdienstleistungssektor deutlich an. Außerdem offensichtliche Pfade und Namen für ihre APIs, aber werden die höchsten Einzelspitzen in unseren für unsere Zwecke gab es eindeutig identifizierbare Daten für den Missbrauch von Nicht-API- und API- Endpunkte, die für uns ausreichend waren. Anmeldedaten hervorgehoben, sowohl allgemein als auch im Finanzdienstleistungssektor. Schädliche Anmeldeversuche pro Tag – Eindeutige API-Hostnamen hervorgehoben Alle Branchen 300 Mio. 25. Jan. 2018 27. Okt. 2018 113.324.322 287.168.120 200 Mio. Schädliche Anmeldeversuche (in Millionen) 100 Mio. 0 Mio. Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019 Finanzdienstleister 7. Aug. 2019 55.141.782 40 Mio. 20 Mio. 25. Aug. 2019 19.058.161 0 Mio. Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019 Offensichtlicher API-Endpunkt? Nein Ja Abb. 1: Ab Mai 2019 stieg die Anzahl schädlicher Anmeldeversuche auf APIs im Finanzdienstleistungssektor deutlich an. 8
Wöchentlicher Prozentsatz böswilliger Anmeldeversuche auf APIs 75 % API-Angriffe (in Prozent) 50 % 25 % 0% Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019 Alle Branchen Finanzdienstleister Abb. 2: Im Mai 2019 stiegen schädliche Anmeldeversuche auf API-Endpunkte im Finanzsektor im Vergleich zum Prozentsatz der Gesamtangriffe stark an. Abbildung 2 zeigt Credential-Stuffing-Angriffe auf APIs Auffallend ist der Monat Mai, in dem sich die als Anteil dieser Angriffe und illustriert, wie Angriffe Anzahl schädlicher Anmeldeversuche in der auf APIs in den letzten Monaten zugenommen haben, Finanzdienstleistungsbranche von 2018 bis sodass sie bisweilen 75 % der Angriffe ausmachen. 2019 fast verdreifacht hat. Die Ursache für dieses Dies weist auf eine drastische Verlagerung der Ziele Wachstum lässt sich wahrscheinlich auf die Flut von Kriminellen weg von allgemeinen Anmeldeseiten von Anmeldedatenlisten auf dem kriminellen und hin zu API-Anmeldungen hin. Markt zurückführen sowie auf die Tatsache, dass Daten aus der Finanzdienstleistungsbranche für Bei Untersuchung der Daten aus weiteren sechs Kriminelle, die sie für Gelddiebstahl, Geldwäsche und Monaten in diesem Bericht konnten wir verschiedene Identitätsbetrug nutzen, äußerst wertvoll sind. Dies interessante Beobachtungen über Credential-Stuffing- entspricht auch der Verlagerung beim Credential Angriffe auf die Finanzdienstleistungsbranche machen. Stuffing hin zu API-Seiten, wodurch signalisiert wird, Abbildung 3 zeigt den wöchentlichen versuchten dass sich die Angriffe auf diese API-Anmeldungen Missbrauch von Anmeldedaten für die gleichen erheblich steigern werden. Wochen im Jahr 2018 bzw. 2019 im Vergleich sowie die monatliche Änderung. Vergleich bösartiger Anmeldeversuche im Finanzsektor – 2018 und 2019 +12 % +7 % +105 % +175 % +47 % +15 % +14 % Schädliche Anmeldeversuche pro Woche (in Millionen) 200 Mio. 100 Mio. 0 Mio. -21 % -2 % -9 % -83 % Jan. Feb. März Apr. Mai Juni Juli Aug. Sep. Okt. Nov. 2018 2019 Abb. 3: Im Mai trat die höchste Spitze von Credential-Stuffing-Angriffen im Finanzdienstleistungssektor auf, wobei die Anzahl der Anmeldungen sich von 2018 auf 2019 fast verdreifacht hat. 9 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Tägliche schädliche Anmeldeversuche mit Ursprungsland Malaysia Finanzdienstleister und andere 26. Apr. 2019 16. Mai 2019 33.852.298 33.434.902 Schädliche Anmeldeversuche (in Millionen) 30 Mio. 20 Mio. 29. Apr. 2019 16.165.478 10 Mio. 18. Mai 2019 8.890.600 0 Mio. Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019 Branche Sonstige Finanzdienstleister Abb. 4: Der Großteil der schädlichen Anmeldeversuche bei Finanzdienstleistern mit Ursprungsland Malaysia erfolgte im 1. und 2. Quartal 2019. Kriminelle kaufen, verkaufen und handeln nach wie Finanzdienstleister aus Malaysia. In unserem jüngsten vor äußerst kurzfristig mit Bankkarten, Anmeldedaten Datensatz macht Malaysia 351.107.813 böswillige für Finanzdienstleister, kompromittierten Anmeldeversuche auf den Finanzsektor bzw. 21,49 % Geschenkkartensalden und Online-Banking-Konten, aus (ein Rückgang von 1,66 %, obwohl sich die Anzahl da die Nachfrage danach nicht abnimmt. Einige schädlicher Anmeldeversuche insgesamt um mehr als kompromittierte Assets werden gegen Bargeld 100 Millionen erhöht hat). eingetauscht, während andere direkt zwischen Kriminellen gegen weitere Produkte ausgetauscht In den ersten sechs Monaten des Jahres 2019 werden, z. B. tauscht jemand gültige Bankkonten hatten praktisch alle schädlichen Anmeldeversuche gegen Salden von Kreditkartenkonten in Europa. auf Finanzdienstleister ihren Ursprung in Malaysia. Insgesamt 99,6 % der Versuche in diesem Zeitraum – Ein weiterer Credential-Stuffing-Datenpunkt betrifft knapp 351 Millionen – richteten sich gegen einen die Ursprungsländer. In unserem letzten Bericht bekannten Dienstleister für Onlinezahlungen. über Finanzdienstleistungen war Malaysia nach China und den USA die drittgrößte Angriffsquelle. Zu diesem Zeitpunkt stammten 227,443,763 (23,15 %) der schädlichen Anmeldeversuche auf Der Kauf und Verkauf von kompromittierten Bankkarten und Anmeldedaten für Finanzdienstleister ist unter Kriminellen nach wie vor üblich. 10
Webangriffe Unter Berücksichtigung all dieser Faktoren versuchen Kriminelle mit LFI-Angriffen Daten aufzudecken, die Credential Stuffing ist nur einer der Angriffstypen, eine stärkere Präsenz auf dem Server ermöglichen, denen sich die Finanzdienstleistungsbranche z. B. eine Konfigurationsdatei mit Zugangsdaten gegenübersieht. Kriminelle sind nicht wählerisch, für die Datenbank. Wenn der Datenbanknutzer wenn es um Methoden geht, und meistens versuchen Schreibberechtigungen hat, könnte der Kriminelle die sie es mit verschiedenen Angriffstypen, bis sie Erfolg über LFI preisgegebenen Daten einsetzen, um eine haben. Daher lassen sie sich nur mit einem soliden Remoteverbindung zur Datenbank herzustellen und mehrschichtigen Verteidigungsansatz aufhalten. durch das Ausführen von Befehlen den Server selbst zu gefährden. Im selben 24-monatigen Zeitraum, in dem der Datentraffic zum Missbrauch von Anmeldedaten untersucht wurde, verzeichnete Akamai 662.556.776 Angriffe auf Webanwendungen im Zwischen 2018 und 2019 war Finanzdienstleistungssektor und 7.957.307.672 Angriffe in allen Branchen. Die Spitzen-Angriffsdaten Local File Inclusion (LFI) der häufigste für 2018 und 2019 sind in Abbildung 5 aufgeführt. Angriffstyp im Finanzsektor. Abbildung 6 zeigt eine Aufschlüsselung der Webangriffstypen während des 24-monatigen Beobachtungszeitraums. Insgesamt machte SQL- Injection (SQLi) in diesem Zeitraum über alle Branchen Mit 50,7 Millionen erfassten Angriffen oder 7,7 % hinweg mehr als 72 % aller Angriffe aus. Diese des beobachteten Angriffstraffics war XSS die Rate halbiert sich auf 36 %, wenn man sich nur die dritthäufigste Art von Angriffen auf Finanzdienstleister. Angriffe auf Finanzdienstleister ansieht. Der häufigste XSS machte in allen Branchen 3,3 % der Angriffe Angriffstyp für den Finanzdienstleistungssektor war aus. Danach folgte PHP-Injection (PHPi) mit fast mit 47 % des beobachteten Datentraffics Local File 16 Millionen Angriffsversuchen auf Finanzdienstleister. Inclusion (LFI). Die übrigen 5,7 % der Angriffe auf Finanzdienstleister umfassen Command Injection (CMDi), Remote LFI-Angriffe nutzen verschiedene Skripte aus, die auf File Inclusion (RFI), OGNL-Injection und schädliche Servern ausgeführt werden. In der Regel ist das PHP, Dateiuploads. aber auch LFI-Fehleranfälligkeiten sind in ASP, JSP und anderen Webtechnologien zu finden. Die Folge dieser Angriffe ist in der Regel die Offenlegung wichtiger Informationen. Außerdem lassen sich LFI-Angriffe für die clientseitige Befehlsausführung (z. B. eine anfällige JavaScript-Datei) nutzen, was zu XSS- (Cross- Site Scripting) und DoS-Angriffen (Denial-of-Service) führen kann. 11 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Angriffe auf Webanwendungen pro Tag Finanzdienstleister und andere 17. Okt. 2019 50 Mio. 50.350.787 22. Nov. 2019 22. Nov. 2018 42.248.675 40 Mio. 40.376.035 Webangriffe (in Millionen) 30 Mio. 23. Dez. 2018 23.771.753 20 Mio. 28. Okt. 2019 13.491.776 10 Mio. 0 Mio. Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019 Branche Sonstige Finanzdienstleister Abb. 5: Eintägige Spitzenwerte bei Angriffen sind zwar für einzelne Unternehmen beunruhigend, aber das anhaltende Wachstum bei Webangriffen wirkt sich auf alle Unternehmen aus. Angriffsvektoren bei Webanwendungen Dezember 2017 bis November 2019 Alle Branchen Branche Finanzdienst leister 0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 % % Angriffe Angriffsvektor SQLi LFI XSS PHPi RFI CMDi Sonstige Abb. 6: LFI war der größte Angriffstyp auf Finanzdienstleister, aber beim Blick auf alle Branchen dominiert SQLi weiterhin. 12
DDoS-Angriffe nach Branche Dezember 2017 bis November 2019 9.000 7.000 DDoS-Angriffe 5.000 3.000 1.000 es a/ un / ge t- n en - ch g ng n r e ia ld ig el el ng ns to ie w m in un ns ie tig en g n ed Te pi nd Bi ütz gu tu e ek ed ts ar am ed ist ie is m ns ss h- M Ha ei h rS le nzd rti om nn le h M ck G P So ig st ne al he Fe ei lü le H de na ci r lic m G ita en te So Vi dh Fi nt Ge di Un ig ffe un D Ö es G Eindeutige DDoS-Ziele nach Branche Dezember 2017 bis November 2019 40,0 % Prozentsatz eindeutiger Ziele 30,0 % 20,0 % 10,0 % 0,0 % es a/ en - g n en n g e ia g ch r el el ng ns to ie un ie tig w m un in en ed nd pi ng Te tu e ed ek ed ts ar am ld ig is m ns ss M tu Ha h- ei h rS om Bi M rt le h ck So P G is ig al st rne Fe he g/ le le de lü ci H zi lic st ita So G en te Vi üt dh en nt di Un ig nn ffe di un D nz ei Ö es em na G Fi G Abb. 7: Über 40 % der Unternehmen, die Akamai vor Angriffen geschützt hat, waren in der Finanzdienstleistungsbranche tätig. DDoS-Angriffe Die Finanzdienstleistungsbranche war während des Anders ausgedrückt: Angriffe auf Gaming- und High- Berichtszeitraums die am dritthäufigsten von DDoS- Tech-Ziele konzentrierten sich auf einige wenige Angriffen betroffene Branche, wobei der Gaming- und Unternehmen, während DDoS-Angriffe auf den der High-Tech-Sektor die häufigsten Ziele waren. Wenn Finanzsektor eine größere Anzahl von Unternehmen wir jedoch die Anzahl der angegriffenen Unternehmen umfassten. DDoS-Angriffe sind nicht nur ein effektives betrachten, rangieren Finanzdienstleister auf dem Mittel, um die Aufmerksamkeit des Opfers zu erlangen, ersten Platz. Abbildung 7 zeigt, dass mehr als 40 % sondern können auch zur Verschleierung anderer aller Unternehmen, auf die DDoS-Angriffe ausgeübt Angriffstypen wie SQLi und LFI verwendet werden. wurden, in die Finanzdienstleistungsbranche fallen. 13 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Mittlere Spitzen-PPS von DDoS-Angriffen im Zeitverlauf Alle Branchen im Vergleich zu Finanzdienstleistungen 750.000 PPS 500.000 250.000 Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019 Alle Branchen Finanzdienstleister Gleitender Mittelwert über 90 Tage Abb. 8: Die Spitzen-PPS im Finanzwesen verzeichneten im Mai 2019 einen deutlichen Anstieg, gefolgt von einem starken Rückgang gegen Ende des Sommers. Der Mittelwert der Datenpakete pro Sekunde (PPS) ist Am 25. April 2019 richtete sich ein Vorfall mit in den letzten 24 Monaten konstant geblieben, aber 113 Millionen PPS und 39 Gigabit pro Sekunde wie in Abbildung 8 gezeigt, waren die Spitzen-PPS (Gbit/s) gegen eine Onlinebank und einen für Angriffe auf Finanzdienstleister im Vergleich zu Kreditkartenaussteller, was dies nach PPS zum größten Angriffen auf alle Branchen durchweg höher. PPS ist Angriff dieses Jahres über alle Branchen hinweg eine wichtige Messzahl für den Angriffstraffic, wenn machte. Die Paketanzahl für diesen Angriff war zwar Schwachstellen in Anwendungen oder Netzwerken extrem hoch, die einzelnen Pakete dagegen jedoch über DDoS-Angriffe ausgenutzt werden. Angesichts relativ klein, wodurch das Volumen des erzeugten der kleineren Datensätze von Kunden aus der Datentraffics begrenzt wurde. Finanzdienstleistungsbranche wird der Mittelwert stärker durch Einzelangriffe beeinflusst als die Gesamtmessung der PPS. Mehr als 40 % aller eindeutigen DDoS-Angriffsziele waren in der Finanzdienstleistungsbranche zu finden. 14
Abbildung 9 zeigt die mittlere Spitzenrate in Gbit/s Am 22. April 2019 wurden bei einem DDoS-Angriff bei Verwendung des gleichen Darstellungsstils auf eine bekannte und etablierte Bank sechs wie in Abbildung 8. Im Gegensatz zu PPS wurde verschiedene Angriffstypen eingesetzt: SYN- und beim mittleren Spitzenwert in Gbit/s bei allen UDP-Floods, UDP-Fragmentierung, RESET-Floods, Angriffen im vergangenen Jahr ein erhebliches Netbios-Floods und CLDAP-Reflection. Der Angriff Wachstum verzeichnet. Ähnlich wie bei den Spitzen- erreichte einen Spitzenwert von 160 Gbit/s und PPS ist die Spitzenrate in Gbit/s für Angriffe auf 32 Millionen PPS. Es ist nicht ungewöhnlich, bei einem Finanzdienstleister in der Regel höher als bei allen einzigen Angriff mehrere Angriffstypen zu verwenden, Angriffen; davon ausgenommen ist ein großer Abfall wobei Reflektoren wie CLDAP zur Verstärkung des im Sommer 2019. Datentraffics der Angreifer dienen. Volumetrische Angriffe, die Netzwerke mit mehr Datentraffic überlasten, als sie bewältigen können, nutzen Gbit/s als wichtigste Kennzahl für die jeweiligen Auswirkungen. Dies sind die Angriffe, die den meisten Lesern in Verbindung mit DDoS-Angriffen in den Sinn kommen. Sie werden im Allgemeinen durch Reflektoren erstellt (z. B. Services wie DNS), die den Datentraffic verstärken, den Angreifer aus den von ihnen kontrollierten Systemen erzeugen können. Mittlere Spitzen-Bit/s von DDoS-Angriffen im Zeitverlauf Alle Branchen im Vergleich zu Finanzdienstleistungen 3 Gbit/s 2 Gbit/s 1 Gbit/s Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019 Alle Branchen Finanzdienstleister Gleitender Mittelwert über 90 Tage Abb. 9: Während der Zeit des schnellen Wachstums von September 2018 bis März 2019 blieb der mittlere Spitzenwert in Gbit/s für Finanzdienstleistungen relativ konstant. 15 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
In Abbildung 10 untersuchen wir die Dichte von Angriffsdichte mit Spitzen-PPS und Spitzen-BIT/S Angriffen nach Bit/s und PPS für alle Branchen sowie Alle Branchen für die Finanzdienstleistungsbranche. Die X-Achse gibt die Spitzen-PPS an, während die Y-Achse 1012 Spitzen-Bits pro Sekunde (Bit/s) anzeigt. Beide sind logarithmisch skaliert. Hellere Farben stellen eine höhere Angriffsdichte in einem bestimmten 1010 Sechseck dar. Aufgrund der unterschiedlichen Anzahl von Angriffen pro Schnittstelle haben wir für Spitzen-Bit/s die Finanzdienstleistungen eine separate Farbskala gewählt. Diese Diagramme zeigen einen starken 108 Zusammenhang zwischen den PPS und der Menge an Datentraffic, die innerhalb eines breiten Bands erzeugt wird. 106 Zero Trust Wir haben in diesem Bericht bereits viel über Angriffe 102 104 106 108 gesprochen, von Credential Stuffing bis hin zu SQLi Spitzen-PPS und DDoS. Nun wollen wir ein Framework erörtern, Anzahl der Angriffe das darauf ausgelegt ist, all diese Angriffe zu 1 10 100 1000 verhindern. Das Konzept gibt es bereits seit 2010. Es ist unter einer Reihe von Namen wie Mikrosegmentierung, Nanosegmentierung und Angriffsdichte mit Spitzen-PPS und Spitzen-BIT/S BeyondCorp bekannt. Am bekanntesten ist jedoch Finanzdienstleister der Name Zero Trust. 1012 Der Ansatz „Vertrauen, aber verifizieren“ reichte aus, wenn es um Netzwerke mit klar definierten Grenzen ging. Das war noch vor der Revolution, die durch 1010 BYOD (Bring Your Own Device) und den Boom von Telearbeitern ausgelöst wurde, sowie lange Spitzen-Bit/s bevor cloudbasierte Architekturen zur Norm für Unternehmen wurden. 108 Das Zero-Trust-Modell ersetzt diesen alten Ansatz durch „Vertraue nichts und niemandem“. Mit Zero Trust verweigert das Netzwerk den gesamten 106 Zugriff auf Netzwerkressourcen, bis es ermittelt hat, wer der Nutzer ist und ob er autorisiert ist. Nichts, wirklich absolut nichts, innerhalb oder außerhalb des Netzwerks ist vertrauenswürdig. 103 105 107 Sicherheitsarchitekturen unterstützen diesen Ansatz Spitzen-PPS weiter, indem sie das Prinzip der geringstmöglichen Anzahl der Angriffe Berechtigungen auf Nutzer und Ressourcen 1 3 10 30 anwenden, denen Zugriff gewährt wird. Abb. 10: Heller dargestellte Sechsecke zeigen den häufigsten Schnittpunkt der Anzahl der Pakete und des Traffics bei DDoS-Angriffen. 16
Wöchentliche Registrierungen nach Typ 1.500.000 Wöchentliche Anzahl 1.000.000 500.000 0 Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019 Art der Registrierung Herkömmlich Social Abb. 11: Auch wenn Social-Registrierungen weiterhin genutzt werden, sind herkömmliche Registrierungen noch immer die gängigste Variante. Es mag hart erscheinen. Das ist es aber nicht. Denken die Unternehmensentwicklung zu integrieren. Zero Sie an die Realität, mit der wir heute konfrontiert Trust erfüllt die Anforderungen eines Unternehmens, sind. Unternehmen haben nach wie vor mit das nicht über ein zentrales Rechenzentrum verfügt, Problemen beim Nutzerzugriff und bei Ressourcen sondern stattdessen einige Anwendungen vor zu kämpfen, wie Ransomware oder kompromittierte Ort und andere in der Cloud hostet. Zero Trust Server und Datenbanken. Außerdem müssen sie wird auch eingesetzt, um kontrollierten Zugriff kompromittierte Lieferketten und Entwicklungskanäle auf Netzwerkressourcen für Nutzer, Kunden und in den Griff bekommen. Das alte Konzept der Geschäftspartner zu ermöglichen, unabhängig davon, Netzwerkverteidigung kann nicht mit dem rasanten wo auf der Welt sie sich befinden. Anwachs der Technologie mithalten. Viele heutige Sicherheitsprogramme vertrauen Der Weg zu Zero Trust: Identität Nutzern oder Geräten automatisch, sobald sie sich Zero Trust ist kein Produkt, das Sie kaufen. Es ist ein im Netzwerk befinden. So können Kriminelle Daten Konzept, auf dem Sie aufbauen. Einer dieser Bausteine einbringen, extrahieren oder schädliche Programme ist das Identity and Access Management (IAM). Heute installieren. Ausgewogenheit ist ein weiteres Problem, gibt es zwei Arten von Identitätsmanagement: Die dem Sicherheitsprogramme ausgesetzt sind. eine konzentriert sich auf interne Abläufe (IAM) und Manchmal kann Sicherheit zu einem Hindernis werden, die andere auf externe Vorgänge, nämlich Customer das dazu führt, dass Nutzer Kontrollen umgehen oder Identity and Access Management (CIAM). Es ist ihre eigenen Lösungen implementieren – auch als möglich, beide in einem bestimmten Netzwerk zu Schatten-IT bekannt. nutzen, und einige Unternehmen tun genau das. Im Januar 2019 übernahm Akamai das Unternehmen Unternehmen können Zero Trust nutzen, um all dies zu Janrain, einen CIAM-Anbieter in Portland, Oregon. bewältigen. Diese Übernahme hat dazu beigetragen, die Identity Abgesehen von der Bedrohungsabwehr wird Zero Cloud von Akamai zu formen. Trust auch eingesetzt, um den Faktor Sicherheit in 17 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Wöchentliche Anmeldungen nach Typ 12.000.000 9.000.000 Wöchentliche Anzahl 6.000.000 3.000.000 0 Jan. 2018 März 2018 Mai 2018 Juli 2018 Sep. 2018 Nov. 2018 Jan. 2019 März 2019 Mai 2019 Juli 2019 Sep. 2019 Nov. 2019 Art der Anmeldung Herkömmlich SSO Social Abb. 12: Die SSO-Authentifizierung blieb während des Beobachtungszeitraums konstant, wobei Social Logins nur einen kleinen Teil des Datentraffics ausmachten. Anhand der Daten von Janrain aus dem Zeitraum Abbildung 11 zeigt, dass sich zwar einige von Dezember 2017 bis November 2019 können Unternehmen und Nutzer vor der Registrierung wir erkennen, dass Kunden zunehmend IAM/CIAM über ein soziales Netzwerk authentifizieren, die einführen. Dies sind die Grundlagen, auf denen Zero Standardmethode über herkömmliche Methoden Trust aufgebaut wird. aber immer noch vorrangig ist. Abbildung 11 zeigt die wöchentlichen Registrierungen Bei der Anmeldung machen herkömmliche nach Registrierungstyp. Es gibt zwei Registrierungen, Zugriffsmethoden (Nutzername und Kennwort) die außerhalb des vom Administrator generierten weiterhin den Großteil der Zugriffsmethoden aus API-Kontoimports verfolgt werden: „Herkömmlich“ (74 %). Single Sign-on (SSO) und Social-Anmeldungen und „Social“. Herkömmliche Registrierungen erfolgen, treten jedoch ebenfalls auf. Tatsächlich verursachen wenn ein Konto über die Registrierungsoberfläche, die Social Logins den niedrigsten Traffic. Innerhalb JavaScript-API, das mobile SDK oder die OAuth-API dieser Daten sind Facebook, Google und Twitter eingerichtet wird. Social-Registrierungen über soziale die wichtigsten OAuth-Mechanismen, die zur Netzwerke erfolgen, wenn ein Konto von einem Nutzer Nutzerauthentifizierung verwendet werden. Anders eingerichtet wird, der sich durch einen externen ausgedrückt: Es ist nicht zu erwarten, dass Sie Ihre Identitätsanbieter authentifizieren lässt, z. B. Facebook, Anmeldeseite bald nicht mehr benötigen. LinkedIn oder Google. Wie in Abbildung 12 dargestellt, bleibt SSO während Die Idee hinter Zero Trust besteht darin, ab dem des Aufzeichnungszeitraums relativ stabil, was Zeitpunkt der Registrierung mit dem Aufbau von ein guter Indikator dafür ist, dass Unternehmen Schutz- und Sicherheitsfunktionen zu beginnen. In für die täglichen Aktivitäten auf die mehrstufige einigen Fällen beginnt die Authentifizierung des Authentifizierung umsteigen. Nutzers je nach der erforderlichen Kontrollstufe sogar schon, bevor das Konto erstellt werden kann. 18
Top-10-Branchen – EAA-Kunden Prozentsatz der Anwendungen für jeden Konnektortyp BRANCHE % KUNDEN KONNEKTORTYP % ANWENDUNGEN High-Tech 27,7 % VMware 60,3 % Handel 14,1 % AWS EC2 25,4 % Fertigungsindustrie 14,1 % Microsoft Azure 5,8 % Finanzdienstleistungen 9,3 % Microsoft Hyper-V 4,9 % Unternehmensdienst- OpenStack/KVM 1,8 % 7,1 % leistungen Videomedien 7,1 % Docker 0,8 % Gemeinnützig/Bildung 3,9 % Google CGE 0,5 % Öffentlicher Sektor 3,9 % VirtualBox 0,4 % Pharma/Gesundheits- 3,2 % Konnektoren speziell für Anbieter von Cloud-Services wesen Andere digitale Medien 2,9 % Abb. 13: High-Tech ist die Top-Branche, die EAA für Zugriffs- Abb. 14: VMware ist die erste Wahl für lokale Konnektoren, und Identitätskontrollen verwendet. wobei Amazon EC2 der führende cloudbasierte Konnektor ist. Der Weg zu Zero Trust: Zugriff Identität ist nur ein Element des Zero-Trust-Konzepts. An einem Punkt verfolgten einige Unternehmen Die anderen Bestandteile sind Zugang und Kontrolle. eine Idee, die der Netzwerkzugriffssteuerung Bei Akamai nutzen wir das Zero-Trust-Framework intern (NAC) ähnelte. Es stellte sich aber heraus, dass unter Einsatz unserer eigenen sowie externer Produkte, die Implementierung von NAC für die meisten um unseren Kunden dasselbe zu bieten. Enterprise Unternehmen zu schwierig und zu teuer war, sodass Application Access (EAA) ist eine Kernkomponente dies nicht weiter verfolgt wurde. Zero Trust erfüllt das unseres Zero-Trust-Stacks: der Konnektor zwischen Versprechen von NAC, aber mit der Leichtigkeit eines den Endnutzern und den von ihnen verwendeten VPN. Anwendungen. Laut den EAA-Daten sind fast 28 % der Nutzerbasis, EAA ist so konzipiert, dass nur autorisierte Nutzer die Akamai bedient, im High-Tech-Sektor angesiedelt, und Geräte Zugriff auf die benötigten internen gefolgt von Handel, Fertigung, Finanzdienstleistungen, Anwendungen erhalten. Dies geschieht durch Geschäftsservices und Videomedien. Abbildung 13 die Kombination aus Datenpfadschutz, SSO, IAM, zeigt die Top-10-Branchen. Anwendungssicherheit, Management und Transparenz in einem einzigen Produkt. 19 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Bei den Anwendungen, mit denen EAA-Nutzer eine der in Zero-Trust-Architekturen geschützten Verbindung herstellen, steuert die Vor-Ort-Lösung Anwendungen um SaaS-Anwendungen (z. B. Azure VMware die größte Anzahl von Anwendungen und und AWS). Wir gehen davon aus, dass diese Zahl im Services. Es muss unbedingt bedacht werden, dass der Laufe der Zeit steigen wird, da immer mehr kritische Konnektor selbst die Anwendung nicht wirklich hostet, Unternehmensanwendungen und -services in die sondern einfach den Zugriff darauf ermöglicht. Cloud verlagert werden. Ein Jahrzehnt des Wechsels in die Cloud hat nicht dazu geführt, dass wir keine Verbindungen mit Wenn Unternehmen sich für die Einführung Hosted Services mehr benötigen. Bei Konnektoren, cloudbasierter Anwendungen und Services die direkt mit Cloud-Services verbunden sind, entscheiden, wird das Zero-Trust-Framework zu ist AWS der Marktführer, was keine Überraschung sein einem wichtigen Bestandteil der Gleichung. AWS dürfte. Die breite Einführung von AWS spiegelt die wird von Administratoren und Geschäftsführern Tatsache wider, dass es sich um eine offenere Plattform als Branchenstandard angesehen, dicht gefolgt für SaaS-Lösungen (Software-as-a-Service) handelt von Azure. Beide Plattformen wachsen mit dem als viele Alternativen. Es gibt Anzeichen dafür, Kundenunternehmen und bieten individuellere dass die Einführung weiter zunimmt, nicht nur Lösungen für die Netzwerk- und Servicearchitektur, aufgrund der SaaS-Möglichkeiten, sondern auch, darunter Zero-Trust-Modelle. weil der Schwerpunkt auf detaillierter Kontrolle und Zugriff liegt – die gleichen Eigenschaften, die Diese Zahlen zeigen, dass Unternehmen bei der für die Einrichtung einer Zero-Trust-Umgebung Delegierung von Aufgaben und Services flexibler erforderlich sind. werden. Derzeit sind Unternehmen eher geneigt, die Dinge möglichst vor Ort zu halten, um mehr Laut den zum Zeitpunkt dieses Berichts Transparenz und Kontrolle zu erreichen. verfügbaren Daten handelt es sich bei 30 % Gelernte Lektionen Phishing oder nutzerdefinierte Command-and-Control- Es geht nicht nur um Finanzdienstleistungen. Server nicht mehr so leicht ausbeuten, da DNS an der Cyberkriminelle, die gestohlene Anmeldedaten Quelle blockiert werden kann. für ihre kriminellen Machenschaften missbrauchen, haben es auf alle Branchen abgesehen. Die Zero Trust ist allerdings keine Wunderwaffe. Im Bereich Finanzdienstleistungsbranche ist jedoch aufgrund Sicherheit reicht es einfach nicht, viel Geld und jede der Fülle an Informationen in diesen Unternehmen Menge unterschiedliche Technologien einzusetzen, ein wichtiges Ziel für Kriminelle. Finanzdienstleister um ein Problem zu lösen. Die größten Erfolge mit sollten sich zumindest bewusst sein, dass beim Zero Trust erzielen Sie dadurch, dass Sie das Konzept Missbrauch von Anmeldedaten eine Verlagerung auf einführen und Ihre Betriebsabläufe entsprechend API-Anmeldungen stattfindet. Von Credential Stuffing einrichten, was natürlich auch gewisse Investitionen bis hin zu DDoS-Angriffen – Kriminelle sind äußerst erfordert. hartnäckig, sodass Unternehmen stets wachsam sein müssen. Die Umstellung auf Zero Trust ist aber nicht einfach. Es kann einige Zeit dauern, und ältere Systeme Eines der Mittel zur Bekämpfung dieser fortlaufenden können zunächst Schwierigkeiten bereiten. Die Angriffe ist Zero Trust. Mit der Verbreitung dieses Zukunft liegt aber darin, sich von der klassischen Frameworks wird es für Kriminelle schwieriger, passive Netzwerkverteidigung wegzubewegen, da die Angriffe wie Credential Stuffing zu nutzen, um in einem Konnektivität in unserer Welt rasant zunimmt. bestimmten Netzwerk Fuß zu fassen. Sie können 20
Anhang: Methodik 21
Allgemeine Hinweise Die Daten in allen Abschnitten beziehen sich auf denselben Zeitraum von 24 Monaten, vom 1. Dezember 2017 bis zum 30. November 2019. API-Angriffe Webangriffe Die Daten für diesen Abschnitt wurden aus Cloud Die Daten für diesen Abschnitt, die ebenfalls aus Security Intelligence (CSI) gewonnen, einem dem CSI-Repository stammen, enthalten von Kona internen Tool zur Speicherung und Analyse von Site Defender und Web Application Protector Sicherheitsereignissen, die auf der Akamai Intelligent generierte Warnungen auf Anwendungsebene. Edge Platform erkannt wurden. Dabei handelt es Die Produkte lösen diese Warnungen aus, wenn sie sich um ein Netzwerk aus mehr als 230.000 Servern innerhalb einer Anfrage an eine geschützte Website in Tausenden von Netzwerken auf der ganzen Welt. oder Anwendung eine bösartige Payload erkennen. Diese Daten werden in Petabyte pro Monat gemessen Die Warnungen weisen nicht auf eine erfolgreiche und von unserem Sicherheitsteam verwendet, um Kompromittierung hin. Obwohl diese Produkte ein Angriffe zu untersuchen, schädliches Verhalten hohes Maß an Anpassung ermöglichen, haben wir aufzudecken und zusätzliche Informationen in die die hier dargestellten Daten auf eine Weise erfasst, Lösungen von Akamai einzuspeisen. bei der keine nutzerdefinierten Konfigurationen der geschützten Ressourcen berücksichtigt werden. Versuche, Anmeldedaten zu missbrauchen, wurden als fehlgeschlagene Anmeldeversuche für Konten identifiziert, bei denen eine E-Mail-Adresse als Nutzername verwendet wurde. Wir verwenden zwei DDoS-Forschung Algorithmen, um zwischen Missbrauchsversuchen Prolexic Routed schützt Unternehmen vor DDoS- und echten Nutzern zu unterscheiden, die sich nur Angriffen, indem der Netzwerktraffic über vertippen. Der erste ist eine einfache volumetrische Scrubbing-Zentren von Akamai umgeleitet und nur Regel, die die Anzahl der Anmeldefehler für unbedenklicher Datentraffic weitergeleitet wird. eine bestimmte Adresse zählt. Dieser Vorgang Experten im Security Operations Center (SOC) unterscheidet sich insofern von dem, was ein einzelnes von Akamai passen proaktive Abwehrkontrollen Unternehmen ermitteln könnte, als dass Akamai Daten so an, dass Angriffe sofort erkannt und gestoppt über Hunderte von Unternehmen hinweg korreliert. werden. Außerdem führen sie eine Live-Analyse des verbleibenden Datentraffics durch, um bei Der zweite Algorithmus verwendet Daten aus Bedarf weitere Abwehrmaßnahmen einzusetzen. unseren Bot-Erkennungsservices, um Missbrauch DDoS-Angriffe werden je nach gewähltem von Anmeldedaten durch bekannte Botnets und Bereitstellungsmodell entweder vom SOC oder vom Tools zu identifizieren. Mit einem gut konfigurierten Unternehmen selbst erkannt – Always-On oder On- Botnet kann eine volumetrische Erkennung Demand. Das SOC zeichnet jedoch Daten für alle vermieden werden, indem der Traffic auf viele Ziele abgewehrten Angriffe auf. Über Spitzen-PPS und -Bit/s verteilt wird. Erreicht wird dies beispielsweise durch werden die höchsten aufgezeichneten Werte während Ausweichtechniken wie eine große Anzahl von eines Angriffs dargestellt, die zu unterschiedlichen Systemen im Scan oder durch Verteilen des Traffics Zeiten auftreten können. auf einen bestimmten Zeitraum. Um offensichtliche API-Endpunkte zu identifizieren, haben wir Hostnamen mit einem regulären Ausdrucksmuster abgeglichen und auf das Vorhandensein von api, soap oder rest geprüft. 22
Wichtigste Ursprungsländer: Schädliche Anmeldeversuche auf APIs GLOBALER RANG URSPRUNGSLAND API-ZIELE ALLE ZIELE ALLE ZIELE USA 4.125.096.694 27.720.941.969 1 Kanada 1.201.645.251 2.755.050.121 7 Deutschland 824.565.170 2.248.968.240 11 Russland 750.697.426 5.971.495.742 2 Brasilien 728.124.509 3.946.259.977 3 Frankreich 711.910.138 2.419.030.977 9 China 707.860.559 2.934.117.887 5 Indien 587.264.282 3.101.634.280 4 Vietnam 577.668.010 2.350.650.696 10 Niederlande 553.657.601 1.704.898.799 12 Wichtigste Ursprungsländer: Schädliche Anmeldeversuche auf Finanzdienstleister GLOBALER RANG URSPRUNGSLAND FINANZDIENSTLEISTER ALLE BRANCHEN ALLE BRANCHEN USA 1.510.868.522 27.720.941.969 1 Malaysia 351.107.813 1.633.449.986 15 China 248.220.277 2.934.117.887 5 Frankreich 201.122.825 2.419.030.977 9 Indonesien 187.890.980 2.587.071.754 8 Indien 177.518.111 3.101.634.280 4 Vietnam 166.682.300 2.350.650.696 10 Brasilien 166.370.637 3.946.259.977 3 Russland 140.434.207 5.971.495.742 2 Deutschland 125.437.147 2.248.968.240 11 23 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Wichtigste Zielländer: Schädliche Anmeldeversuche auf APIs GLOBALER RANG ZIELLAND API-ZIELE ALLE ZIELE ALLE ZIELE USA 10.664.573.225 63.989.127.852 1 Indien 3.989.751.301 6.541.253.765 2 China 513.042.265 5.368.482.247 3 Kanada 294.066.912 2.117.361.682 4 Brasilien 289.952.527 745.960.037 9 Vereinigtes König- 281.425.519 1.097.838.460 6 reich Vereinigte Arabische 270.209.848 391.643.895 10 Emirate Schweiz 81.399.628 182.758.977 16 Italien 66.819.193 220.843.398 13 Australien 58.692.014 238.803.544 12 Wichtigste Zielländer: Schädliche Anmeldeversuche auf Finanzdienstleister GLOBALER RANG ZIELLAND FINANZDIENSTLEISTER ALLE BRANCHEN ALLE BRANCHEN USA 4.154.212.999 63.989.127.852 1 Kanada 184.382.462 2.117.361.682 4 Frankreich 87.871.337 242.255.513 11 Malaysia 30.064.767 199.700.300 15 Deutschland 29.726.664 1.555.016.496 5 Indien 12.246.297 6.541.253.765 2 Israel 11.693.350 11.693.350 27 Brasilien 11.596.822 745.960.037 9 Australien 3.482.832 238.803.544 12 Vereinigtes König- 3.104.323 1.097.838.460 6 reich 24
Mitwirkende „State of the Internet“-Sicherheitsbericht – Beiträge Omri Hering Sean Calhoon Senior Lead Data Analyst, Product Line Director, API-Angriffe und Webangriffe Zero Trust Lydia LaSeur Bill Poulos Data Scientist, Engineering Manager, DDoS-Angriffe und Zero Trust Zero Trust Or Katz Robert Towne Principle Lead Security Researcher, Architect, Zero Trust Zero Trust Redaktionsteam Martin McKeay Amanda Fakhreddine Editorial Director Senior Technical Writer, Managing Editor Steve Ragan Lydia LaSeur Senior Technical Writer, Editor Data Scientist Marketing Georgina Morales Hampe Murali Venukumar Project Management, Creative Program Management, Marketing Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt alles – vom Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und sicher agieren können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud- Architekturen zu optimieren. Akamai bietet Schutz vor Angriffen und Bedrohungen, beschleunigt Entscheidungen und Anwendungen und liefert herausragende Online-Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance, Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden Kundenservice, Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie unter www.akamai.com, im Blog blogs.akamai.com oder auf Twitter unter @Akamai. Unsere globalen Standorte finden Sie unter www.akamai.com/locations. Veröffentlicht: Februar 2020 25 „State of the Internet“-Sicherheitsbericht Finanzdienstleistungen – Versuche einer feindlichen Übernahme: Band 6, Ausgabe 1
Sie können auch lesen