Webanwendungen von Unternehmen sind häufig schlecht gegen Cyberkriminelle geschützt. Dabei haben Hackerangriffe auf sensible Daten weitreichende Folgen. Die Security Division von NTT hat sechs Ratschläge parat, wie Unternehmen ihre Web Applications besser gegen Eindringlinge absichern.
Inhaltsverzeichnis
1. Angriffe durch eingeschleuste SQL-Befehle
2. 6 Empfehlungen für mehr Cybersecurity
3. Anzahl der offenen und nicht gefixten Schwachstellen in Web-Applikationen ist hoch
Wenn es darum geht, wertvolle Kundendaten von Unternehmen abzugreifen und in Backend-Systeme vorzudringen, sind Webanwendungen nach wie vor das beliebteste Einfallstor. Dabei nutzen die Angreifer Schwachstellen in der Anwendung selbst oder der Plattform, auf der sie laufen, aus, um Zugang zu den Daten zu erhalten. Im vergangenen Jahr machten Angriffe auf Web Applications weltweit 32 % aller feindlichen Aktivitäten aus, wie der Global Threat Intelligence Report 2019 zeigt. Fünf Industriezweige sind besonders betroffen: Finanzen, Business- und Professional-Services, Gesundheitswesen, Retail sowie Fertigung. Mit 85 % belegt dabei die Retail-Branche in der EMEA-Region einen Spitzenplatz. Eine stärkere Internetpräsenz durch Webshops oder Kundenportale in Kombination mit sensiblen Kundendaten bedeutet in diesem Fall eine größere Angriffsfläche und viel „Futter“ für die Cyberkriminellen.
Angriffe durch eingeschleuste SQL-Befehle
Gehackt werden Webanwendungen in den meisten Fällen durch das Einschleusen von SQL-Befehlen. Daneben sind eine falsche oder fehlerhafte Verschlüsselung, fehlende Authentifizierungsverfahren und Cross-Site-Scripting (XSS) ein Problem: Bei XSS nutzen Angreifer Schwachstellen aus, um ein Skript einzuschmuggeln, das dann im Browser des Nutzers ausgeführt wird. Da Hacker den Weg des geringsten Widerstands gehen, suchen sie nach nicht gepatchten Schwachstellen oder fehlerhaft konfigurierten Systemen. Oftmals sind es gar nicht die neuen Zero-Day-Exploits, die den Unternehmen zum Verhängnis werden, sondern Schwachstellen, für die es längst einen Patch gibt. Auch der Trend zu Microservices, die häufig in Node.js und Spring Boot erstellt sind, verschärft das Problem.
6 Empfehlungen für mehr Cybersecurity
Mit folgenden Empfehlungen verteidigen Unternehmen ihre Webanwendungen und ihr Netzwerk gegen potenzielle Angreifer:
- Patchen, Patchen, Patchen: Ein gutes Patch-Management für Betriebssysteme und Anwendungen hat oberste Priorität. Auf keinen Fall sollte man weniger kritische Systeme im Netzwerk vergessen, sie können bei fehlenden Patches zum Einfallstor für Hacker werden.
- Strenges Access Management: Zugriffsberechtigungen sollten genau geprüft und soweit wie möglich eingeschränkt werden. Wo immer möglich, sollten Passwörter durch eine starke Authentifizierung ersetzt werden.
- Segmentierung der Netzwerkumgebung: Unternehmen sollten Anwendungen und Infrastruktur in Segmente unterteilen, so dass Bedrohungen eingedämmt und deren Ausbreitung auf andere Bereiche verhindert werden kann.
- Security by Design: Das Thema Sicherheit sollte bei der internen Softwareentwicklung und der System- und Netzwerkkonfiguration von Anfang an mitgedacht werden. Zudem sollten nur Anwendungen und Tools von Drittanbietern mit entsprechendem Nachweis genutzt werden.
- Implementierung einer Web Application Firewall (WAF): Eine WAF schützt Webanwendungen, indem sie den Datenverkehr zwischen Webservern und Clients auf Anwendungsebene kontrolliert. Sie filtert, analysiert und überwacht den HTTP-Verkehr.
- Regelmäßige Schwachstellen-Überprüfung: Unternehmen sollten in regelmäßigen Abständen ihre Unternehmens-IT auf Schwachstellen hin untersuchen, die Scan-Ergebnisse entsprechend priorisieren und gegebenenfalls eine Anpassung der internen Prozesse und Kontrollen vornehmen.
Anzahl der offenen und nicht gefixten Schwachstellen in Web-Applikationen ist hoch
„Das Thema Sicherheit von Webapplikationen wird in vielen Unternehmen noch sehr stiefmütterlich behandelt. Die meisten machen einen Penetrationstest, wenn die Webseite live geht, und dann passiert nichts mehr. Das NTT-Tochterunternehmen Whitehead Security gibt einen jährlichen Report heraus über die Anzahl der offenen und nicht gefixten Schwachstellen in Webapplikationen, die sie über ihre Penetrationstests finden. Das Ergebnis ist erschreckend: Der durchschnittliche Wert lag in den letzten Jahren immer etwa bei 380 bis 390 Tagen von offenen, nicht gefixten Vulnerabilities in Webapplikationen. Es variiert etwas von Branche zu Branche“, erklärt René Bader, Manager for Critical Applications and Big Data bei der Security Division von NTT Ltd. „Unternehmen können bei dem Thema nicht einfach wegschauen. Auch angesichts der Tatsache, dass immer mehr Organisationen und Entwickler einen DevOps-Ansatz verfolgen, was zwar eine schnellere Entwicklung und Bereitstellung von Applikationen verspricht, gleichzeitig aber das Sicherheitsbedürfnis etwa durch eine fehlende Testautomatisierung erhöht.“ jg
Kontakt:
NTT Security (Switzerland) AG
Riedhofstrasse 11
8804 Au/Zürich, Schweiz
Tel. +41 43 4777010
Fax: +41 43 4777012
ch-info@nttsecurity.com/ch
www.nttsecurity.com/ch
