Schatten-APIs führen zu unvorhergesehenen Vorfällen
10. Januar 2023Heutzutage warten Cyber-Kriminelle in der Regel nicht auf den Jahreswechsel, um eine neue Art von Angriffen zu starten oder ihre Taktik und Ziele zu ändern. Ihre Methoden entwickeln sich langsam weiter und passen sich kontinuierlich den Sicherheitsmaßnahmen an. Unter diesen Voraussetzungen haben Experten von F5 die wichtigsten Cyber-Security-Trends für das neue Jahr vorhergesagt.
Bei allen Aspekten der Cyber-Sicherheit gilt: Man kann nur etwas schützen, von dem man weiß, dass es existiert. Laut Shahn Backer, F5 Senior Solutions Architect und Cloud- und API-Berater, stellen deswegen Schatten-APIs ein zunehmendes Risiko dar. Diese führen wahrscheinlich zu größeren Datenvorfällen, die Unternehmen nicht vorhersehen können:
„Viele Unternehmen verfügen heute nicht über eine genaue Aufstellung ihrer APIs. Das ermöglicht einen neuen Bedrohungsvektor, der als ‚Schatten-API‘ bekannt ist. Unternehmen mit einem ausgereiften API-Entwicklungsprozess führen ein Bestandsverzeichnis, das so genannte API-Inventar. Es enthält im Idealfall Informationen über alle verfügbaren API-Endpunkte, Details über zulässige Parameter, Authentifizierungs- und Autorisierungsinformationen und so weiter. Viele Unternehmen besitzen jedoch kein solches API-Inventar – oder produktiv genutzte APIs entwickeln sich weiter und entsprechen nicht mehr ihrer ursprünglichen Definition im Inventar. Über Schatten-APIs, die Unternehmen kaum oder gar nicht kennen, werden viele Anwendungen angegriffen.“
Multi-Faktor-Authentifizierung wird ineffektiv
Multi-Faktor-Authentifizierung (MFA) hat als Allheilmittel ausgedient, so zumindest Remi Cohen, Cyber Threat Intelligence Managerin im F5 Office of the CISO: „MFA-Bombing-Angriffe werden immer zahlreicher und effektiver. Sie überschwemmen ihre Opfer mit so vielen Authentifizierungsanfragen, dass sie diese aus Versehen oder Frustration genehmigen. Mitarbeiter sind der anfälligste Bedrohungsvektor für Social Engineering. Häufig übersehen Unternehmen gestohlene Passwörter oder erlauben einfachere Passphrasen, weil es andere Kontrollen wie MFA gibt. MFA-fähige Phishing-Kits und MFA-Bombing umgehen diese Kontrollen und unterstreichen die Bedeutung von Passphrasen, Defense-in-Depth und den Einsatz einer Zero-Trust-Architektur.“
„Angreifer passen sich an MFA-Lösungen an, indem sie Techniken kombinieren, etwa das Ausnutzen von Tippfehlern, Kontoübernahmen, MFA Device Spoofing und Social Engineering“, fügt Ken Arora, Distinguished Engineer im F5 Office of the CTO, hinzu: „So ist die biometrische Authentifizierung mit einer gewissen Skepsis zu betrachten, da gestohlene Fingerabdruck-Daten nicht geändert werden können. Stattdessen sind benutzerspezifische Verhaltensweisen schwieriger zu fälschen, insbesondere in großem Maßstab. Dazu gehören auch einfache Merkmale wie der genutzte Browser, der Ort, Navigationsmuster und Verweildauer auf einer Website sowie Mausbewegungsmuster, Doppelklick- und Tippgeschwindigkeit.“
Nach Einschätzung von Melissa McRee, Senior Managerin des Anti-Betrugs-Teams für Threat Analytics Reporting (TAR), werde die Musteranalyse und Anomalie-Erkennung seit Mitte der 2010er Jahre unter dem Namen UBA (User Behavioral Analytics) angewendet, um verdächtige Aktivitäten zu entdecken. „Wir stehen möglicherweise vor einem Effizienzsprung, da die Verarbeitungskapazitäten bald die erforderliche Datenmenge für komplexere Echtzeitauswertungen bewältigen können“, so McRee weiter. Vielleicht sei auch die Passkey-Lösung der FIDO-Allianz die erste wirklich wirksame Methode zur Entschärfung von Social-Engineering-Angriffen. Denn der Pass-Schlüssel zur Authentifizierung auf der jeweiligen Website basiert auf der vom Nutzer verwendeten Methode zur Geräte-Entsperrung.
Probleme mit der Fehlerbehebung in der Cloud
Vorfälle bei Cloud-Anwendungen nehmen zu und ihr Ausmaß kann enorm sein. Daher sollten Unternehmen ihre bestehenden Sicherheitsmaßnahmen verstärken. Ethan Hansen, SOC Engineer bei F5, führt dazu folgende Aspekte aus: „Sei es aus Versehen oder zur Fehlerbehebung: Viele Cloud-Nutzer haben Probleme mit der korrekten Konfiguration der Zugriffskontrolle, sowohl auf Anwender- als auch auf Netzwerkebene.“
Im Jahr 2022 habe das F5 SOC mehrfach beobachtet, dass Unternehmen „temporäre“ Service-User erstellen und ihnen sehr weitreichende Berechtigungen zuweisen, häufig zur Behebung von Problemen. „Diese Not- wird häufig zur Dauerlösung, da sie sich nur schwer rückgängig machen lässt. Zudem besteht bei der Verwendung langfristiger statt kurzlebiger Anmeldedaten eine größere Gefahr, dass sie gestohlen werden.“
Open-Source-Software-Bibliotheken im Fokus
In den letzten Jahren zielten immer mehr Angriffsmethoden auf Software-Bibliotheken, die in Unternehmen zum Einsatz kommen:
- Entwicklerkonten wurden häufig aufgrund fehlender MFA kompromittiert, wodurch bösartiger Code in weit verbreitete Bibliotheken und Google Chrome Webbrowser-Erweiterungen gelangte.
- Bei Trojaner- und Tippfehler-Angriffen entwickeln Cyber-Kriminelle Tools, die nützlich klingen oder sehr ähnliche Namen wie weit verbreitete Bibliotheken haben.
- Bösartiger Code wird als eine Form von Hacktivismus oder politischem Protest zum Teil absichtlich vom echten Autor einer Bibliothek eingefügt.
Ken Arora erklärt, was dies für die Zukunft der App-Entwicklung bedeutet: „Viele moderne Anwendungen nutzen Software-as-a-Service (SaaS)-Angebote, etwa für zentralisierte Authentifizierung, Datenbanken oder Data Leakage Prevention (DLP). Wenn ein Angreifer die Open-Source-Software (OSS)-Codebasis oder ein SaaS-Angebot kompromittiert, hat er Zugang zum Inneren der jeweiligen Anwendung und umgeht Schutzmechanismen wie Web Application Firewalls und API-Gateways.“
Dies könne er für verschiedene Formen der Seitwärtsbewegung wie Remote Shell, Monitoring oder Datenexfiltration nutzen. Daher benötigen Entwickler einen besseren Einblick in die Softwarekomponenten, aus denen sich eine Anwendung zusammensetzt, sowie eine Liste all dieser Komponenten. Dann ist auch der Nutzer schneller und effizienter über bekannte Schwachstellen des Produkts informiert.“
Aaron Brailsford, Principal Security Engineer beim Security Incident Response Team (SIRT) von F5, weist aber darauf hin, dass dafür eine Menge Arbeit nötig ist: „Die weit verbreitete Einführung von Softwarekomponentenlisten (Software Bill of Materials, SBoM) wird eine enorme Menge an technischen Schulden zu Tage fördern. Ich glaube nicht, dass dadurch Produkte oder Systeme von Natur aus weniger sicher sind, aber dies wird die etwas planlose Art und Weise aufdecken, wie die Branche derzeit Produkte entwickelt. Unternehmen müssen erhebliche Investitionen tätigen, um entweder ältere Systeme zu modernisieren und viele Schwachstellen zu beheben oder komplett neu anzufangen. Zudem besteht die Möglichkeit, dass Kunden lernen, eine große Anzahl von nicht behobenen Sicherheitslücken in den genutzten Produkten zu akzeptieren, da sie sich ohnehin nicht mehr alle beheben lassen.“
Ken Arora sieht als Lösung für die von Drittanbieter-Bibliotheken ausgehenden Risiken: „Bei unbekannten oder Zero-Day-Schwachstellen ist die beste Chance zur Angriffserkennung, den internen Ost-West-Verkehr zwischen Softwarekomponenten und Diensten innerhalb der Anwendung sowie die Interaktion dieser Komponenten mit der zugrunde liegenden Plattform (IaaS) zu untersuchen. Heute werden diese Interaktionen von CSPM (Infrastruktur), CWPP (Ost-West) und ADR (Anwendungsebene) erfasst. Diese separaten Lösungen müssen für eine ganzheitliche Sicht zusammengeführt werden, um Intra-App-Bedrohungen mit hoher Wirksamkeit und einer geringen Rate an Fehlalarmen zu erkennen.“
Ransomware wird sich weiter ausbreiten
Angreifer verschlüsseln nicht nur Daten, sondern stehlen sie auch, um damit Geld zu machen. Aditya Sood, Senior Director of Threat Research im F5 Office of the CTO, hat dabei beobachtet, dass Ransomware immer häufiger direkt auf Datenbanken abzielt: „Ransomware-Angriffe auf Cloud-Datenbanken nehmen im kommenden Jahr deutlich zu. Denn dort befinden sich die geschäftskritischen Daten von Unternehmen und Behörden. Im Gegensatz zu herkömmlicher Malware, die diese auf Dateisystemebene verschlüsselt, kann Datenbank-Ransomware sie innerhalb der Datenbank selbst verschlüsseln.“
David Arthur, F5 Security Solutions Architect für den asiatisch-pazifischen Raum, beschreibt einen ergänzenden Trend: „Angreifer versuchen verstärkt, mit verschiedenen Arten von Betrug und nachgelagertem Betrug wie der Beantragung neuer Kreditkarten direkt von den betroffenen Personen Geld zu erlangen. Obwohl diese Betrugsversuche für geschulte Beobachter immer noch offensichtliche Fehler enthalten, werden sie wahrscheinlich recht erfolgreich sein und sich für die Angreifer definitiv lohnen. Wenn sich der Diebstahl von Kundendaten also nicht durch Erpressung des betroffenen Unternehmens zu Geld machen lässt, werden die Einzelpersonen angegriffen.“ (rhh)