Web Application Security

Software-Defined Access erleichtert die Absicherung von Webanwendungen

, München, Safe-T | Autor: Herbert Wieler

Software-Defined Access erleichtert die Absicherung von Webanwendungen

Geteilte Verantwortung beim Schutz von Web Applikationen

Cloud-basierte Cyber-Angriffe sind im ersten Halbjahr 2017 um 300 Prozent angestiegen. Neben Account-Informationen stehen u.a. die Webanwendungen der Unternehmen im Fokus der Angreifer.

Web Applikationen sind das öffentliche Aushängeschild jeder Organisation, die sich im Internet präsentiert. Daher versuchen Angreifer permanent entsprechende Sicherheitslücken in den Anwendungen auszunutzen, um entweder dem Unternehmen zu schaden, es zu erpressen, oder einen geeigneten Zugang auf die internen Systeme der Unternehmensnetzwerke zu erhalten. Die Angriffsvarianten sind vielfältig und erstrecken sich von SQL-Injections, Drive-by-Downloads, eingebetteter Malware in Browsern , bis über das direkte Abgreifen von personenbezogenen Daten.

In einer neueren Version von WordPress wurde erst wieder eine SQL-Injection Schwachstelle entdeckt, die es Angreifern ermöglichte, Code nach Belieben in eine Website einzufügen und auszuführen. SQL Injection-Angriffe sind eine der häufigsten Methoden, um Webseiten zu infizieren. So einfach es auch für Hacker ist, SQL-Injection-Angriffe einzusetzen, ist es auch relativ wirksam, sich mit entsprechenden Patches dagegen zu schützen. Jedoch wird nicht jeder Angreifer eine solche grundlegende Technik verwenden.

Welche fortschrittlichen Techniken setzen Hacker gegen Webanwendungen ein? – Was macht Cloud-gehostete Webanwendungen besonders anfällig?

Modell der geteilten Verantwortung

Bei großen Cloud-Anbietern teilen sich sowohl Clients als auch Cloud-Hosts die Verantwortung für die Security von Webanwendungen. Da der Host meistens die physische Infrastruktur wie Server, Switches, Router usw. – bereitstellt, ist er dafür verantwortlich, diese Hardware und das Netzwerk, das sie umfassen, zu sichern. Cloud-Kunden sind für alles verantwortlich, was auf der Hardware und dem Netzwerk „sitzt“, d.h. die installierten Kundenanwendungen, die enthaltenen Daten, sowie der Datenverkehr, der in der Cloud-Bereitstellung ein- und ausgeführt wird.

Wie es scheint sind sich viele Cloud-Anwender, sprich die Unternehmensleitung, über das Ausmaß und der Wichtigkeit des Modells der gemeinsamen Verantwortung (DSGVO Artikel 28/1 ff) noch nicht ganz bewusst. Zu viele denken immer noch, dass ein Cloud-Anbieter, wie z.B. Amazon, Microsoft, Google oder IBM, die vollständige Cloud-Security abdecken und somit auch die volle Verantwortung für einen potentiellen Zwischenfall mit Datendiebstahl übernehmen würden. Dies ist eben nicht so und spätestens im Mai 2018 ist dies offiziell reglementiert.

Irreführende Aussagen wie „Die Cloud macht es für Personen ohne Sicherheitserfahrung einfach, Webanwendungen einzurichten“, führte allein in diesem Jahr bereits zu über 175.000 falsch konfigurierten Cloud-Anwendungen . Obwohl viele Angreifer ihre Zeit damit verbringen, nach relativ niedrig hängenden „Früchten zu suchen“, können so auch gut abgesicherte Unternehmen anfällig für ausgefeilte Angriffe werden.

Open Application Access ist eine Sicherheitsanfälligkeit für Webanwendungen

Webanwendungen werden immer komplexer, was bedeutet, dass mehr Kanäle für die Kundeninteraktion zur Verfügung gestellt werden müssen und sich damit automatisch auch mehr Angriffsflächen eröffnen.

Auch wenn die Webanwendung selbst auf dem neuesten Sicherheitsstand ist, kann diese Sicherheit durch unberechtigte Zugriffe, ob bösartig oder unbewusst, unterwandert werden.

Stellen Sie sich die Auswirkungenn vor, wenn beispielsweise ein Unternehmen im Gesundheitswesen die Möglichkeit hätte, gescannte Versicherungsunterlagen hochzuladen, oder eine Bank ein eingescanntes Bild eines Schecks für eine Auszahlung akzeptieren würde.

Hacker verwenden bei ihren Angriffen häufig infizierte DOCX-Dateien und bösartige Bilddateien. Ein Tool, das als Stegosploit bekannt ist, lässt Angreifer den Computer eines Benutzers hacken, wenn dieser nur auf das Bild klickt. Andere verwenden die Steganographie , um Webseiten zu übernehmen und sie dazu zu zwingen, beispielsweise Kryptowährung-Mining-Software zu installieren.

Software-Defined Access Lösungen wie beispielsweise von Safe-T, können Cloud-Kunden dabei unterstützen, sich vor bösartigen Datei-Uploads, oder unberechtigten oder anonymen Zugriffen auf Applikationen, zu schützen. Bei dieser Technologie werden die bestehenden Sicherheitstools eines Unternehmens in die Webanwendung integriert, sodass Dateien schneller gescannt werden können, ohne dabei ein Loch in die WAF zu reißen. Zudem werden unberechtigte Zugriffe auf Daten, Dienste und APIs reglementiert und potentielle Cyber-Bedrohungen, wie Datenmissbrauch oder Datendiebstahl minimiert.

Cloud-Kunden stehen zunehmend in der Verantwortung ihre Webanwendungen in der Cloud gegen Cyber-Angriffe zu härten. Unberechtigte Datenzugriffe, Datenmissbrauch oder Datendiebstahl könnten im Ernstfall schon bald zu einer kostspieligen Angelegenheit für den Kunden werden.