BLOG

Verteidigung gegen Cyberkriminalität während der EM 2020

David Warburton Miniaturbild
David Warburton
Veröffentlicht am 14. Juni 2021

Die verschobene Europameisterschaft 2020 hat endlich begonnen und markiert den Beginn eines der größten Sportereignisse seit über einem Jahr.

Und wie bei jedem Ereignis dieser Größenordnung können wir davon ausgehen, dass die Cyberkriminellen fit und einsatzbereit sind. Insbesondere Online-Gaming-, Glücksspiel- und E-Commerce-Dienste werden wahrscheinlich ins Visier geraten, wenn der Hype um das Event zunimmt und die damit verbundene Online-Aktivität sprunghaft ansteigt.

Hier sind einige der Bedrohungen, auf die Unternehmen, die EM-2020-bezogene Dienstleistungen anbieten, während des Turniers (und darüber hinaus) achten sollten:

Abwehr von DDoS

Während ein DDoS-Angriff massive Auswirkungen auf jedes Unternehmen haben kann, sind Online-Gaming-Sites besonders anfällig. Wir können davon ausgehen, dass im Vorfeld von Spielen immer mehr Leute auf den Ausgang von Spielen wetten werden, und dass dies während des gesamten Spiels so bleiben wird, da ihnen eine nahezu unendliche Vielfalt an Optionen zur Verfügung steht. Angreifer wissen dies und passen ihr Timing häufig entsprechend an.

Die DDoS-Aktivität nimmt bereits zu. Vom F5 Silverline Security Operations Center (SOC) und dem F5 Security Incident Response Team (SIRT) gesammelte Daten ergaben kürzlich, dass die DDoS-Angriffe zwischen Januar 2020 und März 2021 um 55 % zugenommen haben . Bei der Mehrheit dieser Vorfälle (54 %) kamen mehrere Angriffsmethoden zum Einsatz, was auf eine zunehmende Raffinesse der immer entschlosseneren Angreifer schließen lässt.

Der größte vom SOC beobachtete Angriff zielte insbesondere auf ein Unternehmen, das Informationssicherheitsdienste für Gaming- und Glücksspielorganisationen anbietet.  In diesem Beispiel wurde dem Unternehmen mit einem Angriff gedroht, falls es nicht zahlen würde. Als sie sich weigerten, wurde ein mehrvektorieller Angriff gestartet, der über einen Monat andauerte.

Es gibt mehrere Gründe, warum Cyberkriminelle gezielt auf diese Art von Unternehmen abzielen. Der offensichtlichste Grund hierfür ist der finanzielle Vorteil, indem man die Bedrohung durch einen DDoS-Angriff ausnutzt, um Geiseln zu erpressen. Zu den weiteren Motiven könnten Angriffe im Auftrag von Wettbewerbern, Bedrohungsakteure, die einen DDoS-Angriff als Ablenkungsmanöver nutzen möchten, oder einfach Hacker gehören, die sich einen Namen machen möchten.

Die gute Nachricht ist, dass es mehrere Möglichkeiten gibt, Ihre Abwehrkräfte zu stärken. Dabei geht es zunehmend darum, durch die Nutzung cloudbasierter Managed Services Angriffe daran zu hindern, das Unternehmensnetzwerk zu erreichen.

Eine Lösung wie F5 Silverline DDoS Protection ist ein gutes Beispiel.  Die Lösung wird über eine Cloud-basierte Plattform bereitgestellt und kann DDoS-Angriffe in Echtzeit erkennen und eindämmen. So werden selbst die größten volumetrischen DDoS-Angriffe daran gehindert, das Netzwerk zu erreichen.  Der Dienst wird durch einen rund um die Uhr verfügbaren Zugriff auf ein Team von SOC-Experten unterstützt, um die Online-Verbindung von Unternehmen während DDoS-Angriffen durch umfassenden, mehrschichtigen L3- bis L7-Schutz aufrechtzuerhalten.

Zum Schutz vor DDoS-Angriffen werden außerdem folgende technische/präventive Sicherheitsmaßnahmen empfohlen:

  • Verwenden Sie sowohl Netzwerk- als auch Application Firewalls.
  • Verwenden Sie ein netzwerkbasiertes Intrusion-Detection-System.
  • Wenden Sie Patches umgehend an, um zu verhindern, dass Ihre Systeme für Angriffe missbraucht werden.
  • Blockieren Sie Datenverkehr mit gefälschten Quell-IP-Adressen.
  • Verwenden Sie eine Ratenbegrenzung, um das Volumen des eingehenden Datenverkehrs einzuschränken.

Zeigt Formjacking die rote Karte

Zu den weiteren opportunistischen Taktiken von Cyberkriminellen, die Sie im Auge behalten sollten, gehört Formjacking . Dabei handelt es sich derzeit um eine der gängigsten Taktiken für Webangriffe. Dabei werden Daten aus dem Webbrowser einer Organisation an einen vom Angreifer kontrollierten Ort weitergeleitet.

Da immer mehr Applications mit kritischen Komponenten wie Einkaufswagen, Kartenzahlungen, Werbung und Analysen verknüpft werden, werden Anbieter zu einem besonders großen Ziel. Code kann aus zahlreichen Quellen bereitgestellt werden – die fast alle außerhalb der Grenzen üblicher Sicherheitskontrollen von Unternehmen wie Proxys und Web Application Firewalls liegen. Da viele Websites dieselben Ressourcen von Drittanbietern nutzen, wissen Angreifer, dass sie nur eine einzige Komponente kompromittieren müssen, um Daten aus einem riesigen Pool potenzieller Opfer abzuschöpfen.

Zu den typischen Sicherheitsmaßnahmen, die Unternehmen dabei helfen können, ihre Sicherheit zu gewährleisten, gehören:

  • Erstellen einer Asset-Liste von Web- Applications. Dies sollte eine gründliche Prüfung der Inhalte Dritter umfassen. Der Prozess wird dadurch erschwert, dass Dritte in der Regel auf noch mehr Websites verlinken und die Sicherheitskontrollen tendenziell mangelhaft sind.
  • Patchen Sie Ihre Umgebung .  Zwar werden durch das Patchen die Fehler in Inhalten von Drittanbietern nicht unbedingt behoben, es wird jedoch schwieriger, aus einem anfänglichen Problem einen substanziellen Kompromiss zu machen. Da es sich bei der Web-Injection um eine vielseitige Technik handelt, ist das Patchen von Applications, die in Ihrer eigenen Umgebung ausgeführt werden, nach wie vor von entscheidender Bedeutung, um Schäden durch kompromittierte Assets von Drittanbietern zu verhindern.
  • Schwachstellenscan. CISOs wissen seit Jahren, wie wichtig es ist, externe Scans durchzuführen, um die Situation aus der Sicht eines Hackers zu betrachten. Dies wird noch wichtiger, wenn in letzter Minute auf der Clientseite große Mengen an Inhalten zusammengestellt werden.
  • Überwachung auf Codeänderungen. Unabhängig davon, wo der Code gehostet wird, ist es wichtig, ein höheres Maß an Transparenz zu erreichen – unabhängig davon, ob neue Schwachstellen auftreten. Dies bedeutet, dass GitHub- und AWS S3-Buckets sowie native Code-Repositorys überwacht werden.
  • Multifaktor-Authentifizierung . Da Injection häufig verwendet wird, um die Authentifizierung beim Zugriff auf Webservercode zu umgehen, sollte auf jedem System, das eine Verbindung zu Assets mit hoher Relevanz herstellt, eine mehrstufige Authentifizierung implementiert werden. Im Idealfall kann die Verschlüsselung auf Anwendungsebene TLS/SSL auch ergänzen, indem sie Anmeldeinformationen und Zahlungskartendaten verschlüsselt, während der Benutzer sie in den Browser eingibt.  Einige bekannte Web Application Firewall (WAF)-Produkte verfügen über diese Funktion. Ein Advanced WAF kann jedoch ein höheres Maß an Sichtbarkeit und Kontrolle auf Anwendungsebene bieten und so dazu beitragen, die Risiken verteilter und polymorpher Injektionen zu mindern.
  • Entdecken Sie das Potenzial von Sicherheitsheadern für Application . Beispielsweise ist es möglich, eine Content Security Policy (CSP) einzurichten, um das Einschleusen unbefugter Codes in eine Website oder Application zu blockieren. Darüber hinaus können SubResource Integrity (SRI)-Webmethoden überprüfen, dass Apps von Drittanbietern nicht verändert wurden.  Beide Tools erfordern Arbeit, um richtig zu einer Application zu passen. Hier kommt eine robuste, flexible WAF ins Spiel.
  • Monitor für neu registrierte Domänen und Zertifikate . Diese werden häufig zum Hosten bösartiger Skripte verwendet und erscheinen für Endbenutzer authentisch.

Der Bekämpfung des Phishing-Plage

Ein weiterer Dauerbrenner ist Phishing. Angreifer müssen sich keine Gedanken darüber machen, eine Firewall zu hacken, einen Zero-Day-Exploit zu finden, Verschlüsselungen zu entschlüsseln oder sich mit einem Dietrich zwischen den Zähnen in einen Aufzugsschacht abzuseilen. Es ist viel einfacher, jemanden auszutricksen und ihn dazu zu bringen, seine Zugangsdaten herauszugeben. Der schwierigste Teil besteht darin, ein überzeugendes E-Mail-Angebot zu entwickeln, das die Leute zum Klicken bewegt, und eine gefälschte Site zu finden, auf der sie landen. Erwarten Sie während des gesamten Turniers eine Fülle davon.

Laut dem jüngsten Phishing- und Betrugsbericht von F5 Labs verwendeten 52 % der Phishing-Sites gängige Markennamen und Identitäten in ihren Website-Adressen. Darüber hinaus haben Phisher ihre Bemühungen verstärkt, betrügerische Websites möglichst authentisch erscheinen zu lassen: Im Bericht zitierte F5 SOC-Daten zeigten, dass die meisten Phishing-Sites Verschlüsselung nutzten und ganze 72 % gültige HTTPS-Zertifikate verwendeten, um ihre Opfer zu täuschen. Das bedeutet, dass es nicht mehr ausreicht, einfach nach dem Vorhängeschloss (oder einer Adresse, die mit https:// beginnt) zu suchen. Tatsächlich ist es sogar gefährlich, dies zu empfehlen, da dies impliziert, dass Websites allein aufgrund ihres digitales Zertifikat grundsätzlich vertrauenswürdig sind.

Jede Organisation wird früher oder später zum Ziel von Phishing-Angriffen, unabhängig davon, ob diese Angriffe gezielt oder wahllos erfolgen. Leider implementieren nicht alle Organisationen robuste Frameworks für das Informationssicherheitsmanagement.

Die fünf Funktionen des NIST bieten eine hilfreiche Methode, um über Cyberbedrohungen nachzudenken. Doch egal, welche Anstrengungen Unternehmen unternehmen, um ihre Marke und ihre Kunden zu schützen, Phishing-Angriffe werden weiterhin erfolgreich sein, solange es einen Menschen gibt, der auf irgendeine Art psychologisch manipuliert werden kann. Deshalb müssen sowohl Sicherheitskontrollen als auch Webbrowser besser darin werden, Benutzer auf betrügerische Websites aufmerksam zu machen. Darüber hinaus müssen Einzelpersonen und Organisationen kontinuierlich über die neuesten Techniken von Betrügern geschult werden, von irreführenden URLs bis hin zum Missbrauch von HTTPS-Zertifikaten.

Am Ball bleiben

Die oben aufgeführten Bedrohungen stellen keine vollständige Liste dar. Es gibt noch andere. Bedenken Sie, dass Cyberkriminelle äußerst geschickt darin sind, die Wendungen rund um Ereignisse wie die Euro 2020 auszunutzen. Bleiben Sie wachsam, suchen Sie nach den richtigen Sicherheitslösungen und versuchen Sie stets, mit der sich ändernden Denkweise und Fähigkeiten der Angreifer Schritt zu halten.