Nutzung von Informationen zum Schutz vor realen Angriffen (ohne Aufwand)

Die Methoden und Ziele von Angriffen auf Applications unterscheiden sich erheblich. Einige Angriffe variieren von opportunistischen, scanbasierten Angriffen über gezielte und ausgeklügelte Kampagnen und Scriptkiddies bis hin zu gut unterstützten Hackerorganisationen. Für ein breites Spektrum derartiger Angriffe ist ein umfassender Satz an Sicherheitstools erforderlich, die mehrschichtig aufgebaut sein können, um eine solide Sicherheit zu bieten – ähnlich dem Schutz eines Hüttendachs vor Regen. Die mittlerweile zum Standard gehörenden Schutzmechanismen, Signaturen und Regeln des WAF leisten hervorragende Arbeit dabei, einen Großteil des „Regens“ aufzuhalten. Gegenüber komplexen und sogar gezielten Angriffskampagnen sind sie jedoch im Nachteil. Untersuchungen von F5 Labs zufolge werden jeden Tag etwa drei kritische Sicherheitslücken offengelegt, sodass Unternehmen nicht in der Lage sind, mit den Entwicklungen Schritt zu halten.

Angriffskampagnen sind koordinierte und geplante Bedrohungsaktivitäten und Exploits mit festgelegten Zielen über einen bestimmten Zeitraum, in der Regel gegen bestimmte Ziele. Ziele sind nicht nur benannte Organisationen, sondern es können auch Arten von Web-Infrastrukturen sein.

Kampagnen sind schwer zu erkennen und abzuschwächen. Die beiden Hauptgründe hierfür sind, dass die Kampagnen entweder geschickt konzipiert sind, um die üblichen WAF-Regeln und -Signaturen zu umgehen, oder dass zu ihrer Erkennung die Konfiguration umfassender und grober Sicherheitsrichtlinien erforderlich ist, die zu Fehlalarmen führen können. Das Sicherheitsteam wird überfordert und es besteht die Gefahr, dass der Angriff im Heuhaufen übersehen wird.

Für viele von Ihnen ist das vielleicht nichts Neues und vielleicht ist das der Grund, warum Sie diesen Beitrag auf der Suche nach einer Lösung lesen. Eine solche Lösung ist Threat Campaigns von F5. Wir erklären hier, wie sie funktioniert.

F5 Threat Campaigns ist ein Geheimdienst, der aktuelle und laufende Angriffskampagnen präzise erkennt und blockiert und dabei praktisch keine Fehlalarme verursacht. Dabei kommt ein Team aus Sicherheitsexperten zum Einsatz, das sich ausschließlich dem Aufspüren, Analysieren und Zerlegen tatsächlich laufender Angriffe widmet. Zu den Werkzeugen, die es hierfür gibt, zählt unter anderem ein weltweites Netzwerk aus Honeypots, die ständig von Bedrohungsakteuren angegriffen und ins Visier genommen werden.

F5 Threat Campaigns bietet Ihnen schnellen und präventiven Schutz vor aktuell laufenden Angriffskampagnen, bevor diese Ihr Unternehmen erreichen. Die Verwendung von F5 Threat Campaigns ist einfach und erfordert lediglich die Aktivierung ohne zusätzliche Konfiguration. Der Geheimdienst liefert ausführliche Informationen zur Art und zum Zweck der Drohkampagne. Es wird automatisch mit den neuesten von F5 veröffentlichten Kampagnen aktualisiert.​

F5 Threat Campaigns ist ein Abonnement-Add-on für F5 BIG-IP Advanced WAF und ist in F5 Distributed Cloud WAF und F5 NGINX App Protect WAF enthalten. 

Jede Bestimmung der F5 Threat Campaigns wird ausdrücklich für eine Angriffskampagne erstellt, die in freier Wildbahn als von einem Cyber-Gegner durchgeführt erkannt wird. Dies unterscheidet sich von einem umfassenden Signaturansatz, der beispielsweise versucht, mehrere Schwachstellen und Exploits auf generische Weise zu erkennen.

Durch die Konzentration auf bestimmte Kampagnen wird die Wahrscheinlichkeit falsch positiver Erkennungen eliminiert und gleichzeitig ein wartungsarmer Schutz vor tatsächlichen, laufenden Angriffen gewährleistet. Darüber hinaus ist der Veröffentlichungszyklus von F5 für neue Kampagneneinträge aufgrund des geringen Risikos falscher Positivmeldungen und der Genauigkeit der Kampagne schnell, sodass zwischen der Erkennung im freien Wildbahn und dem Schutz der Kunden vor dem Angriff nur eine kurze Zeitspanne vergeht.

F5 Threat Campaigns bietet zusätzliche Einblicke in die Art der Angriffskampagne, ihre Ziele, das von ihr für Applications ausgehende Risiko und die Absichten des Angreifers. Dadurch können Sicherheitsmitarbeiter besser verstehen, was sie wie und von wem angegriffen werden könnte, und die Risiken besser einschätzen.

Es ist wichtig zu verstehen, dass F5 Threat Campaigns nicht dazu gedacht ist, einzelne oder zufällige Angriffe zu erkennen. Der Schwerpunkt liegt vielmehr auf realen Angriffen, die in der Regel in großen Mengen erkannt werden und somit ein größeres Risiko für die Benutzer bedeuten. Ein Beispiel für einen einzelnen oder zufälligen Angriff könnte sein, wenn ein einzelner Angreifer eine Injektion auf einer Site ausführt oder wenn ein Penetrationstester einen CVE ausprobiert, der theoretisch ausgenutzt werden könnte, aber noch nie in einem echten Angriff verwendet wurde.

Aus diesem Grund ist ein intelligenter Dienst wie F5 Threat Campaigns eine Ergänzung zu anderen WAF-Schutzmaßnahmen, etwa Signaturen, und kein Ersatz. Es handelt sich um eine zusätzliche Ebene, die spezifischen Schutz vor realen Angriffen bietet, ohne dass Fehlalarme auftreten und keine Feinabstimmung erforderlich ist. Durch den Einsatz mehrschichtiger Sicherheitslösungen wie Threat Campaigns kann F5 für eine solide Sicherheit Ihrer Application sorgen, die die Lücken schließt, durch die Angreifer sonst eindringen könnten.

Anfang des Jahres wurde die Weltkarte „F5 Threat Campaigns“ veröffentlicht, um Unternehmen dabei zu helfen, durch die gemeinsame Darstellung von Einblicken und Telemetriedaten mehr Einblick in Cyberangriffskampagnen zu gewinnen. In einem Blogbeitrag erörtert Navpreet Gill, dass „die Weltkarte von F5 Threat Campaigns … dabei hilft, mehr Einblick in Cyberangriffskampagnen zu gewinnen, indem Erkenntnisse und Telemetriedaten gemeinsam dargestellt werden.“

Bitte wenden Sie sich an Ihren Channel-Partner oder F5-Account-Manager, um weitere Informationen dazu zu erhalten, wie Sie ein Abonnement für F5 Threat Campaigns zu Ihrem BIG-IP Advanced WAF hinzufügen oder noch heute mit der Verwendung von F5 Threat Campaigns auf Ihrer F5 Distributed Cloud WAF- oder NGINX App Protect WAF-Lösung beginnen können.