BLOG

Jetzt können Sie Bedrohungskampagnen direkt vor Ihren Augen sehen

Navpreet Gill Miniaturbild
Nadine Gill
Veröffentlicht am 08. September 2022


Wie aus dem F5 State of Application Strategy Report hervorgeht (Abbildung 1 unten), verwenden die meisten Unternehmensorganisationen heute durchschnittlich zwischen 200 und 1.000 Applications . Diese Apps erstrecken sich wahrscheinlich über mehrere öffentliche/private Clouds und Rechenzentren, was bedeutet, dass es eine Herausforderung ist, ihre Verfügbarkeit und Sicherheit zu gewährleisten.

Abbildung 1: F5- Application 2022
Abbildung 1: F5- Application 2022

Allein im letzten Jahr kam es zu weit verbreiteten und häufig ausgenutzten Schwachstellen wie Log4j und Spring4Shell . Sicherheitsteams haben Tag und Nacht, sieben Tage die Woche, daran gearbeitet, die Schwachstellen in ihren vorhandenen Apps zu finden und zu beheben, während sie gleichzeitig verzweifelt versuchten, sich vor Exploits zu schützen und etwaige Schäden zu begrenzen. Und leider erfahren wir nur von den größten Schwachstellen, da nicht alle Schwachstellen gemeldet und kategorisiert werden: NIST.gov wies darauf hin, dass im Jahr 2021 etwa 28 % der Schwachstellen einfach nicht gemeldet wurden, von insgesamt 25.646 Schwachstellen in diesem Jahr. 

Viele Organisationen verfügen über ausgereifte Programme zum Schwachstellenmanagement, bei denen es routinemäßig ist, Produktionssysteme mindestens einmal im Monat zu patchen. Das große Problem besteht allerdings darin, dass laut Untersuchungen von F5 Labs alle 9 bis 12 Stunden kritische Schwachstellen offengelegt werden. Dort wird auch darauf hingewiesen, dass jeden Tag fast drei kritische Schwachstellen offengelegt werden. Die Sorge vor der Ausnutzung anfälligen Codes wird sogar in den OWASP Top 10 thematisiert, der Standardressource zur Sensibilisierung für DevOps- und SecOps-Experten. „Anfällige und veraltete Komponenten“ wurden in der neuesten OWASP Top 10-Liste (2021) genannt und sind im Schweregrad-Ranking gegenüber der vorherigen Liste (2017) sogar nach oben gerückt.

Häufig werden bei gezielten Bedrohungskampagnen bekannte und genutzte Schwachstellen ausgenutzt, um Exploits und koordinierte Bedrohungskampagnen zu starten. Diese Bedrohungskampagnen sind ausgeklügelt und können unglaublich schwer zu erkennen sein. Und in manchen dieser Fälle übersteuert ein Unternehmen beim Versuch, Angriffe und Bedrohungskampagnen zu blockieren, und setzt dabei auf äußerst restriktive Sicherheitsrichtlinien. Dadurch besteht das Risiko, dass sogar legitime Benutzer von den Ressourcen ausgeschlossen werden, die sie für ihre tägliche Arbeit benötigen. Dies kann insbesondere für kleinere oder unterbesetzte Sicherheitsteams ein sehr dringendes Problem sein.

Es gibt jedoch Optionen. Ein hervorragender Ansatz zur Eindämmung koordinierter Angriffe auf Applications und APIs über anfälligen Code ist die Bereitstellung einer Web Application Firewall (WAF). Selbst wenn Ihr Unternehmen beim Patchen einer bekannten Sicherheitslücke langsam ist, kann eine WAF Ihre wichtigsten Apps und APIs vor den Angriffen und Exploits koordinierter Bedrohungskampagnen schützen. Doch natürlich sind die Übeltäter und Kriminellen, die Bedrohungskampagnen starten, besonders gerissen und durchtrieben und wissen, wie sie eine Bedrohungskampagne maskieren können, sodass sie sogar vor den am besten abgestimmten WAFs verborgen bleibt. Wie kann eine WAF also am besten mit gezielten Angriffen dieser fortgeschrittenen Bedrohungen umgehen, ohne die tatsächlichen Benutzer zu blockieren oder deren Arbeitserlebnis negativ zu beeinflussen?

F5 bietet intelligente Dienste zum Schutz vor Sicherheitsbedrohungen, darunter F5 Threat Campaigns. F5 Threat Campaigns ist ein Abonnement-Add-on für F5 BIG-IP Advanced WAF und ist in F5 Distributed Cloud WAF und NGINX App Protect WAF enthalten. F5 Threat Campaigns verwendet Sicherheitsanalysen mit erweitertem maschinellem Lernen und Honeypots, um Organisationen Schutz vor gängigen Bedrohungen und Exploits zu bieten. F5 Threat Campaigns bietet Einblicke in die Art und den Zweck einer aktiven Bedrohungskampagne. Heutzutage benötigen Unternehmen aktuelle und umsetzbare Bedrohungsinformationen, die die Wirksamkeit vorhandener Sicherheitskontrollen (einschließlich WAFs) durch Kontrollen verbessern können, die aktive Bedrohungskampagnen automatisch erkennen und blockieren. Und genau das macht F5 Threat Campaigns. 

Mit F5 Threat Campaigns und einer F5 WAF-Lösung kann Ihr SecOps-Team detailliert kontrollierte Sicherheitsrichtlinien festlegen, die Ihr Unternehmen, Ihre Apps und Ihre APIs schützen. Der Dienst trägt zum Schutz von Apps und IT-Infrastrukturen vor raffinierte Bedrohung Bedrohungskampagnen bei, indem er Angriffe präventiv erkennt und blockiert. Durch maschinelles Lernen kann F5 Threat Campaigns zunächst unzusammenhängende Bedrohungs-Feeds miteinander korrelieren und Gemeinsamkeiten zwischen den verschiedenen Angriffen und Exploits finden, bis das Bild eines Netzwerks koordinierter Bedrohungskampagnen klar und deutlich wird. Dies hilft einem Sicherheitsteam dabei, Angriffe und Exploits, die vorhandene Schwachstellen ausnutzen, gezielt zu erkennen und abzuwehren. 

Das neueste Feature im Arsenal von F5 Threat Campaigns, die Weltkarte von F5 Threat Campaigns (Abbildung 2 unten), wurde erst vor wenigen Tagen veröffentlicht. Es ist auf F5.com öffentlich zugänglich und kann von jedem eingesehen und verwendet werden. Durch die gemeinsame Darstellung von Einblicken und Telemetriedaten trägt es zu einer besseren Transparenz bei Cyberangriffskampagnen bei. Diese Karte kann im großen Maßstab angezeigt werden, sodass der Betrachter laufende Bedrohungskampagnen bis ins kleinste Detail nachvollziehen kann.

Abbildung 2: F5-Bedrohungskampagnenkarte
Abbildung 2: F5-Bedrohungskampagnenkarte

Zusätzlich zur neuen F5 Threat Campaigns Map enthält F5 Threat Campaigns:

  • Live-Updates mit umsetzbaren Bedrohungsinformationen von F5
  • Verbesserte Sicherheit für Application mit nahezu null Fehlalarmen
  • Zuverlässige Risikominimierung mit einem kosteneffizienten Modell
  • Keine Bedrohungssuche mehr
  • Einblick in präzise und relevante Bedrohungs-Feeds

Im Vorfeld der Behebung und endgültigen Eindämmung des Log4j-Exploits veröffentlichte F5 mehrere Schutzmaßnahmen, Regeln und Richtlinienaktualisierungen und kommunizierte aktiv und häufig mit Kunden und der Öffentlichkeit. In der gleichen Woche veröffentlichte F5 außerdem F5 Threat Campaigns zur Bekämpfung aktiver Log4j-Exploits. Kunden von F5 Threat Campaigns konnten in ihrem Bedrohungs-Feed auch Angriffe erkennen, die die Spring4Shell-Schwachstelle ausnutzten, und die Bedrohung blockieren und eindämmen (Abbildung 3 unten).

Abbildung 3: Der Feed von F5 Threat Campaigns erkennt ausnutzbare Schwachstellen wie Spring4Shell
Abbildung 3: Der Feed von F5 Threat Campaigns erkennt ausnutzbare Schwachstellen wie Spring4Shell

Mit Zugriff auf die neu veröffentlichte F5 Threat Campaigns-Karte, die mit Live-Feeds zu koordinierten Kampagnen, Angriffen und Exploits ausgestattet ist, die Schwachstellen wie Log4j und Spring4Shell ausnutzen, können auch Sie Ihre WAF befähigen, gezielte Angriffe mit F5 Intelligence Services (einschließlich F5 Threat Campaigns) abzuschwächen und zu bekämpfen.

Bitte wenden Sie sich an Ihren Channel-Partner oder F5-Account-Manager, um weitere Informationen dazu zu erhalten, wie Sie ein Abonnement für F5 Threat Campaigns zu Ihrem BIG-IP Advanced WAF hinzufügen oder noch heute mit der Verwendung von F5 Threat Campaigns auf Ihrer F5 Distributed Cloud WAF- oder NGINX App Protect WAF-Lösung beginnen können.