Der Security-Spezialist Radware rรคt Unternehmen, der Supply Chain der Unternehmens-Anwendungen bei Betrachtung der IT Security nicht bedingungslos zu vertrauen. Um zu verstehen, warum die Supply Chain ein Bereich ist, der nicht รผbersehen werden sollte, ist es wichtig, die aktuelle Cyber-Bedrohungslandschaft zu verstehen und wie moderne Anwendungen aufgebaut sind.
Klassische Anwendungen wurden in einer 3-Tier-Architektur oder ganz monolithisch realisiert und am Perimeter mit Hilfe von traditionellen Application Delivery Controllern (ADC) und einer Web Application Firewall (WAF) geschรผtzt. Heutzutage ist der Schutz von Anwendungen jedoch viel komplizierter. Die Anwendungen werden in verschiedenen Umgebungen gehostet – vor Ort und in der Cloud. Darรผber hinaus sind sie auf zahlreiche API-Verbindungen zu internen und externen Diensten und Dutzende verschiedener JavaScript-Dienste von Drittanbietern angewiesen, um Prozesse in Bereichen wie Werbung, Bestandsverwaltung, Zahlungsdienste und in soziale Medien eingebettete Widgets und Inhalte zu unterstรผtzen. Einige Beispiele fรผr beliebte JavaScript-Dienste sind Marken wie Outbrain, Google Analytics, Tranzila, WordPress und Magento. Einige dieser JavaScript-Dienste sind sogar von JS-Diensten vierter oder fรผnfter Parteien abhรคngig, die als ihre eigene Supply Chain betrachtet werden kรถnnen. Und ein erheblicher Teil der Inhalte, die Anwendungen den Endbenutzern prรคsentiert, wird nun vom Webbrowser zusammengestellt.
Die Herausforderungen beim Schutz von Anwendungen nehmen nicht nur aufgrund der Verรคnderungen in der Anwendungsarchitektur zu, sondern auch aufgrund der Weiterentwicklung der Bedrohungslandschaft. Die heutigen Angriffe sind leistungsfรคhiger, hรคufiger und komplexer und umfassen mehr Angriffsvektoren, so dass eine lokale WAF vor Ort reicht nicht mehr ausreicht, um die Daten einer Anwendung zu schรผtzen. Viele Unternehmen verwenden daher laut Radware mehrere WAFs fรผr ihre verschiedenen Umgebungen sowie DDoS-Schutzlรถsungen und Bot-Management-Tools. WAF-, DDoS-, Bot- und API-Schutz-Tools sind zum Standard geworden, wenn es um den Schutz der wichtigsten digitalen Assets und Datenzentren der Anwendung geht. Doch wรคhrend sich die Server-seitige Sicherheit verbessert, suchen immer mehr Hacker nach neuen Wegen, um ihre Ziele zu erreichen, indem sie รผbersehene Dienste und Verbindungen von Drittanbietern in der Infrastruktur der Anwendungen missbrauchen. Hier starten sie Angriffe รผber die weniger geschรผtzte und รผberwachte Client-seitige Lieferkette.
Hacker setzen zunehmend auf den Client statt den Server
Eine der Methoden, mit denen Hacker heute versuchen, Schwachstellen in der Application Supply Chain auszunutzen, ist Formjacking, auch bekannt als Magecart und Skimming. Dabei handelt es sich um eine verdeckte Angriffsmethode, bei der Hacker bรถsartige Malware in einem der Drittanbieterdienste der Anwendung verstecken. Sobald ein Benutzer eine HTML-Antwort von der Anwendung erhรคlt, um eine Formularanfrage an den infizierten Drittanbieterdienst zu stellen, wird als Antwort ein bรถsartiger Code direkt in das Formular des Ziels injiziert. Er sammelt dann die sensiblen Daten, die der Endbenutzer eingibt, und sendet sie zurรผck an den Remote-Server des Angreifers.
WAFs kรถnnen die Kommunikation zwischen Browser und Drittanbieter nicht รผberwachen
Auch wenn Unternehmen versuchen, die Applikationen und persรถnliche Daten zu schรผtzen, kรถnnen die Informationen, die Endbenutzer im Browser eingeben (z. B. Ausweisnummern, Adressen, Kreditkartennummern, Kontaktinformationen usw.), den in der Anwendung eingebetteten Diensten von Drittanbietern ausgesetzt werden. Diese werden von der Hauptanwendung automatisch als vertrauenswรผrdig eingestuft, werden aber nur selten รผberwacht. Unter dem Gesichtspunkt der Compliance und der Aufsichtsbehรถrden ist jedoch der Betreiber der Endanwendung fรผr alle Verletzungen der Datenschutzbestimmungen oder den Diebstahl persรถnlicher Informationen im Browser genauso verantwortlich wie auf der Serverseite, also im Rechenzentrum – ob nun On-Premise oder in der Cloud. Endanwender besuchen eine Website und vertrauen dem Anbieter, ohne sich darum zu kรผmmern oder auch nur kรผmmern zu sollen, auf welche Dienste von Drittanbietern dieser zurรผckgreift.
Problematisch ist dabei laut Radware, dass herkรถmmliche WAFs so konzipiert sind, dass sie nur den eingehenden Datenverkehr zu den Anwendungen รผberwachen – den Datenpfad zwischen den Endbenutzern und der Anwendung. Da sie als On-Premise-Appliance oder als Reverse-Proxy-WAF in der Cloud eingesetzt werden, sind sie blind fรผr die Kommunikation zwischen dem Browser des Endbenutzers und den Drittanbieterdiensten der Anwendung. Es ist jedoch aufgrund der Compliance-Bedingungen und des Kundenvertrauens zwingend erforderlich, dass die Privatsphรคre der Endanwender nicht durch integrierte Drittanbieterdienste gefรคhrdet wird. Dies wird zu einem Problem, wenn der Betreiber der Anwendung
– keine Mรถglichkeit hat, zu wissen, ob der JavaScript-Code von Diensten in der Supply Chain verletzt oder manipuliert wurde;
– keine Kontrolle รผber die Sicherheit von Diensten Dritter hat; und
– nicht die gesamte Software Supply Chain รผberwachen kann (einschlieรlich der Sub-Services von vierten und fรผnften Parteien).
Aus diesen Grรผnden empfiehlt Radware, der Client-seitigen Sicherheit ein hรถheres Gewicht zu geben und Schutztools zu verwenden, die Daten und Konten der Nutzer schรผtzen und dabei helfen, die Compliance-Vorschriften einzuhalten. Schlieรlich ist es die Anwendung des Anbieters, die die Endnutzer dazu veranlasst hat, sich mit diesen Drittanbieteranwendungen zu verbinden.
Kriterien fรผr Client-seitigen Schutz
Client-seitiger Schutz von Anwendungen basiert nach Radware vor allem auf vier Sรคulen:
Sichtbarkeit – in vielen Unternehmen ist die fรผr die Sicherung der Anwendung zustรคndige Person nicht unbedingt รผber alle verschiedenen Drittanbieter-Dienste und -plattformen informiert, die verwendet werden. Daher sollte ein Client-seitiges Schutztool in erster Linie in der Lage sein, alle Drittanbieterdienste in der Lieferkette automatisch zu erfassen und offenzulegen.
Erkennung – Client-seitiger Schutz muss kontinuierlich alle รnderungen in der Supply Chain erkennen und den Betreiber darรผber informieren. Dazu gehรถrt auch ungewรถhnliche Kommunikation oder unzulรคssige Skriptparameter zwischen den Browsern der Endbenutzer und den Drittanbieterdiensten der Anwendung.
Integrierte WAF-Lรถsung – Ein Client-seitiges Schutztool sollte nahtlos in die WAF integriert sein, damit es anomale und bรถsartige Anfragen abwehren und blockieren sowie Datenverluste verhindern kann.
Granulare Mitigation – Darรผber hinaus sollten solche Lรถsungen in der Lage sein, Angriffe auf eine sehr granulare Weise abzuschwรคchen. Da die meisten JavaScript-Dienste von Drittanbietern in der Versorgungskette fรผr die Anwendungsfunktionalitรคt unerlรคsslich sind, ist es wichtig, eine Client-seitige Schutzlรถsung zu verwenden, die in der Lage ist, nur die bรถsartigen Skripte gezielt zu blockieren und nicht die Dienste lahmzulegen.
Laut Radware ist die Erhรถhung der Sicherheit im Datenpfad zwischen dem Browser des Endanwenders und den Diensten von Drittanbietern in der Anwendungskette eine wichtige Verteidigungslinie. Sie kann Unternehmen nicht nur dabei helfen, Datenschutz- und Datensicherheitsstandards einzuhalten, sondern auch Datenlecks zu verhindern, die zu Kontoรผbernahmen fรผhren kรถnnen, sowie eine Vielzahl von Sicherheitsbedrohungen zu entschรคrfen.
Radware (NASDAQ: RDWR) ist ein weltweit fรผhrender Anbieter von Cybersicherheits- und Anwendungsbereitstellungslรถsungen fรผr physische, Cloud- und softwaredefinierte Rechenzentren. Das preisgekrรถnte Lรถsungsportfolio von Radware sichert die digitale Erfahrung durch die Bereitstellung von Infrastruktur-, Anwendungs- und Unternehmens-IT-Schutz sowie Verfรผgbarkeitsdiensten fรผr Unternehmen auf der ganzen Welt. Die Lรถsungen von Radware ermรถglichen Unternehmens- und Carrier-Kunden global eine schnelle Anpassung an die Herausforderungen des Marktes, die Aufrechterhaltung der Geschรคftskontinuitรคt und die Erzielung maximaler Produktivitรคt bei gleichzeitiger Kostenreduzierung.
Firmenkontakt
Radware GmbH
Michael Gieรelbach
Robert-Bosch-Str. 11a
63225 Langen
+49 6103 70657-0
https://www.radware.com
Pressekontakt
Prolog Communications GmbH
Achim Heinze
Sendlinger Straรe 24
80331 Mรผnchen
+49 89 800 77-0
https://www.prolog-pr.com
Die Bildrechte liegen bei dem Verfasser der Mitteilung.
