Noch steht nicht endgültig fest, auf welche Weise Hacker in die Systeme der US-amerikanischen Wirtschaftsauskunft Equifax gelangen und persönliche Daten von 143 Millionen Verbrauchern stehlen konnten. Viel deutet jedoch darauf hin, dass sie zumindest eine von zwei Schwachstellen in Apache Struts ausnutzten, einem Framework zur Entwicklung von Java-Anwendungen. Eine dieser Schwachstellen war zum Zeitpunkt des Einbruchs seit mehreren Monaten bekannt (CVE-2017-5638), die andere noch nicht (CVE-2017-9805).
Unabhängig davon, welche Schwachstelle nun tatsächlich ausgenutzt wurde, zeigt der Vorfall einmal mehr, wie wichtig die Absicherung einer Webinfrastruktur gegen derartige Angriffe ist, zumal ab nächstem Mai dem Betreiber nach der neuen Datenschutzgrundverordnung (DSGVO) der EU bei solchen Vorfällen empfindliche Strafen drohen.
Jedes Unternehmen, das im Web Geschäfte macht, wird früher oder später mit bis dato unentdeckten Sicherheitslücken konfrontiert werden. Laut Ixia haben solche Unternehmen grundsätzlich 3 Möglichkeiten, dieses Problem anzugehen:
1. Nichts tun und Angriffe auf die Web-Infrastruktur riskieren
Das wäre der Traum eines jeden Hackers und würde seinen Job erheblich erleichtern. Tatsächlich sind Web-Application-Attacken nach dem Verizon Data Breach Investigations Report 2017 die erfolgreichste Methode des Datendiebstahls – bei 6.502 bestätigten Vorfällen konnten Hacker in 571 Fällen tatsächlich Daten erbeuten.
2. Einen Patch einspielen, ohne zu wissen, wie dieser sich auf die Infrastruktur auswirkt, und das Risiko von Nebenwirkungen eingehen
Dieses Vorgehen beseitigt die Schwachstelle und verbessert Usability und/oder Performance. Schlecht designte Patches können jedoch neue Probleme mit sich bringen, die geschäftskritische Prozesse und die Produktivität beeinträchtigen können.
3. Einsatz eines virtuellen Patches, der dem Unternehmen Zeit gibt, den eigentlichen Patch ohne Risiko für die Infrastruktur zu testen
Ein virtueller Test ist eine temporäre Implementierung einer Sicherheitsrichtlinie, die das Ausnutzen der Schwachstelle verhindert, ohne die Verfügbarkeit der Web-Infrastruktur zu beeinträchtigen.
„In heutigen Umgebungen stellen virtuelle Patches eine sehr risikoarme Möglichkeit dar, kritische kundenzugewandte Anwendungen und Infrastrukturen zu sichern“, sagt Steve McGregory, Senior Director of Application Threat Intelligence (ATI) bei Ixia. „Das ATI Team von Ixia bietet die Tools zur Validierung von Patches vor deren Implementierung, so dass sie keine negativen Auswirkungen auf die Infrastruktur, das Geschäft oder auf Kundendaten haben.“