Hacker DatenklauNoch steht nicht endgültig fest, auf welche Weise Hacker in die Systeme der US-amerikanischen Wirtschaftsauskunft Equifax gelangen und persönliche Daten von 143 Millionen Verbrauchern stehlen konnten.

Viel deutet jedoch darauf hin, dass sie zumindest eine von zwei Schwachstellen in Apache Struts ausnutzten, einem Framework zur Entwicklung von Java-Anwendungen. Eine dieser Schwachstellen war zum Zeitpunkt des Einbruchs seit mehreren Monaten bekannt (CVE-2017-5638), die andere noch nicht (CVE-2017-9805).

Unabhängig davon, welche Schwachstelle nun tatsächlich ausgenutzt wurde, zeigt der Vorfall einmal mehr, wie wichtig die Absicherung einer Webinfrastruktur gegen derartige Angriffe ist, zumal ab nächstem Mai dem Betreiber nach der neuen Datenschutzgrundverordnung (DSGVO) der EU bei solchen Vorfällen empfindliche Strafen drohen.

Jedes Unternehmen, das im Web Geschäfte macht, wird früher oder später mit bis dato unentdeckten Sicherheitslücken konfrontiert werden. Laut Ixia haben solche Unternehmen grundsätzlich 3 Möglichkeiten, dieses Problem anzugehen:

1. Nichts tun und Angriffe auf die Web-Infrastruktur riskieren

Das wäre der Traum eines jeden Hackers und würde seinen Job erheblich erleichtern. Tatsächlich sind Web-Application-Attacken nach dem Verizon Data Breach Investigations Report 2017 die erfolgreichste Methode des Datendiebstahls – bei 6.502 bestätigten Vorfällen konnten Hacker in 571 Fällen tatsächlich Daten erbeuten.

2. Einen Patch einspielen, ohne zu wissen, wie dieser sich auf die Infrastruktur auswirkt, und das Risiko von Nebenwirkungen eingehen

Dieses Vorgehen beseitigt die Schwachstelle und verbessert Usability und/oder Performance. Schlecht designte Patches können jedoch neue Probleme mit sich bringen, die geschäftskritische Prozesse und die Produktivität beeinträchtigen können.

3. Einsatz eines virtuellen Patches, der dem Unternehmen Zeit gibt, den eigentlichen Patch ohne Risiko für die Infrastruktur zu testen

Ein virtueller Test ist eine temporäre Implementierung einer Sicherheitsrichtlinie, die das Ausnutzen der Schwachstelle verhindert, ohne die Verfügbarkeit der Web-Infrastruktur zu beeinträchtigen.

„In heutigen Umgebungen stellen virtuelle Patches eine sehr risikoarme Möglichkeit dar, kritische kundenzugewandte Anwendungen und Infrastrukturen zu sichern“, sagt Steve McGregory, Senior Director of Application Threat Intelligence (ATI) bei Ixia. „Das ATI Team von Ixia bietet die Tools zur Validierung von Patches vor deren Implementierung, so dass sie keine negativen Auswirkungen auf die Infrastruktur, das Geschäft oder auf Kundendaten haben.“

www.ixiacom.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Bluetooth

Sweyntooth: 10 neue Sicherheitslücken bei Bluetooth Chips

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken. Tatsächlich ist das die größte Gefahrenquelle, aber längst nicht die einzige, denn Malware oder Hacker können auch Fehler in anderen Geräteverbindungen ausnutzen.
Insider Threat

Insider-Bedrohungen sind meist das Ergebnis fahrlässigen Verhaltens

Proofpoint veröffentlichte seine weltweite Studie zum Thema Insider-Bedrohungen 2020. So zeigt der Bericht, dass Unternehmen im Durchschnitt jährlich 11,45 Millionen Dollar für die Beseitigung von Insider-Bedrohungen ausgaben und mehr als zwei Monate (77…
Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!