Das Online Web Application Security Project (OWASP) identifiziert die 10 kritischsten Sicherheitsrisiken für Webanwendungen und gibt Hinweise zu deren Behebung. Auf der Grundlage der Häufigkeit, des Schweregrads und des Ausmaßes der Auswirkungen werden diese Sicherheitslisten in eine Rangfolge gebracht, so dass Unternehmen die Richtlinien und Empfehlungen als Teil ihrer allgemeinen Sicherheitsstrategie nutzen können. Unter all diesen Sicherheitsrisiken ist die Gefährdung sensibler Daten eine solche potenzielle Schwachstelle, die auftritt, wenn Teams ihre Datenbanken nicht ausreichend schützen und persönliche und wichtige Informationen preisgeben.
Dieser Artikel befasst sich mit den Risiken der Gefährdung sensibler Daten, mit der Art und Weise, wie Angreifer Random Fuzzing/Fuzzer-Programme einsetzen, um solche Risiken auszunutzen, sowie mit verschiedenen Best Practices und Tools zur Minderung solcher Risiken bei der Bereitstellung moderner Anwendungen.
Bewertung der Sicherheit
CVSS-Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Was ist das Risiko sensibler Daten?
Das Risiko sensibler Daten hängt damit zusammen, wie Teams mit Sicherheitskontrollen für bestimmte Informationen umgehen. Fehlende oder mangelhafte Verschlüsselung ist eine der häufigsten Schwachstellen, die zur Preisgabe sensibler Daten führen. Cyberkriminelle nutzen die Gefährdung sensibler Daten in der Regel aus, um an Passwörter, kryptografische Schlüssel, Token und andere Informationen zu gelangen, die sie zur Kompromittierung von Systemen verwenden können. Zu den allgemein bekannten Schwachstellen, die zur Preisgabe sensibler Daten führen, gehören:
Fehlende SSL/HTTPS-Sicherheit auf Websites
Da Webanwendungen in modernen Unternehmen immer häufiger eingesetzt werden, ist es wichtig, die Benutzer/Besucher zu schützen. SSL-Zertifikate werden verwendet, um Daten zwischen Websites/Anwendungen und Webservern zu verschlüsseln. Unternehmen mit falsch konfigurierter SSL/HTTPS-Sicherheit riskieren, dass die Privatsphäre der Benutzer und die Datenintegrität gefährdet werden, da die Daten während der Übertragung leicht abgefangen werden können.
SQL-Injection-Schwachstellen in Datenbanken
Ohne angemessene Sicherheitskontrollen können Angreifer bösartige Anweisungen ausnutzen, um den Inhalt einer Datenbank abzurufen. So können sie SQL-Anweisungen erstellen, mit denen sie eine Vielzahl von Datenbankverwaltungsaktionen durchführen können. Hacker können sensible Informationen wie Benutzeranmeldedaten oder Informationen zur Anwendungskonfiguration abrufen, die sie dann nutzen, um in das System einzudringen und es weiter zu kompromittieren.
Wie sensible Daten offengelegt werden
Die meisten Cyberangriffe zielen zunächst auf Schwachstellen ab, über die sensible Daten offengelegt werden, um den Anwendungsstapel weiter zu erschließen. Es gibt mehrere Bedrohungen, die diese Informationen offenlegen, unabhängig davon, ob sie sich in Bewegung befinden oder in Ruhe sind.
Sensible Daten im Ruhezustand
In einer Webanwendung werden Daten normalerweise in Servern, Dateien, Datenbanken, Archiven, Netzwerken und anderen Anwendungen gespeichert. Die Sicherheit dieser Daten hängt von den Kontrollen ab, die zum Schutz dieser Komponenten eingerichtet wurden. Zahlreiche Arten von Angriffen zielen auf nicht behobene Schwachstellen in diesen Komponenten ab, um auf sensible Daten zuzugreifen. So können Hacker beispielsweise Trojanische Pferde oder bösartige Payloads verwenden, um über unerlaubte Downloads auf Systemdaten zuzugreifen, wenn es keinen robusten Erkennungsmechanismus gibt.
Sensible Daten auf dem Transportweg
Während sich die Daten zwischen verschiedenen Diensten und Anwendungen bewegen, bleiben sie anfällig für Angriffsvektoren. Man-in-the-Middle (MITM)-Angriffe sind in der Regel darauf ausgerichtet, Daten abzufangen, die zwischen Servern, Kanälen und APIs übertragen werden. Es ist wichtig, die Kanäle zu sichern, über die Daten innerhalb des Unternehmensnetzwerks übertragen werden, da diese Angreifer sich als Teilnehmer ausgeben könnten, um auf sensiblere Daten zuzugreifen.
Methoden für den Zugriff auf und die Offenlegung von sensiblen Daten
Obwohl es eine Reihe von Angriffsszenarien geben kann, verwenden Hacker in der Regel eine Reihe von bösartigen Techniken, darunter:
Zufälliges Fuzzing
Bei Random-Fuzzing-Techniken werden automatisch zufällige, unerwartete oder ungültige Eingaben in Anwendungen eingespeist und das System auf Ausnahmen und Fehler überwacht, die sie ausnutzen können. Angreifer verwenden einen Fuzzing-Prozess, um Programme ins Visier zu nehmen, die strukturierte Abfragen akzeptieren, während ein Fuzzing-Tool halbgültige Eingabeformate erstellt, die Zugriffskontrollmechanismen austricksen können, aber nicht genug unerwartetes Verhalten für eine Entdeckung erzeugen.
Angreifer können dann das Ökosystem der Anwendung auf der Suche nach sensiblen Daten erkunden. Um solche Angriffe zu verhindern, wird ein Fuzz-Testing-Mechanismus eingesetzt, der auch als Black-Box-Fuzzer-Testing-Methode bekannt ist. Dabei werden unerwartete oder zufällige Daten als Eingaben verlangt, um die Anfälligkeit eines Zielcodes zu testen.
Phishing-Angriffe
Angreifer nehmen häufig per E-Mail oder Textnachricht Kontakt zu den Zielpersonen auf und geben sich als legitime Benutzer/Organisationen aus. Die Hacker geben sich als vertrauenswürdige Quellen aus und verleiten die Zielpersonen dazu, auf legitim aussehende URLs zu klicken, die normalerweise zu einer Anmeldeseite führen. Die Zielpersonen werden dann dazu gebracht, Anmeldeinformationen einzugeben, die gesammelt und für DDoS-Angriffe, Datenschutzverletzungen, Hacks und groß angelegten Datendiebstahl verwendet werden können.
Angreifer erstellen SQL-Anweisungen, die Datenbankanwendungen dazu bringen, unerwünschte Aufgaben auszuführen. Diese Angriffe dienen dazu, Quellcode-Funktionen zu verändern, wodurch Angreifer auf sensible Daten zugreifen und diese abrufen können. Durch erfolgreiches Einschleusen bösartiger Nutzdaten können sich Hacker leicht und unbemerkt Zugang zu nicht autorisierten Daten und Subsystemen verschaffen.
Netzwerkkompromittierung
Angreifer zielen auch darauf ab, Benutzersitzungen zu kapern, während derer sie in ihrer Anwesenheit verharren können, ohne entdeckt zu werden. Die Anwesenheit unerkannter Angreifer im Netzwerk birgt die Gefahr, dass die Daten des gesamten Unternehmens gefährdet sind. Wenn Hacker ein System angreifen, verwischen sie oft ihre Spuren und hinterlassen keine Hinweise auf eine Kompromittierung, wodurch die Datenintegrität des Netzwerks beeinträchtigt wird.
Insider-Bedrohungen
Die meisten Unternehmen verfügen über eine komplexe Personalstruktur, in der verschiedene Mitarbeiter Zugang zu unterschiedlich sensiblen Arbeitsbereichen haben. Insider-Bedrohungen sind Sicherheitsrisiken, die von Benutzern innerhalb der Organisation ausgehen. Auch ein verärgerter/undisziplinierter Mitarbeiter mit Zugang zu kritischen Details kann eine Datenverletzung auslösen. Insider-Bedrohungen bleiben in der Regel unbemerkt, da sich die meisten Unternehmen bei ihren Sicherheitsmaßnahmen auf externe Bedrohungen konzentrieren.
Ransomware
Angreifer verwenden bösartige Software, um die Dateien eines Ziels zu verschlüsseln, und verlangen dann eine Art Lösegeld, damit sie die Informationen wiederherstellen können. Ransomware-Angriffe werden inszeniert, indem Benutzern ein Anhang oder ein Link geschickt wird, der aussieht, als käme er von einer vertrauenswürdigen Quelle. Durch Anklicken des Links wird die Ransomware auf dem Gerät installiert, so dass legitime Benutzer keinen Zugriff auf die Daten haben.
Fehler bei der Implementierung der Zugriffskontrolle führen in der Regel zur Offenlegung von Authentifizierungsinformationen, die es Angreifern ermöglichen, Geschäftsfunktionen außerhalb ihrer Berechtigungen auszuführen. Diese Angriffe sind weit verbreitet, da sie mit Standard-Sicherheitsscannern nur schwer zu erkennen sind.
Beispiele für Angriffe zur Preisgabe sensibler Daten
In der jüngsten Vergangenheit gab es eine Reihe von erfolgreichen Angriffen auf sensible Daten.
Die Datenpanne bei VK.com 2016
Es wurde berichtet, dass ein Hacker 171 Millionen Benutzerkonten von verschiedenen sozialen Netzwerken erlangt und die Namen, E-Mail-Adressen, Passwörter, Sozialversicherungsnummern und Telefonnummern der Benutzer gesammelt hat. Dieser Verstoß gegen sensible Daten wurde auf die Verwendung von Klartext-Passwörtern zurückgeführt und gilt als eine der häufigsten Schwachstellen, die leicht ausgenutzt werden können.
Der LinkedIn-Datenhack aus dem Jahr 2021
Berichten zufolge haben Angreifer einen Einbruch inszeniert, um die Daten von bis zu 700 Millionen (92 %) LinkedIn-Nutzern offenzulegen. Dabei verwendeten die Angreifer Scraping-Tools, um Nutzerdaten zu sammeln und sie online zu verkaufen.
Der Angriff auf DubSmash im Jahr 2018
Unbekannte Angreifer verschafften sich unrechtmäßig Zugang zu den Datenbanken von Dubsmash und anderen Websites. Sie stellten bis zu 162 Millionen Datensätze von Nutzern zum Verkauf ins Dark Web, darunter auch Passwörter und E-Mails verschiedener Nutzerkonten.
Verhinderung der Preisgabe sensibler Daten
Die Offenlegung sensibler Daten führt zu massiven Kosten für die Behebung des Problems und zu einem möglichen Rufverlust für das betroffene Unternehmen. Daher ist es wichtig, eine starke, organisationsweite Kultur zur Verhinderung der Offenlegung sensibler Daten durchzusetzen.
Im folgenden Abschnitt werden die besten Praktiken und Instrumente zur Verhinderung der Offenlegung sensibler Daten beschrieben.
Bewährte Praktiken zur Verhinderung der Preisgabe sensibler Daten
Die Verbreitung von informationsgesteuerten Anwendungen hat dazu geführt, dass Cyberkriminelle ihren Fokus von Webanwendungen und Servern auf sensible Daten verlagern. Einige Best Practices zur Abschwächung von Schwachstellen in Bezug auf sensible Daten umfassen:
Identifizieren und Klassifizieren sensibler Daten
Es ist wichtig, sensible Daten mit zusätzlichen Sicherheitskontrollen zu bestimmen und zu klassifizieren. Diese Daten sollten dann nach dem Grad der Sensibilität gefiltert und mit den entsprechenden Sicherheitskontrollen gesichert werden.
Zugangskontrollen anwenden
Sicherheitsteams sollten ihre Energie auf die Prozesse der Authentifizierung, Autorisierung und Sitzungsverwaltung durch die Bereitstellung eines robusten Identitäts- und Zugriffsmanagementmechanismus (IAM) konzentrieren. Mit den richtigen Zugriffskontrollen müssen Unternehmen sicherstellen, dass nur die vorgesehenen Personen sensible Daten einsehen und ändern können.
Ordnungsgemäße Datenverschlüsselung mit starken, aktualisierten Protokollen
Sensible Daten sollten niemals im Klartext gespeichert werden. Es muss sichergestellt werden, dass Benutzeranmeldedaten und andere persönliche Informationen mit modernen kryptografischen Algorithmen geschützt werden, die die neuesten Sicherheitslücken schließen.
Passwörter mit starken, adaptiven und gesalzenen Hash-Funktionen speichern
Angesichts des Fortschritts bei den Sicherheitskontrollen haben Angreifer auch raffinierte Methoden entwickelt, um Passwörter auszuspähen. So kann ein Hacker beispielsweise eine Regenbogentabelle mit vorberechneten Hashes verwenden, um auf eine Passwortdatei zuzugreifen, die ungesalzene Hashes verwendet. Gesalzene Hashes erhöhen die Sicherheit von Kennwörtern, indem sie einer Hash-Funktion zufällige Eingaben hinzufügen, die eine eindeutige Ausgabe garantieren, und werden daher gegenüber ungesalzenen Hashes empfohlen.
Zwischenspeicherung und automatische Vervollständigung in Datenerfassungsformularen deaktivieren
Caching- und Autovervollständigungsfunktionen tragen zwar zur Verbesserung der Benutzerfreundlichkeit bei, bergen jedoch Sicherheitsrisiken, die Angreifer anziehen können. Hacker können sich darauf verlassen, dass sich der Browser eines Benutzers problemlos bei einem Konto anmelden kann, da die Autovervollständigungsfunktion die Anmeldeinformationen ausfüllt.
Beim Caching werden Abschnitte von Webseiten gespeichert, damit sie bei späteren Besuchen leichter geladen werden können, was es Angreifern ermöglicht, die Bewegungen eines Nutzers nachzuvollziehen. Angreifer nutzen Cache-Daten auch, um Malware anzupassen. Als Best Practice wird empfohlen, das Caching und die automatische Vervollständigung von Formularen standardmäßig zu deaktivieren und nur bei Bedarf zu aktivieren.
Datenfläche minimieren
Sicherheitsteams sollten die Datenangriffsfläche des Systems reduzieren, indem sie ein sorgfältiges API-Design in Betracht ziehen und sicherstellen, dass nur das absolute Minimum an Daten in Serverantworten enthalten ist. Dabei muss auch sichergestellt werden, dass die Serverantwort keine Informationen über die Systemkonfiguration preisgibt. Stichprobenartige Tests und Datenfilterung sollten auch auf der Serverseite durchgeführt werden, um das Risiko zu verringern, dass Angreifer sensible Daten im ungefilterten Datenverkehr bei der Übertragung abfangen.
Beliebte Tools zur Verhinderung der Preisgabe sensibler Daten
Zu den beliebten Lösungen, die verschiedene Erkennungstechniken anbieten und gleichzeitig die Offenlegung sensibler Daten verhindern, gehören:
Eine automatisierte End-to-End-Lösung zum Scannen von Schwachstellen, die dazu beiträgt, die Sicherheitslage zu verbessern, indem Webanwendungen mit den OWASP Top 10 verglichen werden. Mit Crashtest Security können Unternehmen Schwachstellen-Scans innerhalb von Minuten einrichten, da sich die Suite nahtlos in die meisten aktuellen Tech-Stacks integrieren lässt. Darüber hinaus ermöglicht das Tool effizientes Scannen mit niedrigen False-Positive- und Negativ-Raten und erstellt präzise Schwachstellenberichte und Empfehlungen zur Behebung.
Testen Sie unseren automatischen URL-Fuzzer-Scanner
Eine ausgereifte Sicherheitstestplattform mit integriertem Schwachstellenmanagement und -bewertung. Die Acunetix-Plattform bietet einfache Integrationen für eine einfachere Übernahme in die CI/CD-Pipelines. Mit seiner eigenen API unterstützt das Tool auch die Integration mit anderen Sicherheitsplattformen.
Die Burp Suite von PortSwigger unterstützt Unternehmen bei der Automatisierung und Skalierung von Schwachstellen-Scans, um Webanwendungen vor Zero-Day-Bedrohungen zu schützen. Die Suite profitiert von der Forschung zahlreicher Penetrationstester und Bug-Bounty-Jäger und entdeckt und behebt regelmäßig Schwachstellen, bevor Angreifer sie ausnutzen.
Eine All-in-One-Sicherheitsmanagement-Plattform, die Laufzeit-Datenfluss-Techniken verwendet, um Schwachstellen zu erkennen, bevor sie von Angreifern entdeckt werden. Hdiv automatisiert den Selbstschutz während des gesamten Lebenszyklus der Anwendung und reduziert so den Bedarf an massiven Investitionen in Sicherheitspersonal und -produkte.
Eine Plattform zur Verwaltung von Angriffsflächen, die eine genaue Bewertung der Sicherheitslage einer Anwendung ermöglicht. Das Tool führt Aufgaben wie Dark Web Incident Monitoring, KI-gestützte Angriffe, nicht-intrusive Discovery und Risikomanagement für Dritte durch.
Zusammenfassung
Da Hacker keine besonderen Fähigkeiten benötigen, um auf Daten zuzugreifen, die nicht ordnungsgemäß gesichert sind, ist die Offenlegung sensibler Daten nach wie vor einer der häufigsten Angriffe der letzten Jahre. Auch wenn es gesetzliche Vorschriften wie den Schutz personenbezogener Daten und die DSGVO gibt, die Sicherheitsstandards durchsetzen, müssen Unternehmen eine detaillierte Cybersicherheitsstrategie formulieren und die besten Praktiken und Tools anwenden.
Crashtest kann Unternehmen beim Umgang mit sensiblen Daten helfen, indem es einen kontinuierlichen Testprozess implementiert, der sich nahtlos in einen bestehenden Entwicklungs-Workflow einfügt. Testen Sie die Crashtest Security Suite noch heute und entdecken Sie, wie automatisierte Schwachstellen-Scans Ihrem Unternehmen helfen können, das Risiko der Offenlegung sensibler Daten zu reduzieren.
