Imperva, der führende Anbieter von Datensicherheitssystemen für sensible Unternehmensinformationen, belegt mit seinem vierten Web Application Attack Report (WAAR), dass Einzelhändler zweimal so oft per SQL Injection angegriffen werden als andere Branchen.
Darüber hinaus waren diese Angriffe intensiver: die Zahl der einzelnen Attacken pro Vorfall war höher, was auch zu einer längeren Dauer insgesamt führte. Tatsächlich gab es bei den Retail-Applikationen durchschnittlich 749 bösartige Anfragen pro Angriff.
"Während die meisten der 70 überwachten Web-Anwendungen oft attackiert wurden, konnten wir bei manchen eine besonders hohe Angriffsfrequenz feststellen. Bei einer Anwendung haben wir sogar im Durchschnitt 26 Attacken pro Minute verzeichnet", sagt Amichai Shulman, CTO von Imperva. "Unsere Ergebnisse zeigen eindeutig, dass Angriffe auf Web-Anwendungen alles andere als gleichmäßig verteilt sind. Für Organisationen und Unternehmen bedeutet es, dass ihre Sicherheitsmaßnahmen auf dem Worst-Case-Szenario basieren sollten, nicht auf dem Durchschnittsfall. Ansonsten wird die Abwehr einem ernsthaften Angriff nicht standhalten."
Der WAAR ist Teil von Impervas laufender “Hacker Intelligence Initiative”, und liefert Erkenntnisse über aktuelle Angriffe auf 70 Web-Anwendungen über einen Zeitraum von sechs Monaten. Er zeichnet ein genaues Bild der heutigen Bedrohungslandschaft und vermittelt wichtige Kenntnisse zur Verteilung der Angriffe.
Um aussagekräftige Ergebnisse zu erreichen, hat Imperva die einzelnen Vorfälle mit bekannten Angriffsmethoden verglichen, ebenso wie die identifizierten Quellen mit Black Lists über bösartige Hosts. Außerdem hat Imperva nach spezifischen Eigenschaften innerhalb des bösartigen Traffics gesucht. Der WAAR umreißt dabei die Häufigkeit, Art und den geographischen Ursprung jedes Angriffs, um Sicherheitsexperten bei der Behebung von Schwachstellen zu unterstützen.
Wichtige Erkenntnisse des aktuellen WAAR:
- Einzelhändler sind zweimal so oft von SQL Injections betroffen als andere Branchen - Die Analyse ergab, dass SQL-Injection-Angriffe auf Anwendungen im Einzelhandel aus mehr HTTP-Anfragen bestanden und länger dauerten, als SQL-Injection-Angriffe auf andere Anwendungen. Dies lässt sich vor allem auf das Design und die Größe der Anwendungen zurückführen. Anwendungen im Einzelhandel enthalten typischerweise eine relativ große Anzahl von Seiten in Form von Online-Katalogen. Dieser Faktor kann auf die Länge und die Intensität der SQL-Injection-Angriffe Einfluss gehabt haben.
- Die meisten beobachteten Web-Applikationen werden mindestens viermal im Monat angegriffen - Eine typische Anwendung erlebt zwölf "Battle Days”. Damit sind Tage gemeint, in denen sich mindestens ein Angriff ereignete. Zum Vergleich: Im schlimmsten Fall gab es 176 Battle Days in den sechs Monaten der Beobachtung. Das bedeutet, die betroffene Anwendung wurde fast jeden Tag in diesem Zeitraum angegriffen. Ein weiteres interessantes Ergebnis zeigt, dass eine typische Attacke etwa fünf Minuten dauerte, während der intensivste beobachtete Angriff ungefähr 100 Mal länger dauerte, also länger als 15 Stunden.
- Die meisten Angriffe werden von den USA aus geführt - Die Mehrheit der Angriffe hatte ihren Ursprung in den Vereinigten Staaten, den westeuropäischen Ländern, China und Brasilien. Deutschland liegt in Fällen von Remote File Inclusion und Local File Inclusion auf Platz 3 der Ursprungsländer, auf Platz 5 wenn es sich um Directory Traversal handelt.
"Bei Betrachtung der aktuellen Bedrohungslandschaft raten wir Unternehmen davon ab, nur für sich selbst zu kämpfen, wenn es um Sicherheit geht", sagt Shulman. "Dieser Bericht zeigt, dass sowohl die Automatisierung als auch das Ausmaß der Angriffe einen großen Fußabdruck hinterlassen. Dem kann man besser entgegentreten, in dem man die gesammelten Daten von einer großen Menge potentieller Opfer auswertet. Daher ist eine Zusammenarbeit besonders wichtig. Nur so lassen sich Erkenntnisse über schädliche Quellen erwerben, um sie in Echtzeit anwenden zu können."
Den vollständigen Web Application Attack Report finden Sie hier.
Quelle: Imperva
