Dies ist der letzte von drei Posts zu AppSec-Vorhersagen für das Jahr 2021. Die gesamte Reihe können Sie hier lesen.
(Fast) jedes Jahr veröffentliche ich unsere AppSec-Prognosen über die drei Bedrohungen, die im kommenden Jahr eine besonders große Herausforderung darstellen könnten. In den vergangenen zwei Jahren lauteten die Prognosen: Credential-Stuffing/Account-Takeover-Angriffe, API-Angriffe undSupply-Chain-Angriffe. Dieses Jahr kommen die Informationen für unsere Vorhersagen von unserem erweiterten Threat Intelligence Service, einem Teil von Barracuda Advanced Bot Protection. Kurz, unsere Schlussfolgerungen werden von deutlich mehr Daten untermauert.
Lieferkettenangriffe mehren sich und stellen branchenübergreifend eine wachsende Bedrohung dar
Lieferkettenangriffe sind im Grunde Angriffe auf die Lieferkette einer Software. Sie können vielerlei Gestalt annehmen, doch in diesem Webinar möchten wir uns Angriffen auf Webanwendungen widmen. Derartige Angriffe wurden erstmals um 2018 festgestellt und werden Magecart genannt, da sie zunächst auf Online-Shops abzielten, die mit Magento arbeiteten. Die Angreifer identifizierten zunächst JavaScript von Drittanbietern, das auf Checkout-Seiten häufig verwendet wurde. Anschließend hackten sie die JS-Quelldateien und implementierten ihren Card-Skimming-Code. Wenn ein User die entsprechende Seite lud, wurde das nun bösartige JavaScript geladen. So konnten dann die Zugangsdaten des Users gestohlen werden.
2019 und 2020 führte diese Gruppe mehrere größere Angriffe durch und traf damit auch einige hochkarätige Unternehmen wie British Airways. Zu diesem Zeitpunkt waren bereits tausende Fälle von geschädigten Shops bekannt, da viele cyberkriminelle Gruppen mit dieser Angriffsmethode arbeiteten. Einige dieser geschädigten Skripte sind recht raffiniert. So führen sie bei der Anwendung eines Web Vulnerability Scanners ihren Malicious Code nicht aus und geben somit vor, normal zu funktionieren, um nicht entdeckt zu werden. Hier sind also ziemlich fortschrittliche und gut organisierte Gruppen am Werk. Darüber hinaus werden auch Inter Skimmer eingesetzt, die bei Angreifern, die derartige Angriffe vornehmen möchten, mittlerweile ein beliebtes Tool sind. Es handelt sich hierbei wie bei Bots um echte Support-Kanäle mit entsprechender Forschung und Entwicklung hinter den Produkten. Es hat sich hier eine regelrechte Untergrundwirtschaft entwickelt.
Hier sehen wir ein Beispiel eines Skimmers, den Visa im August 2020 identifizieren konnte. Wie Sie sehen können, haben die Verantwortlichen große Anstrengungen unternommen, um nicht entdeckt und von den Websites entfernt zu werden, die das anfällige JavaScript verwendeten.

Diese Kurve aus dem HTTP-Archiv veranschaulicht das Ausmaß des Problems: Etwa 80 % der gescannten Sites verwendeten anfällige JavaScripts von Drittanbietern.

AppSec wird auch 2021 interessant sein
In puncto Bots und Wiederverkauf stellen wir fest, dass sich die Gesetzgeber langsam einschalten. Im Vereinigten Königreich etwa wird versucht, den Weiterverkauf von Produkten über dem empfohlenen Verkaufspreis zu unterbinden. Und dies ist kein Präzedenzfall. Bereits 2015 wurde in den USA ein Gesetz gegen den Wiederverkauf von Tickets verabschiedet, nachdem die Anzahl an Beschwerden über Schwarzmarkthändler massiv angestiegen war. Ob diese neuen Gesetze funktionieren oder ob die Bot-Entwickler weiterhin elterliche Regeln untergraben, um an ihre Cookies zu kommen, bleibt abzuwarten.


Prognosen zur Anwendungssicherheit 2021: Bot-, API- und Supply-Chain-Angriffe
Webinar hier ansehen
Tushar Richabadas ist Senior Product Marketing Manager für Anwendungen und Cloud-Security bei Barracuda. Zuvor war Tushar Product Manager für die Barracuda Web Application Firewall und Barracuda Load Balancer ADC mit den Schwerpunkten Cloud und Automatisierung. Tushar hat als Leiter von Testteams für Netzwerkprodukte und im technischen Marketing für HCL-Cisco bereits viel Arbeitserfahrung gesammelt. Richabadas verfolgt die rasant zunehmenden Auswirkungen der digitalen Sicherheit sehr aufmerksam und setzt sich mit großer Begeisterung für die Vereinfachung der digitalen Sicherheit für alle ein.