SSL-Verkehr
Vom Freund zum Feind
SSL bildet eine wesentliche Grundlage für E-Commerce und sichere Online-Kommunikation. Aber die Entdeckung der "Heartbleed3"-Schwachstelle im Jahr 2014 trübte den Ruf von SSL und veranlasste so manchen IT-Experten, SSL als die verwundbarste aller weit-verbreiteten Technologien zu bezeichnen.
Angreifer das SSL-Protokoll, um ihre Attacken zu maskieren und Angriffs- und Malware-Erkennung sowohl auf Netzwerk- als auch Anwendungsebene weiter zu komplizieren. Die Herausforderungen, die der verschlüsselte Verkehr mit sich bringt, werden dabei immer größer, denn das Wachstum des SSL/TLS-Verkehrs wird durch die zunehmende Akzeptanz von HTTP 2.0 noch verstärkt werden. Dies schafft eine neue Angriffsfläche für Malware-Infektion, Datenexfiltration und Call-Back-Kommunikation.
Laut Netcraft ist die Nutzung von SSL auf den größten Webseiten in den vergangenen zwei Jahren um mehr als 48 Prozent gestiegen. Und je höher der Prozentsatz des SSL-Verkehrs ist, desto wirksamer dient die Verschlüsselung als Nebelschleier für Hacker. Aktuelle Umfragen zeigen, dass im Durchschnitt 25 bis 35 Prozent des Traffics, der über LAN- und WAN-Infrastrukturen gesendet wird, via SSL verschlüsselt ist. In bestimmten vertikalen Märkten wie der Finanzdienstleistung oder dem Gesundheitswesen kann der Anteil aufgrund der Kritikalität der übertragenen Daten sogar bis zu 70 Prozent erreichen.
Häufiger und virulenter
DDoS- und Web-Application-Angriffe plagen alle Unternehmen, die ihre Geschäfte zunehmend online betreiben. Bei beiden Angriffstypen sind diejenigen, die verschlüsselten Verkehr als Angriffsvektor nutzen, auf dem Vormarsch. Dieser Anstieg überfordert viele etablierte Lösungen für die Erkennung und Mitigation von Cyber-Bedrohungen. Die meisten überprüfen SSL-Verkehr nicht wirklich, da dies die Entschlüsselung des verschlüsselten Verkehrs erfordert. In einer aktuellen Umfrage von Radware bestätigten 39 Prozent der Befragten, dass sie via SSL oder verschlüsselte Vektoren angegriffen wurden - eine Zunahme von zehn Prozent gegenüber dem Vorjahr. Nur eines von vier Unternehmen berichtete, dass es sich gegenüber SSL-Floods geschützt fühle.
SSL-basierte Angriffe nehmen viele Formen an. Darunter:
- Verschlüsselte SSL-Floods: Diese Angriffe ähneln insofern normalen-, nicht verschlüsselten SYN-Floods, als sie versuchen, die vorhandenen Ressourcen durch halboffene Verbindungen zu erschöpfen, statt den SYN-ACK-Hand-shake abzuschließen. Verschlüsselte SSL-Floods erschweren die Abwehr, indem sie den Verkehr verschlüsseln und so zusätzlich noch die Nutzung von SSL-Handshake-Ressourcen erzwingen.
- SSL-Renegotiation: Diese Angriffe arbeiten, indem sie einen regulären SSL-Handshake initiieren und dann sofort die Neuverhandlung des Schlüssels anfordern. Das Tool wiederholt diese Neuverhandlung kontinuierlich, bis alle Serverressourcen erschöpft sind.
- HTTPS-Floods: Diese Angriffe erzeugen Floods von verschlüsseltem HTTP-Verkehr, oft als Teil von Multi-Vektor-Angriffen. Zusätzlich zu den Auswirkungen „normaler“ HTTP-Floods erfordern verschlüsselte HTTP-Angriffe den Einsatz ressourcenintensiver Ver- und Entschlüsselungsmechanismen.
- Verschlüsselte Web-Application-Angriffe: Multi-Vektor-Kampagnen nutzen neben DoS zunehmend auch Angriffe auf Webanwendungen. Werden solche Angriffe durch Verschlüsselung des Verkehrs maskiert, bleiben sie trotz bestehender Schutzmaßnahmen oft unentdeckt.
Komplizierte Erkennung und aufwendige Mitigation
SSL und Verschlüsselung sind sehr effektiv beim Schutz der Integrität legitimer Kommunikation. Leider sind sie gleichermaßen wirksam bei der Verschleierung vieler Attribute, die helfen festzustellen, ob der Verkehr bösartig oder legitim ist. Die Identifizierung des Angriffsverkehrs in verschlüsselten Verkehrsströmen ist vergleichbar mit der Suche nach einer Nadel im Heuhaufen – im Dunkeln. Die meisten Verteidigungs-Lösungen haben Schwierigkeiten, potenziell bösartigen SSL-Verkehr zu identifizieren und für weitere Analysen (und die Mitigation) zu isolieren. Zudem erhöht der Prozess der Entschlüsselung und Wiederverschlüsselung des SSL-Verkehrs die Anforderungen an die Rechenleistung von Sicherheitslösungen erheblich – in vielen Fällen über die funktionale Leistungsfähigkeit solcher Lösungen hinaus. Die meisten Geräte sind inline, stateful und nicht in der Lage, SSL-verschlüsselte Angriffe zu behandeln, sodass sie sehr anfällig für SSL-Floods sind.
Viele Lösungen, die ein gewisses Maß an Entschlüsselung beherrschen, neigen dazu, die Zahl der Anfragen zu limitieren. Dies führt dazu, dass legitimer Verkehr fallengelassen wird, was letztlich den Angriff wirksam vervollständigt. Schließlich verlangen viele Lösungen, dass der Kunde aktuelle Serverzertifikate teilt. Diese Anforderung gestaltet die Implementierung und das Zertifikatsmanagement kompliziert und zwingt die Kunden, private Schlüssel für den Schutz in der Cloud zu teilen.
Die Einsicht in verschlüsselten Verkehr ist nicht die einzige Herausforderung im Zusammenhang mit SSL/TLS. Zwar entschlüsseln mehr als 90 Prozent der Unternehmen mit öffentlichen Webseiten den eingehenden Webverkehr (oft über eine Web Application Firewall); allerdings ist der Schaden bei verschlüsselten Angriffsvektoren meist schon angerichtet, bevor der Verkehr so tief in das Netzwerk oder die Anwendungsinfrastruktur gelangt ist.
- Vom Freund zum Feind
- Die Komplexität der Cloud
Lesen Sie mehr zum Thema
