FIN-Flood-Angriff setzt Firewall außer Kraft

FIN-Flood-Angriff setzt Firewall außer Kraft

FIN-Flood-Angriff setzt Firewall außer Kraft

Ein FIN-Flood-Angriff (DDoS-Angriff) ist eine Angriffstechnik, die Netzwerke mit Paketen eines bestimmten Typs, d. h. mit gefälschten Quelladressen, gefälschten Ports und aktiviertem FIN-Flag
überschwemmt, um Systeme zu überlasten. Die Folge ist die Überflutung mit einer hohen Anzahl an FIN-Paketen ohne vorangegangenem TCP-Handshake.

In unserer SOAR (Security Orchestration Automation and Responses) erschien kürzlich das Security Event ‚Multiple firewall warning messages.‘. Wir untersuchten das Event umgehend im SIEM (Security Information Event Management) und fanden in den Firewall Logs die Log Event Messages ‚Administrator login denied due to bad credentials‘, ‚Access rule added‘ und ‚Machine Removed From FIN Flood Blacklist‘. Anschließend erschien in der SOAR mehrfach das Event ‚Possible FIN Flood‘. Wir informierten den betroffenen Kunden umgehend über unser Ticket-System und riefen ihn an, sodass Sofortmaßnahmen ergriffen werden konnten. Es stellte sich heraus, dass die betroffene Firewall eine veraltete Version aufwies und somit eine fatale Schwachstelle enthielt. Ein Angreifer hatte sie ausgenutzt, um die Firewall außer Gefecht zu setzen. Eine tiefgehende Netzwerkanalyse bestätigte jedoch glücklicherweise, dass keine weiteren Systeme kompromittiert waren.

Wie können Sie Flood-Angriffe präventiv umgehen?

Der Flood-Vektor verfolgt Pakete pro Zieladresse. Pakete an ein bestimmtes Ziel, die die definierten Single Endpoint Flood-Kriterien erfüllen und die Ratenbegrenzung überschreiten, werden verworfen. Das System kann solche Angriffe mit einem konfigurierbaren Erkennungsschwellenwert erkennen und Pakete von einer Quelle begrenzen, wenn der Erkennungsschwellenwert erreicht ist.
Floods können jedoch mit einer viel höheren Rate auftreten. Halten Sie Ihre Hard- und Software stets aktuell bzw. rollen Sie zeitnah Updates aus.

Welche Firewall-Hersteller sind am sichersten?

Eine Firewall vermittelt ein Gefühl von Sicherheit, diese ist jedoch nur gewährleistet, wenn Sie sie auf den neusten Stand halten. Dies kann Ihnen kein Hersteller zu 100% garantieren. Es ist daher von immens hoher Bedeutung, Sicherheitslücken bei Bekanntwerden so schnell wie möglich zu schließen. Der beschriebene Vorfall zeigt noch einmal die Wichtigkeit der Anbindung an ein SOC, weil es Technik und Man-Power verbindet. Mithilfe eines SOC’s werden Ihr Netzwerk und Ihre IT-Systeme in Echtzeit überwacht und Sie werden über Unregelmäßigkeiten, verdächtige Auffälligkeiten und Threats umgehend informiert.

Wir feiern den Weltnormentag!

Wir feiern den Weltnormentag!

Wir feiern den Weltnormentag!

Jährlich am 14. Oktober wird der Weltnormentag von den Mitgliedern der IEC, ISO und ITU gefeiert, um die gemeinsamen Bemühungen von Tausenden von Experten weltweit zu honorieren. Sie investieren ihre Zeit, um die freiwilligen Vereinbarungen zu entwickeln, die dann als internationale Normen veröffentlicht werden und unsere verwendeten Produkte sicher und effizient zu gestalten.

Standards haben sich inzwischen als eine Schlüsselrolle für den technologischen Fortschritt entwickelt. Ohne sie wäre die Geschwindigkeit des Wandels, den wir erleben, nicht möglich. Innovatoren verlassen sich auf internationale Standards, wie die von IEC, ISO und ITU , um Kompatibilität und Interoperabilität zu gewährleisten, damit neue Technologien nahtlos übernommen werden können. Sie sind auch eine Treibkraft, um Wissen und Innovation weltweit zu verbreiten.

Auch wir als CSOC arbeiten an unserer ISO/IEC 27001 Zertifizierung um unsere Prozesse hinsichtlich der Informationssicherheit stetig zu verbessern.