Unternehmensweites Sicherheitssystem Integriert in unsere Webhosting-Plattform

Bei Technologieunternehmen hört man oft: wenn man für Sicherheit nicht bezahlen kann, sollte man sich keine Sicherheitsverletzungen leisten. Die Folgen einer Sicherheitsverletzung können in Form von Datenverlusten, Kosten für die Wiederherstellung des Geschäftsbetriebs, Rufschädigung und vielem mehr sehr teuer werden. Deshalb geben große Unternehmen Millionen von Dollars aus, um ihre Daten zu schützen, und investieren viel Zeit in die Einführung und Pflege von Verfahren zur Datensicherheit und Sicherheitsstrategien. Kleine Unternehmen können sich das natürlich nicht leisten und haben in der Regel nur ein begrenztes Budget für Sicherheit zur Verfügung. Genau dann ist es wichtig, die Dienste eines sicheren Webhosting-Anbieters in Anspruch zu nehmen.

Obwohl Webhoster nicht die alleinige Verantwortung für die Sicherheit Ihrer Website übernehmen können, können gute Webhoster eine Menge tun, um Sie zu schützen und das Schlimmste zu verhindern. Hier bei SiteGround haben wir ein zentralisiertes, unternehmensrangiges Sicherheitssystem entwickelt, um die Websites, Anwendungen und Daten unserer Kunden zu schützen. Seine Komplexität ist im Laufe der Zeit gewachsen, und es in seiner Gesamtheit zu beschreiben, kann ziemlich überwältigend sein, aber in diesem Artikel geben wir Ihnen einen Einblick, wie wir den Webverkehr, der auf Ihre Websites zukommt, analysieren und filtern und wie wir täglich Hunderte von Millionen von Angriffen auf die von uns gehosteten Websites verhindern.

Wirksame Sicherheits-Bausteine

Auf allen unseren Servern ist die notwendige Sicherheitssoftware installiert und die Systeme sind lokal pro Server eingestellt zu funktionieren – eine Firewall für den Netzwerkverkehr, eine Web Application Firewall, IDS/IPS (Intrusion-Detection/Prevention-Systeme wie Brute-Force-Prävention), tiefe HTTP-Analyse von Metadaten, DDOS-Schutz und mehr. Dies sind klassische und sehr wirksame Mittel zur Filterung von schlechtem Datenverkehr und zur Verhinderung von Brute-Force-Angriffen, Malware-Injektionen, Denial-of-Service und mehr, auf die wir uns sehr verlassen. Unter der kompetenten Leitung unserer DevOps-Ingenieure und Systemadministratoren werden diese Systeme ständig verbessert, und alle zusammen filtern täglich etwa 1 TB bösartigen Datenverkehr und mehr als 300 Millionen bösartige Anfragen über unsere Server!

Wenn diese Systeme jedoch allein auf Serverebene arbeiten, ergeben sich folgende Probleme: Wenn ein Hacker Server A angreift, können die einzelnen Sicherheitssysteme des Servers zwar den Server schützen, aber den Hacker nicht davon abhalten, denselben Angriff auf Server B, C usw. zu unternehmen. Um sicherzustellen, dass alle unsere Server jederzeit geschützt sind, haben wir unser zentrales Sicherheitssystem entwickelt, das ständig Daten von allen individuellen Serversicherheitssystemen sammelt und analysiert und intelligente Sicherheitsregeln verteilt, die auf alle Maschinen angewendet werden und diese schützen.

Zentralisierte Analyse von großen Datenmengen

Unser zentrales Sicherheitssystem stützt sich auf die umfangreichen Daten, die es von allen anderen Systemen auf Serverebene erhält, und analysiert die verschiedenen Angriffsquellen, erkennt größere Muster und blockiert viele weitere Angriffe global auf der gesamten Plattform.

Daten-Feed des Web-Anwendungs-Firewalls

Wie bereits erwähnt, verfügt jeder Server über eine WAF, deren Hauptaufgabe darin besteht, Webanwendungen wie WordPress, Magento, Joomla, Drupal und andere vor einer Vielzahl von Angriffen wie Cross-Site Scripting (XSS), SQL-Injection u.s.w. zu schützen. Sobald wir von einer Sicherheitsbedrohung (Software-Schwachstelle) erfahren, schreiben unsere Sicherheitsingenieure eine neue Regel, um diese zu beheben, und fügen diese Regel zu unseren lokalen WAFs hinzu.

Jede Anfrage, die nicht auf Netzwerkebene abgelehnt wird, wird von der Server-WAF gefiltert. Wenn die Anfrage auf die Parameter einer WAF-Regel trifft, sendet die WAF Informationen darüber an das zentrale Sicherheitssystem. Das zentrale System protokolliert und analysiert alle Anfragen, die auf WAF-Regeln für alle unsere Server treffen (z. B. ihre IP und andere Metadaten). Wenn es ein Muster erkennt, z. B. mehrere Anfragen über viele Server hinweg, die von derselben IP-Adresse kommen, blockiert das Zentralsystem diese IP-Adresse und verteilt eine Regel an alle Rechner in unserer Infrastruktur. Je nach Fall und Regel kann das System die verdächtigen IP-Anfragen einschränken, so dass sie per Captcha geprüft werden müssen, oder den Datenverkehr von dieser IP-Adresse zu einem unserer Server für einen bestimmten Zeitraum (Stunden, Tage, Wochen oder sogar dauerhaft) vollständig unterbinden.

Brute-Force-Prävention Verkehrsmuster

Als Teil unserer Brute-Force-Präventionsstrategie haben wir auf allen unseren Servern lokale Überwachungssysteme eingerichtet. Sie überwachen die Anmeldeversuche für alle bei uns gehosteten Anwendungen und melden jeden fehlgeschlagenen Versuch an das zentrale Sicherheitssystem. Das System wird über den Versuch benachrichtigt, zusammen mit allen wichtigen Sicherheitsinformationen, wie IP-Adresse, Anzahl der Anfragen, IP-Verlauf und mehr.  Alle 60 Sekunden überprüft das zentrale Sicherheitssystem die gesammelten Daten und analysiert das Volumen und die Häufigkeit der sich wiederholenden Metadaten, um nach Mustern zu suchen. Wenn eindeutige Muster erkannt werden, erstellt das System Sperrregeln, die an alle Server verteilt werden.

Ein Beispiel hierfür wären mehrere fehlgeschlagene Anmeldeversuche auf einem oder mehreren Servern, die innerhalb eines kurzen Zeitraums von derselben IP-Adresse ausgehen (für eine höhere Präzision und Effektivität werden unterschiedliche Zeitschwellen festgelegt). In einem solchen Fall würde unser System die IP-Adresse markieren, und alle künftigen Anfragen, die von dieser Adresse an einen unserer Server gerichtet werden, würden mit einem Captcha geprüft werden.

Viele weitere Systeme senden Daten an unser zentrales Sicherheitssystem

Es gibt noch viele weitere Möglichkeiten, unser zentrales Sicherheitssystem mit Daten zu füttern – z. B. die Überwachung von Anmeldeversuchen bei Diensten auf Serverebene wie FTP, EXIM, Dovecot usw., die Überprüfung des XML-RPC-Verkehrs von WordPress-Websites, die Eingabe verschiedener Verkehrsmuster von Drittsystemen und vieles mehr.

Je mehr relevante Datenquellen wir eingeben, desto größer wird der Datenpool, was die analytische Leistung und Genauigkeit des zentralen Sicherheitssystems erheblich verbessert. Mit der Zeit wird die Fähigkeit des Systems, Angriffe effektiv zu verhindern, immer größer. 

Unternehmensrangiger Schutz auf globaler Ebene

Und zum Schluss noch ein paar Zahlen, die Ihnen helfen werden, das Ausmaß und die Wirkung des Zentralen Sicherheitssystems zu verstehen. Täglich werden über 260 Millionen Anfragen mit Captcha geprüft und weniger als 40.000 bestehen die Prüfung. Wir haben mehr als 50.000 IPs, die derzeit als böse oder verdächtig gekennzeichnet sind, und fast die Hälfte von ihnen wird vollständig vom Zugang zu unseren Servern abgehalten. Die Zahl ändert sich täglich, da neue IPs aufgrund verdächtiger Aktivitäten markiert und herausgefordert werden, während zuvor markierte IPs nach erfolgreicher Verifizierung oder Ablauf der Sperre gelöscht werden.
All diese Zahlen und die umfassende Arbeit, die mit der Aufrechterhaltung eines effektiven zentralen Sicherheitssystems verbunden ist, führen zu der Zahl, die am wichtigsten ist – 99,99 % des schädlichen Datenverkehrs werden blockiert, bevor er Ihre Website erreicht.