Firewalls und Virenschutzsysteme allein genügen nicht mehr, um in der heutigen Bedrohungslage sicher zu bleiben. Das zeigen bekannt gewordene Datendiebstähle und Spionagefälle der jüngsten Zeit. Zugleich bieten zahlreiche Hersteller von Sicherheitslösungen neue Produkte an, die vor sogenannten APTs ("Advanced Persistent Threats") schützen sollen. Gemeint sind gezielte und nachhaltige Angriffe von professionellen Hackern, die als Mitglieder oder im Auftrag krimineller Vereinigungen in Unternehmen einbrechen, um dort Daten zu stehlen oder Anlagen zu sabotieren.
Foto: Radim Strojek - Fotolia.com
Die Ausgangslage
Ein Angreifer, der gezielt in ein bestimmtes Unternehmen einbrechen möchte, wird sich Zeit nehmen und den einfachsten oder elegantesten Weg suchen, um die Kontrolle über die Server des Opfers zu übernehmen. Vor 15 bis 20 Jahren waren extern sichtbare Server oftmals noch voller Schwachstellen. Die Betriebssysteme wurden zu selten oder überhaupt nicht aktualisiert, Firewalls waren schlecht konfiguriert und ein Angreifer musste nur einen Schwachstellen-Scanner wie Nessus starten, um einen Schwachpunkt zu finden und dann mit öffentlich verfügbaren Angriffswerkzeugen die Server zu übernehmen. Diese Zeiten sind immerhin bei jenen Unternehmen vorbei, die einen kompetenten Sicherheitsbeauftragten und einen sinnvollen Patch-Management-Prozess etabliert haben.
Seit mindestens zehn Jahren verschiebt sich daher der Fokus von Angreifern weg von der Betriebssystemebene hin auf die Applikationsebene. Die externen Web-Applikationen vieler - vor allem mittelständischer - Unternehmen sind jedoch auch heute noch mit Techniken wie SQL Injection oder Cross-Site Scripting angreifbar. Bei zahlreichen mittelständischen Unternehmen sind Web Application Firewalls (WAFs) nach wie vor eher selten im Einsatz und viele Firme nehmen nicht einmal jährlich Penetrationstests vor.
Ungeachtet dieser Defizite im Mittelstand haben Cyber-Kriminelle auch ihre Angriffstechniken auf Endgeräte von Benutzern weiterentwickelt. Dort kann man heute auch Unternehmen erfolgreich angreifen, die in den letzten Jahren ihre Hausaufgaben gemacht haben und bei denen externe Server und Web-Applikationen gut gesichert sind.
Anwender müssen in der Regel per Mail mit externen Personen kommunizieren können, und auch der Zugriff auf externe Webserver gehört heute zur alltäglichen Büroarbeit. Doch leider enthalten Hilfsprogramme wie PDF-Viewer, Flash Player, Java-Interpreter, die Office-Produkte, Webbrowser selbst und zahlreiche andere Plug-ins immer wieder neue Schwachstellen. Genau diese Schwachstellen nutzen Kriminelle aus: Sie versenden gezielte und echt aussehende Phishing-Mails und locken Anwender auf Webseiten mit individueller Malware.
Mit einer täuschend echt aussehenden Ebay-Anfrage und der Drohung, die Polizei ein zuschalten, erreichen die Phishing-Betrüger, dass das Opfer antwortet.
Klickt man auf den Antwort-Button, ...
... kommt man auf eine ebenfalls gefälschte Ebay-Eingabemaske.
Sogar angebliche Auktionsteilnahmen sind gefälscht..
Nach der Anmeldung auf der gefälschten Seite wird man auf eine reguläre Ebay-Seite weitergeleitet. Die läuft allerdings ins Leere. Aber so bemerken die Phishing-Opfer den Datendiebstahl womöglich gar nicht.
Nun sind die Betrüger im Besitz der Zugangsdaten und können mit dem gekaperten Ebay-Account jede Menge Unheil anrichten.
Virenscanner, die auf den PCs der Anwender oder auf Sicherheits-Gateways in der Firewall-Umgebung des Unternehmens installiert sind, können diese Probleme nicht lösen, denn sie erkennen nur bereits bekannte Malware. Die Angreifer entwickeln aber stets neue Varianten ihrer Viren, Trojaner und Rootkits und bleiben auf diese Weise lange Zeit unentdeckt.
Sandbox-Analyse
Die neuen Lösungen, die dieses Problem adressieren, setzen an unterschiedlichen Stellen an. Am bekanntesten ist momentan die Analyse von übertragenen Objekten in einer gesicherten virtuellen Maschine oder Sandbox in der Firewall-Umgebung, bezeichnet als "Sandbox-Analyse". Ein Sensor kopiert alle Dokumente beziehungsweise Objekte, die von Webseiten heruntergeladen werden oder an eingehenden Mails angehängt sind. Diese Objekte werden in einer abgeschotteten Sandbox auf einem zentralen System gespeichert und dort automatisch geöffnet oder zur Ausführung gebracht. Dabei überwacht ein Sicherheitssystem alle Aktivitäten in der Sandbox. Wenn nun Systemeinstellungen manipuliert werden, Code aus dem Internet nachgeladen oder sonstiges bösartiges Verhalten erkannt wird, geht man davon aus, dass es sich um Malware handelt.
Damit diese Analyse nicht mehrfach nötig wird, speichert das System eine Prüfsumme mit dem Analyseergebnis. So lässt sich das Objekt wiedererkennen, wenn es ohne Veränderung nochmals heruntergeladen wird oder einer Mail angehängt ist. Im Wiederholungsfall kann ein bereits zuvor analysiertes und als gefährlich eingestuftes Objekt dann auch direkt blockiert werden.
Diese Information - das Analyseergebnis der Malware und seine Prüfsumme - fällt unter den Überbegriff "Threat Intelligence". Die meisten Hersteller bieten ihren Kunden zusätzlich zu dem Analyse-System auch eine Cloud-Plattform, über die Threat Intelligence ausgetauscht werden kann. Damit können die Kunden des Herstellers von Informationen über bereits analysierte Malware anderer Kunden profitieren.
- Eine BT-Umfrage zeigt, ...
... dass 32 Prozent der Unternehmen glauben, dass ihre Geschäftsleitung die Bedeutung von IT-Sicherheit unterschätzt. Ohne Bewusstsein für die neuartigen Cyber-Bedrohungen werden aber kaum präventive Maßnahmen wie beispielsweise Cyber-Frühwarnsysteme eingesetzt. - Wachsende Bedrohungslage
Die Bedrohungen für IT-Systeme werden immer vielfältiger und komplexer. Gerade kleine und mittlere Unternehmen brauchen Unterstützung, um Angriffe möglichst frühzeitig erkennen und abwehren zu können. Eine wichtige Rolle können dabei Threat-Monitoring-Services aus der Cloud spielen. - Früherkennung von Gefahren
Die Kombination verschiedener, weit verteilter Quellen für sicherheitsrelevante Informationen ermöglicht es, Angriffe früher und besser zu erkennen. Dies ist die Basis für Lösungen im Bereich Threat Monitoring und Threat Intelligence. - Ergänzende Analyse-Funktionen
Die Lösung Arbor Networks Pravail Security Analytics gibt es auch als Cloud-Version. Über den Zugriff auf die Daten von ATLAS (Active Threat Level Analysis System) stehen dem Anwender-Unternehmen umfangreiche Bedrohungsinformationen für sein Frühwarnsystem zur Verfügung. - Dashboards helfen visualisieren
Lösungen wie Trustwave Threat Intelligence bieten dem Anwenderunternehmen Dashboards, mit denen die Bedrohungsdaten und -vorhersagen individuell dargestellt werden können. Dies hilft auch bei der gezielten Umsetzung von Compliance-Vorgaben. - In Echtzeit
Die Visualisierung von Cyber-Attacken in Echtzeit, wie dies zum Beispiel die Kaspersky-Cyberbedrohungsweltkarte bietet, zeigt eindrucksvoll die Bedrohungslage und hilft bei der Sensibilisierung. Zusätzlich besteht Bedarf an Bedrohungsdaten, die in IT-Sicherheitslösungen importiert werden können, um so die Abwehr möglichst automatisch optimieren zu können.
Beim ersten Auftreten einer neuen Malware steht jedoch eine neue Analyse an. Da diese Analyse einige Zeit benötigt, ist es üblich, die Anwender nicht warten zu lassen. Folglich kommt die erste Übertragung in der Regel beim Anwender an, bevor die Analyse fertiggestellt werden konnte. Eine Sandbox-Analyse-Funktion bietet deshalb lediglich einen begrenzten vorausschauenden Schutz und dient vielmehr der Erkennung von Malware.
Bereits wieder unsicher
Doch auch der Wert der Erkennung sinkt bereits, da die die Autoren von Malware und die Kriminellen, die diese verbreiten, inzwischen verstanden haben, wie eine Sandbox-Analyse funktioniert. Entsprechend ändern sie das Verhalten ihrer Angriffsprogramme, damit sie nicht mehr so einfach erkannt werden können. Dazu können sie beispielsweise eine Eingabe des Benutzers fordern, die von der automatisierten Sandbox-Analyse-Komponente nicht geliefert werden kann. Im einfachsten Fall kann das ein vorgetäuschter Lizenzschlüssel oder ein Passwort sein, das in einer separaten Mail an den Empfänger gesendet wird. Ein Anwender in der Personalabteilung wird sich vermutlich nicht einmal wundern, wenn ein Bewerber seine Unterlagen als verschlüsseltes Archiv sendet und das zugehörige Passwort in einer separaten Mail liefert. Sofern die Bewerbungsunterlagen Schadcode enthalten, kann der PC des Mitarbeiters nun kompromittiert werden. Für eine Sandbox-Analyse-Komponente wird es allerdings schwierig, das richtige Passwort automatisch einzugeben und den Schadcode zu erkennen.
Sandbox-Analyse-Funktionen werden heute von zahlreichen Herstellern angeboten. Firewall-Hersteller wie Check Point oder Palo Alto Networks haben eigene Module für ihre Firewalls. WatchGuard integriert die Lösung von Lastline in seine Firewall. Der Proxy-Hersteller Blue Coat hat dafür die Norman-Sandbox aufgekauft. Cisco bietet sein FireAMP-Produkt, und Hersteller wie FireEye, Cyphort, AhnLab, Lastline und andere haben eigenständige Appliances beziehungsweise Software-Lizenzen.