Know-how Lateral Movement Detection, Künstliche
Intelligenz, EDR – diese Stichworte sind zurzeit
die «Helden» der IT-Security, stellen gerade kleine
und mittlere Unternehmen aber vor scheinbar
unüberwindbare Hürden. Doch die neue Technologiegeneration ist mittlerweile auch für Firmen ohne
grosses IT-Team einsetzbar.
Von Michael Veit
Die ständigen Schlagzeilen über gehackte Firmen rechner oder milliardenfache Datensatz-Beutezüge lassen bereits erahnen, dass die IT-Sicherheit in Un ternehmen an einem Scheideweg steht. Bisherige--
Best-of-Breed-Ansätze verlieren mehr und mehr an Wirkung,
IT-Sicherheit in Silos, also in voneinander getrennten Systemen,
stösst zunehmend an ihre Grenzen. Schlagworte wie EDR (Endpoint Detection and Response), Machine Learning oder Lateral
Movement Detection tauchen immer häufger auf und dürfen
mittlerweile auch von KMU nicht mehr ignoriert werden. Das
Gute daran: diese modernen Technologien sind mittlerweile
auch für kleine Betriebe durchaus erschwinglich und vor allem
auch ohne ein Heer an IT-Fachkräften einsetzbar.
Das Rückgrat dieser übergreifenden IT-Security-Strategie
sind moderne Firewalls, wobei es aber nicht nur darum geht,
eine solche Hardware sein Eigen zu nennen. Jeder gute Netzwerk-Admin wird mit der Aussage übereinstimmen, dass der
Besitz einer Firewall bei weitem nicht das Gleiche ist, wie das
Beste aus der Hardware herauszuholen. Nur wer sich und seine
Hardware an die ständig ändernde Gefahrenlandschaft anpasst,
kann neuartige Angriffe wie beispielsweise die aktuelle Ransomware-Welle erfolgreich abwehren. Denn selbst in den gewissenhaftesten Unternehmen besteht immer eine gewisse zeitliche
Verzögerung zwischen der Aufdeckung einer Schwachstelle
und der Installation eines Patches. Deshalb ist es so wichtig,
effektive Next-Gen-Technologien zu implementieren. Nur so
bleiben Netzwerke und Endpoints vor Angriffen geschützt,
bei denen neue und zum Teil noch unbekannte Schwachstellen
ausgenutzt werden sollen. Wie kann ein
KMU nun aber dafür sorgen, dass diese
Angriffe gar nicht erst ins Netzwerk gelangen? Und wie können IT-Admins eine
Ausbreitung auf andere Systeme und laterale Bewegungen verhindern, falls ein
Angriff doch einmal die Netzwerkgrenze
durchbrechen sollte?
Netzwerk-Exploits erkennen
und eindämmen
Ein IPS (Intrusion Prevention System)
ist in jeder Next-Gen Firewall eine unverzichtbare Komponente. Es nimmt
eine Deep Packet Inspection des Netzwerkverkehrs vor und kann Schwachstellen-Exploits so bereits identifzieren und
blockieren, bevor diese ihren Ziel-Host
erreichen. Das IPS sucht nach Mustern
oder Unregelmässigkeiten im Code, die
entweder mit einem spezifschen Exploit oder einer breiter gestreuten Zielschwachstelle übereinstimmen. In der
Regel versuchen solche Angriffe, schädliche Eingaben an eine Host-Anwendung
oder einen Service zu senden, um diese
zu kompromittieren und eine gewisse
Kontrolle zu erlangen. Das fnale Ziel besteht darin, Code auszuführen – im Fall von Wanna und Petya zum Beispiel einen
Ransomware Payload.
Während sich Wanna und Petya wie Würmer verbreiten,
setzen viele Ransomware-Varianten auf Social-EngineeringTricks. Über Phishing-E-Mails, Spam oder Web-Downloads
versuchen sie, sich mittels eher konventioneller Methoden Zugriff zu Ihrem Netzwerk zu verschaffen. Diese Angriffe nehmen
ihren Anfang häufg als rafnierte Malware, die sich in gängigen Dateien wie Microsoft-Ofce-Dokumenten, PDFs oder
ausführbaren Dateien (z.B. Updates für gängige vertrauenswürdige Anwendungen) verbirgt. Hacker sind mittlerweile sehr geschickt darin, diese Dateien unbedenklich erscheinen zu lassen
oder die Malware so zu verschleiern, dass sie von herkömmlichem signaturbasiertem Virenschutz nicht erkannt wird.
Infolge dieser Entwicklung hin zu dateibasierter Malware
hat sich Sandboxing-Technologie zum unverzichtbaren Sicherheitsfeature an der Netzwerkgrenze entwickelt. Glücklicherweise muss für cloudbasiertes Sandboxing in der Regel keine
zusätzliche Hardware oder Software bereitgestellt werden – die
Technologie identifziert verdächtige Dateien einfach am Gateway und sendet diese an eine sichere Sandboxing-Infrastruktur
in der Cloud. Hier können aktive Inhalte kontrolliert ausgeführt
und ihr Verhalten überwacht werden. Sandboxing kann unbekannte Bedrohungen wie Ransomware-Angriffe bereits effektiv
blockieren, bevor diese ins Netzwerk gelangen.
Effektive Firewall- und Netzwerkkonfguration
Es muss berücksichtigt werden, dass IPS, Sandboxing und alle
anderen Schutzmassnahmen der Firewall nur effektiv gegen
Datenverkehr sind, der die Firewall auch tatsächlich passiert –
und sie greifen nur dann, wenn geeignete Durchsetzungs- und
Schutzrichtlinien auf die Regeln angewendet werden, die den
Datenverkehr steuern. Um die Verbreitung wurmartiger Angriffe in einem Netzwerk zu verhindern, sollten daher die folgenden Best Practices befolgt werden:
➤➤Grundlage für Next-Gen-IT-Schutz ist eine hochleistungsfähige Next-Gen Firewall IPS Engine inklusive SandboxingLösung.
➤➤Die Angriffsfläche soll so weit wie möglich reduziert werden,
indem alle Regeln zur Port-Weiterleitung geprüft und alle
nicht unbedingt notwendigen offenen Ports konsequent entfernt werden. Jeder offene Port stellt ein potentielles Sicherheitsrisiko für ein Netzwerk dar. Der externe Zugriff auf das
interne Netzwerk sollte nach Möglichkeit über VPN erfolgen
und keine Port-Weiterleitung haben.
➤➤Offene Ports müssen ordnungsgemäss geschützt werden, indem auf Regeln zur Steuerung dieses Datenverkehrs ein geeigneter IPS-Schutz angewendet wird.
➤➤Sandboxing-Technologie sollte für Web- und E-Mail-Datenverkehr vorhanden sein, um sicherzustellen, dass alle
verdächtigen aktiven Dateien von Web-Downloads sowie
E-Mail-Anhänge hinreichend auf schädliches Verhalten analysiert werden, bevor sie ins Netzwerk gelangen.
➤➤Das Risiko lateraler Bewegungen innerhalb des Netzwerks
kann minimiert werden, indem LANs in kleinere, isolierte
Zonen oder VLANs unterteilt werden, die von der Firewall
geschützt und miteinander verbunden sind. Wichtig ist die
Anwendung geeigneter IPS-Richtlinien auf die Regeln, über
die der Datenverkehr gesteuert wird, der diese LAN-Segmente passiert. So wird verhindert, dass Exploits, Würmer
und Bots sich zwischen LAN-Segmenten verbreiten.
➤➤Die automatische Isolation infzierter Systeme ist sehr effektiv.
Wenn eine Infektion eintritt, muss eine moderne IT-Security
Lösung in der Lage sein, kompromittierte
Systeme schnell zu erkennen und bis zu
ihrer Bereinigung automatisch oder durch
manuelles Eingreifen zu isolieren.
LANs segmentieren zur Minimierung lateraler Bewegungen
Im letzten Jahrzehnt haben sich Hacker
ein grosses Repertoire an automatisierten Angriffen zugelegt, das in Kombination mit bekannten Schwachstellen zum
Einsatz kam. Das Ziel waren schnelle
Angriffe, die Schutzmechanismen im
Netzwerk und am Endpoint umgehen.
Aktuelle Cyberattacken legen allerdings
sehr viel mehr Wert auf individualisierte
und manuelle Angriffe, vor allem auf
Netzwerke. Einmal über immer wieder
vernachlässigte Standard-Sicherheitsregeln, wie schwache Passwörter, im System, versuchen die Eindringlinge, auf
Admin-Ebene so viel Herrschaft über ein
System zu erlangen wie möglich, bevor
sie wirklich losschlagen. Und genau hier
kommt der klassischen Firmen-Firewall
eine ganz neue Rolle zu: Leider operieren viele Unternehmen mit einer flachen
Netzwerk-Topologie – alle Endpoints sind mit einem gemeinsamen Switch Fabric verbunden. Diese Topologie beeinträchtigt
den Schutz, da sie eine einfache laterale Bewegung und Verbreitung von Netzwerkangriffen innerhalb des Local Area Network
ermöglicht und die Firewall keine Transparenz oder Kontrolle
über den Datenverkehr erhält, der den Switch durchläuft.
Eine Strategie, die sich bewährt hat, ist, das LAN unter Verwendung von Zonen und VLANs in kleinere Subnetze zu segmentieren und diese dann durch die Firewall miteinander zu
verbinden. So wird eine Anwendung von Anti-Malware- und
IPS-Schutz zwischen Segmenten ermöglicht und Bedrohungen, die versuchen, sich lateral im Netzwerk zu bewegen, lassen sich effektiv identifzieren und blockieren. Ob Zonen oder
VLANs verwendet werden, hängt von der jeweiligen Segmentierungs-Strategie für das Netzwerk und dem Umfang der Segmentierung ab. Beide Varianten bieten die Möglichkeit, auf
Datenbewegungen zwischen Segmenten geeignete Sicherheitsund Kontrollmassnahmen anzuwenden. Zonen sind ideal für
kleinere Segmentierungs-Strategien und Netzwerke mit nicht
verwalteten Switches. VLANs sind in den meisten Fällen die
bevorzugte Methode zur Segmentierung interner Netzwerke
und bieten maximale Flexibilität und Skalierbarkeit. Allerdings
erfordern sie den Einsatz und die Konfguration verwalteter
Layer 3 Switches.
Die Netzwerksegmentierung ist eine bewährte Methode, es
gibt jedoch nicht die eine Ideallösung für alle Unternehmen.
Netzwerke können nach Benutzertyp (intern, extern, Gäste),
Abteilung (Vertrieb, Marketing, Engineering), Service, Gerät,
Rollentyp (VoIP, Wi-Fi, IoT, Computer, Server) oder nach jeder beliebigen Kombination segmentiert werden, die für die
vorliegende Architektur sinnvoll ist. Im Allgemeinen gilt, dass
weniger vertrauenswürdige sowie stark gefährdete Bereiche eines Netzwerks vom übrigen Netzwerk separiert und auch grö-
ssere Netzwerke in kleinere Segmente unterteilt werden sollten. So sinkt die Gefahr, dass Bedrohungen im Fall der Fälle in
weite Teile des Netzwerks vordringen und sich dort ausbreiten
können.
Wohin geht die Reise?
Vernetzung ist eine der Schlüsseltechnologien des 21. Jahrhunderts und hat mittlerweile Einfluss auf jeden Aspekt unseres Lebens. Egal ob Konferenzen, Musik hören, Kontakt mit Freunden
oder der Familie oder Autofahren – alles ist vernetzt. Entsprechend ist diese allumfassende Konnektivität natürlich auch fundamental für die IT-Infrastruktur von Unternehmen. Wir kreieren ständig neue Netzwerke, um alle Aspekte unseres Lebens zu
verbinden. Es geht darum, Teil eines grossen Ganzen zu sein,
isolierte Aktionen kommen mehr und mehr aus der Mode. Im
Arbeitsleben werden die Grenzen der Büroarbeit mehr und mehr
aufgelöst und der gesamte Workflow in ein reales globales Netzwerk eingespeist. Seien wir ehrlich – in den häufgsten Fällen, in
denen wir «Limitierter Zugang zu meinen E-Mails» in der Abwesenheitsnotiz schreiben, ist es eher eine willkommene Ausrede
als ein tatsächliches Problem fehlenden Netzzugangs.
Wenig überraschend wird genau jene Vernetzung von den Cyberkriminellen natürlich herzlich willkommen geheissen, da sie
viele, bislang verschlossene Tore öffnet. Mit Phishing E-Mails
wird erst einmal ein Fuss in die Tür gesetzt, ehe Malware eingeschleust und das gekaperte System systematisch im Stealth-Modus unterwandert wird. Ein einziges kompromittiertes Gerät
kann heutzutage dafür sorgen, das komplette Netzwerk Schachmatt zu setzen. Das immer grösser werdende IT-Netzwerk ist
also Fluch und Segen zugleich. Umso wichtiger ist es in Zukunft, dass Sicherheitsprodukte aktiv zusammenarbeiten, um
komplexe Angriffe zu stoppen. Moderne IT-Security-Strategien tauschen in Echtzeit Bedrohungs-, Integritäts- sowie Statusinformationen aus und reagieren automatisch auf Angriffe
– infzierte Systeme im Netzwerk werden zum Beispiel sofort
identifziert und bis zu ihrer Bereinigung isoliert. Ergänzende
Tools aus dem Bereich Künstliche Intelligenz sorgen zudem
für eine effektive Lateral Movement Detection, also das Aufdecken von Hackeraktivitäten, die zunächst einmal unter dem
Radar bleiben, um ein System möglichst umfänglich unter Kontrolle zu bekommen – und das ohne ein mehrköpfges IT-Sicherheitsteam, sondern mit einer zentral steuerbaren Konsole und
somit auch für KMU einsetzbar.