Security-Anbietercheck

Wie sich gezielte Angriffe abwehren lassen

Stefan Strobel ist Geschäftsführer der cirosec GmbH in Heilbronn.
Anwender erwarten die Zuverlässigkeit ihrer Security-Systeme und hoffen gleichzeitig, dass sie sie erst gar nicht brauchen. Je zielgerichteter heutige Cyberattacken werden, desto trügerischer ist diese Hoffnung. Wir geben Tipps, was IT-Verantwortliche gegen immer ausgefeiltere Angriffsvektoren tun können.

Firewalls und Virenschutzsysteme allein genügen nicht mehr, um in der heutigen Bedrohungslage sicher zu bleiben. Das zeigen bekannt gewordene Datendiebstähle und Spionagefälle der jüngsten Zeit. Zugleich bieten zahlreiche Hersteller von Sicherheitslösungen neue Produkte an, die vor sogenannten APTs ("Advanced Persistent Threats") schützen sollen. Gemeint sind gezielte und nachhaltige Angriffe von professionellen Hackern, die als Mitglieder oder im Auftrag krimineller Vereinigungen in Unternehmen einbrechen, um dort Daten zu stehlen oder Anlagen zu sabotieren.

Heutige Attacken sind zwar selten komplexer und hinterhältiger als frühere, dafür aber umso zielgerichteter auf ein bestimmtes Netzwerk ausgelegt. Das macht sie so gefährlich.
Heutige Attacken sind zwar selten komplexer und hinterhältiger als frühere, dafür aber umso zielgerichteter auf ein bestimmtes Netzwerk ausgelegt. Das macht sie so gefährlich.
Foto: Radim Strojek - Fotolia.com

Die Ausgangslage

Ein Angreifer, der gezielt in ein bestimmtes Unternehmen einbrechen möchte, wird sich Zeit nehmen und den einfachsten oder elegantesten Weg suchen, um die Kontrolle über die Server des Opfers zu übernehmen. Vor 15 bis 20 Jahren waren extern sichtbare Server oftmals noch voller Schwachstellen. Die Betriebssysteme wurden zu selten oder überhaupt nicht aktualisiert, Firewalls waren schlecht konfiguriert und ein Angreifer musste nur einen Schwachstellen-Scanner wie Nessus starten, um einen Schwachpunkt zu finden und dann mit öffentlich verfügbaren Angriffswerkzeugen die Server zu übernehmen. Diese Zeiten sind immerhin bei jenen Unternehmen vorbei, die einen kompetenten Sicherheitsbeauftragten und einen sinnvollen Patch-Management-Prozess etabliert haben.

Seit mindestens zehn Jahren verschiebt sich daher der Fokus von Angreifern weg von der Betriebssystemebene hin auf die Applikationsebene. Die externen Web-Applikationen vieler - vor allem mittelständischer - Unternehmen sind jedoch auch heute noch mit Techniken wie SQL Injection oder Cross-Site Scripting angreifbar. Bei zahlreichen mittelständischen Unternehmen sind Web Application Firewalls (WAFs) nach wie vor eher selten im Einsatz und viele Firme nehmen nicht einmal jährlich Penetrationstests vor.

Ungeachtet dieser Defizite im Mittelstand haben Cyber-Kriminelle auch ihre Angriffstechniken auf Endgeräte von Benutzern weiterentwickelt. Dort kann man heute auch Unternehmen erfolgreich angreifen, die in den letzten Jahren ihre Hausaufgaben gemacht haben und bei denen externe Server und Web-Applikationen gut gesichert sind.

Anwender müssen in der Regel per Mail mit externen Personen kommunizieren können, und auch der Zugriff auf externe Webserver gehört heute zur alltäglichen Büroarbeit. Doch leider enthalten Hilfsprogramme wie PDF-Viewer, Flash Player, Java-Interpreter, die Office-Produkte, Webbrowser selbst und zahlreiche andere Plug-ins immer wieder neue Schwachstellen. Genau diese Schwachstellen nutzen Kriminelle aus: Sie versenden gezielte und echt aussehende Phishing-Mails und locken Anwender auf Webseiten mit individueller Malware.

Virenscanner, die auf den PCs der Anwender oder auf Sicherheits-Gateways in der Firewall-Umgebung des Unternehmens installiert sind, können diese Probleme nicht lösen, denn sie erkennen nur bereits bekannte Malware. Die Angreifer entwickeln aber stets neue Varianten ihrer Viren, Trojaner und Rootkits und bleiben auf diese Weise lange Zeit unentdeckt.

Sandbox-Analyse

Die neuen Lösungen, die dieses Problem adressieren, setzen an unterschiedlichen Stellen an. Am bekanntesten ist momentan die Analyse von übertragenen Objekten in einer gesicherten virtuellen Maschine oder Sandbox in der Firewall-Umgebung, bezeichnet als "Sandbox-Analyse". Ein Sensor kopiert alle Dokumente beziehungsweise Objekte, die von Webseiten heruntergeladen werden oder an eingehenden Mails angehängt sind. Diese Objekte werden in einer abgeschotteten Sandbox auf einem zentralen System gespeichert und dort automatisch geöffnet oder zur Ausführung gebracht. Dabei überwacht ein Sicherheitssystem alle Aktivitäten in der Sandbox. Wenn nun Systemeinstellungen manipuliert werden, Code aus dem Internet nachgeladen oder sonstiges bösartiges Verhalten erkannt wird, geht man davon aus, dass es sich um Malware handelt.

Damit diese Analyse nicht mehrfach nötig wird, speichert das System eine Prüfsumme mit dem Analyseergebnis. So lässt sich das Objekt wiedererkennen, wenn es ohne Veränderung nochmals heruntergeladen wird oder einer Mail angehängt ist. Im Wiederholungsfall kann ein bereits zuvor analysiertes und als gefährlich eingestuftes Objekt dann auch direkt blockiert werden.

Diese Information - das Analyseergebnis der Malware und seine Prüfsumme - fällt unter den Überbegriff "Threat Intelligence". Die meisten Hersteller bieten ihren Kunden zusätzlich zu dem Analyse-System auch eine Cloud-Plattform, über die Threat Intelligence ausgetauscht werden kann. Damit können die Kunden des Herstellers von Informationen über bereits analysierte Malware anderer Kunden profitieren.

Beim ersten Auftreten einer neuen Malware steht jedoch eine neue Analyse an. Da diese Analyse einige Zeit benötigt, ist es üblich, die Anwender nicht warten zu lassen. Folglich kommt die erste Übertragung in der Regel beim Anwender an, bevor die Analyse fertiggestellt werden konnte. Eine Sandbox-Analyse-Funktion bietet deshalb lediglich einen begrenzten vorausschauenden Schutz und dient vielmehr der Erkennung von Malware.

Bereits wieder unsicher

Doch auch der Wert der Erkennung sinkt bereits, da die die Autoren von Malware und die Kriminellen, die diese verbreiten, inzwischen verstanden haben, wie eine Sandbox-Analyse funktioniert. Entsprechend ändern sie das Verhalten ihrer Angriffsprogramme, damit sie nicht mehr so einfach erkannt werden können. Dazu können sie beispielsweise eine Eingabe des Benutzers fordern, die von der automatisierten Sandbox-Analyse-Komponente nicht geliefert werden kann. Im einfachsten Fall kann das ein vorgetäuschter Lizenzschlüssel oder ein Passwort sein, das in einer separaten Mail an den Empfänger gesendet wird. Ein Anwender in der Personalabteilung wird sich vermutlich nicht einmal wundern, wenn ein Bewerber seine Unterlagen als verschlüsseltes Archiv sendet und das zugehörige Passwort in einer separaten Mail liefert. Sofern die Bewerbungsunterlagen Schadcode enthalten, kann der PC des Mitarbeiters nun kompromittiert werden. Für eine Sandbox-Analyse-Komponente wird es allerdings schwierig, das richtige Passwort automatisch einzugeben und den Schadcode zu erkennen.

Sandbox-Analyse-Funktionen werden heute von zahlreichen Herstellern angeboten. Firewall-Hersteller wie Check Point oder Palo Alto Networks haben eigene Module für ihre Firewalls. WatchGuard integriert die Lösung von Lastline in seine Firewall. Der Proxy-Hersteller Blue Coat hat dafür die Norman-Sandbox aufgekauft. Cisco bietet sein FireAMP-Produkt, und Hersteller wie FireEye, Cyphort, AhnLab, Lastline und andere haben eigenständige Appliances beziehungsweise Software-Lizenzen.