Schlägt das Thema Cyberattacken via DNS in Unternehmen auf, treten die Zuständigen an die Security-Hersteller heran und sagen: Wir möchten unsere DNS-Infrastruktur absichern. Was dabei konkret gemeint ist, sind eigentlich drei Dinge: Das eine sind DDoS-Attacken, was für alle Organisationen relevant ist, die mit externer Internetpräsenz arbeiten. Besonders wichtig ist eine Absicherung aber für Unternehmen, die ihren Umsatz direkt über ihre Webpräsenz generieren, beispielsweise Online-Shops. Wollen sie keine Umsatzeinbußen samt Imageschaden riskieren, sollten sie unbedingt darauf achten, dass ihre Online-Präsenzen nicht in unabsehbare Downtimes gedrängt werden - worauf es DDoS-Angriffe ja gerade anlegen.
Foto: kentoh - shutterstock.com
Unbemerkte Kontaktaufnahme zu C&C-Servern
Zweitens brennen den Unternehmen die Themen Data Exfiltration und Data Infiltration über DNS auf den Nägeln. Lange war diese gefährliche Sicherheitslücke, durch die Daten nahezu unbemerkt hin- und hergeschoben werden können, relativ unbekannt. Allerdings ist diese Schwachstelle in den meisten Unternehmen noch immer ungesichert - trotz Next-Generation-Firewalls und Co. Deswegen wird sie zunehmend von Hackern aktiv ausgenutzt. Denn die einzelnen Teile eines DNS-Requests, in denen raffinierte Cyber-Kriminelle kleine Datenpakete zum Hin- und Hertransport verstecken, passieren viele Sicherheitstools meist problemlos.
Drittens bereitet Malware vielen Organisationen zunehmend Bauchschmerzen: Clients, die über Fake-Webseiten, USB-Sticks oder Mailanhänge infiziert wurden, nehmen aus dem Unternehmen heraus Kontakt zu externen Command-and-Control-Servern (C&C-Server) auf und empfangen Anweisungen von diesen, zum Beispiel zur Spionage oder zum Zerstören von Dateien. Der Weg der fatalen Kommunikation zwischen den unbemerkt verbundenen Servern: das DNS.
- Schützen Sie Ihr Unternehmen gegen DDoS-Attacken
Die Frequenz und der Umfang von DDoS-Attacken nehmen täglich zu. Aufgrund der steigenden Popularität dieser Angriffe sollten Unternehmen frühzeitig Abwehrmaßnahmen in Stellung bringen. Denn schlechte Netzwerkperformance sowie Ausfälle der Website und der Applikationen verursachen nicht nur hohe Kosten, sondern auch einen nicht zu unterschätzenden Reputationsverlust. Die gute Nachricht: Es gibt Maßnahmen, um den negativen Effekt zu minimieren. Markus Härtner, Senior Director Sales bei <a href="https://f5.com/">F5 Networks</a> gibt Ihnen zehn Tipps zur Hand, wie Sie die Auswirkungen einer Attacke auf Ihr Unternehmen gering halten. - 1. Angriff verifizieren
Zunächst gilt es, Gründe wie DNS-Fehlkonfiguration, Probleme beim Upstream-Routing oder menschliches Versagen definitiv auszuschließen. - 2. Teamleiter informieren
Die für Betriebsabläufe und Applikationen zuständigen Teamleiter müssen die angegriffenen Bereiche identifizieren und die Attacke "offiziell" bestätigen. Dabei ist es wichtig, dass sich alle Beteiligten einig sind und kein Bereich übersehen wird. - 3. Ressourcen bündeln
Ist ein Unternehmen einer massiven DDoS-Attacke ausgesetzt, müssen zügig die wichtigsten Anwendungen bestimmt und am Laufen gehalten werden. Bei begrenzten Ressourcen sollten sich Unternehmen auf die Applikationen konzentrieren, die den meisten Umsatz generieren. - 4. Remote-User schützen
Durch Whitelisting der IP-Adressen von berechtigten Nutzern haben diese weiterhin Zugriff auf die Systeme, und die Geschäftskontinuität wird aufrechterhalten. Diese Liste sollte im Netzwerk und gegebenenfalls an den Service Provider weitergereicht werden. - 5. Attacke klassifizieren
Um welche Art von Angriff handelt es sich? Volumetrisch oder langsam und unauffällig? Ein Service Provider informiert seinen Kunden gewöhnlich, wenn es sich um eine volumetrische Attacke handelt, und hat dann bestenfalls schon Gegenmaßnahmen eingeleitet. - 6. Bestimmte IP-Adressenbereiche blockieren
Bei komplexen Angriffen kann es sein, dass der Service Provider die Quellenanzahl nicht bestimmen und die Attacke nicht abwehren kann. Dann empfiehlt es sich, identifizierte IP-Adressen von Angreifern direkt an der Firewall zu blockieren. Größere Angriffe lassen sich per Geolocation – dem Verbot des Zugriffs auf die Unternehmensserver aus bestimmten Regionen – bekämpfen. - 7. Angriffe auf Applikationslayer abwehren
Zunächst gilt es, den bösartigen Traffic zu identifizieren und festzustellen, ob dieser von einem bekannten Angriffstool stammt. Spezifische Attacken auf Applikationsebene lassen sich auf Fall-zu-Fall-Basis mit gezielten Gegenmaßnahmen abwehren – dazu sind möglicherweise die schon vorhandenen Security-Lösungen in der Lage. - 8. Sicherheitsperimeter richtig einsetzen
Sollte es immer noch Probleme geben, liegt das potenziell an einer asymmetrischen Layer-7-DDoS-Flut. In diesem Fall ist es sinnvoll, sich auf die Verteidigung der Applikationen zu konzentrieren, und zwar mittels Login-Walls, Human Detection und Real Browser Enforcement. - 9. Ressourcen einschränken
Sollten sich alle vorherigen Schritte als unwirksam herausstellen, ist die Begrenzung von Ressourcen, wie die Übertragungsrate und die Verbindungskapazitäten, eine letzte – radikale – Möglichkeit. Eine solche Maßnahme hält den schlechten, aber auch den guten Traffic ab. Stattdessen können Applikationen auch deaktiviert oder in den Blackhole-Modus geschaltet werden – dann läuft der Angriff ins Leere. - 10. Kommunikation planen
Gelangen Informationen über den Angriff an die Öffentlichkeit, sollten die Mitarbeiter informiert und eine offizielle Stellungnahme vorbereitet werden. Sofern es die Unternehmensrichtlinien erlauben, empfiehlt es sich, die Attacke zuzugeben. Andernfalls können „technische Probleme“ kommuniziert werden. Mitarbeiter sollten auf jeden Fall die Anweisung bekommen, sämtliche Anfragen an die PR-Abteilung weiterzuleiten.
Umgehende Quarantäne nach Treffer in der Threat-Datenbank
Nachdem die Threat-Szenarien immer ausgefeilter werden und sich in immer schnellerer Schlagzahl weiterentwickeln, sollte alles, was mit DNS-Anfragen zu tun hat, konsequent abgesichert werden. Sehr hilfreich dabei sind aktuelle Threat Intelligence Services. So lassen sich Malware und Co. in der Regel rechtzeitig erkennen und unschädlich machen, bevor größerer Schaden angerichtet wird. Jedenfalls dann, wenn die Threat-Datenbanken mit bekannten bösartigen Domainnamen, IP-Adressen und URLs möglichst vollständig und immer up-to-date sind. Sobald ein DNS-Request ein Unternehmen verlässt, sollte - im Idealfall automatisiert und in Echtzeit - überprüft werden, ob das digitale "Gegenüber" unbedenklich ist, ob die angesteuerte Domain oder IP-Adresse zum Beispiel Fake oder bekanntermaßen schädlich ist, oder ob Anzeichen einer Gefährdung vorliegen, auch wenn die konkrete Adresse (noch) nicht auffällig geworden ist. Liegt ein entsprechender "Treffer" vor, sollte der Administrator umgehend darüber informiert werden, dass Malware oder Ähnliches im Netz vorhanden ist, bzw. sollte parallel eine automatische Quarantäne greifen.
Microsoft Management Reporting und Cloud-basierte Tools unterstützen DNS-Absicherung
Doch so wichtig umfassende DNS Security ist: Sie ist keine Selbstverständlichkeit. Wer zum Beispiel mit MS Management DNS und DHCP über Microsoft macht, bekommt zwar einen gewissen Service zur DNS-Absicherung mit. Doch dieser ist in seiner Basis nicht besonders umfänglich. So sind darin nur einige zehntausend bekannte Threat-Adressen verzeichnet, während die Gefährdungslandschaft längst mehrere Millionen umfasst. Sinnvoll ist es daher in diesem Fall ein Microsoft Management Reporting einzuführen, mit dem auf Microsoft AD-Servern die ganzen DNS- und DHCP-Logs ausgewertet werden. So wird mehr Wissen über DNS und DHCP vermittelt, als es in der Microsoft-Basis eigentlich angelegt ist.
Wer so vorgeht und idealerweise noch eine konsequente Threat-Intelligence-Strategie fährt, der kann - eventuell auch Cloud-basiert - erkennen: Hier hat zum Beispiel ein Endsystem mit Malware einen DNS-Request losgeschickt. Im Zusammenspiel mit dem Microsoft Management Reporting lässt sich das herunterbrechen bis auf den infizierten Client, beziehungsweise die betroffene IP-Adresse im Netzwerk.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Mobile Nutzer stehen verstärkt im Focus von Angreifern
Stichwort Cloud: Gerade für mobile Nutzer kann DNS-Security als Cloud-Service besonders sinnvoll sein. Denn auch, wenn Unternehmen sich bereits mit dem Thema DNS-Absicherung befasst haben, denken viele dabei vor allem an ihre stationären User, die sich im Unternehmensnetzwerk befinden und dort auch (z. B. mit einer On-Premise-Lösung zur DNS-Security) abgesichert sind. Aber was ist mit den mobilen Nutzern und ihren Geräten? Eine Möglichkeit ist es, die abzusichernden Devices mit einem Client auszustatten, der automatisiert ein Forwarding zu einem entsprechenden Cloud-Dienst ausführt: In diesem werden die DNS-Requests ohne installierte Software, sondern Cloud-basiert analysiert, so dass auch mobile Nutzer in der DNS-Kommunikation unabhängig vom Standort abgesichert sind - und nicht nur stationäre Mitarbeiter, etwa im Headquarter oder an einem bestimmten Produktionsstandort. (hal)