Proaktive und intelligente IT-Sicherheit für KMU

2. März 2019 - Von Michael Veit

Lateral Movement Detection, Künstliche Intelligenz, EDR – diese Stichworte sind zurzeit die "Helden" der IT-Security, stellen gerade kleine und mittlere Unternehmen aber vor scheinbar unüberwindbare Hürden. Doch die neue Technologie­generation ist mittlerweile auch für Firmen ohne grosses IT-Team einsetzbar.


Die ständigen Schlagzeilen über gehackte Firmenrechner oder milliardenfache Datensatz-Beutezüge lassen bereits erahnen, dass die IT-Sicherheit in Unternehmen an einem Scheideweg steht. Bisherige Best-of-Breed-Ansätze verlieren mehr und mehr an Wirkung, IT-Sicherheit in Silos, also in voneinander getrennten Systemen, stösst zunehmend an ihre Grenzen. Schlagworte wie EDR (Endpoint Detection and Response), Machine Learning oder Lateral Movement Detection tauchen immer häufiger auf und dürfen mittlerweile auch von KMU nicht mehr ignoriert werden. Das Gute daran: diese modernen Technologien sind mittlerweile auch für kleine Betriebe durchaus erschwinglich und vor allem auch ohne ein Heer an IT-Fachkräften einsetzbar.

Das Rückgrat dieser übergreifenden IT-Security-Strategie sind moderne Firewalls, wobei es aber nicht nur darum geht, eine solche Hardware sein Eigen zu nennen. Jeder gute Netzwerk-Admin wird mit der Aussage übereinstimmen, dass der Besitz einer Firewall bei weitem nicht das Gleiche ist, wie das Beste aus der Hardware herauszuholen. Nur wer sich und seine Hardware an die ständig ändernde Gefahrenlandschaft anpasst, kann neuartige Angriffe wie beispielsweise die aktuelle Ransomware-Welle erfolgreich abwehren. Denn selbst in den gewissenhaftesten Unternehmen besteht immer eine gewisse zeitliche Verzögerung zwischen der Aufdeckung einer Schwachstelle und der Installation eines Patches. Deshalb ist es so wichtig, effektive Next-Gen-Technologien zu implementieren. Nur so bleiben Netzwerke und Endpoints vor Angriffen geschützt, bei denen neue und zum Teil noch unbekannte Schwachstellen ausgenutzt werden sollen. Wie kann ein KMU nun aber dafür sorgen, dass diese Angriffe gar nicht erst ins Netzwerk gelangen? Und wie können IT-Admins eine Ausbreitung auf andere Systeme und laterale Bewegungen verhindern, falls ein Angriff doch einmal die Netzwerkgrenze durchbrechen sollte?


Netzwerk-Exploits erkennen und eindämmen

Ein IPS (Intrusion Prevention System) ist in jeder Next-Gen Firewall eine unverzichtbare Komponente. Es nimmt eine Deep Packet Inspection des Netzwerkverkehrs vor und kann Schwachstellen-Exploits so bereits identifizieren und blockieren, bevor diese ihren Ziel-Host erreichen. Das IPS sucht nach Mustern oder Unregelmässigkeiten im Code, die entweder mit einem spezifischen Exploit oder einer breiter gestreuten Zielschwachstelle übereinstimmen. In der Regel versuchen solche Angriffe, schädliche Eingaben an eine Host-Anwendung oder einen Service zu senden, um diese zu kompromittieren und eine gewisse Kontrolle zu erlangen. Das finale Ziel besteht darin, Code auszuführen – im Fall von Wanna und Petya zum Beispiel einen Ransomware Payload.

Während sich Wanna und Petya wie Würmer verbreiten, setzen viele Ransomware-Varianten auf Social-Engineering-­Tricks. Über Phishing-E-Mails, Spam oder Web-Downloads versuchen sie, sich mittels eher konventioneller Methoden Zugriff zu Ihrem Netzwerk zu verschaffen. Diese Angriffe nehmen ihren Anfang häufig als raffinierte Malware, die sich in gängigen Dateien wie Microsoft-Office-Dokumenten, PDFs oder ausführbaren Dateien (z.B. Updates für gängige vertrauenswürdige Anwendungen) verbirgt. Hacker sind mittlerweile sehr geschickt darin, diese Dateien unbedenklich erscheinen zu lassen oder die Malware so zu verschleiern, dass sie von herkömmlichem signaturbasiertem Virenschutz nicht erkannt wird.

Infolge dieser Entwicklung hin zu dateibasierter Malware hat sich Sandboxing-Technologie zum unverzichtbaren Sicherheitsfeature an der Netzwerkgrenze entwickelt. Glücklicherweise muss für cloudbasiertes Sandboxing in der Regel keine zusätzliche Hardware oder Software bereitgestellt werden – die Technologie identifiziert verdächtige Dateien einfach am Gateway und sendet diese an eine sichere Sandboxing-Infrastruktur in der Cloud. Hier können aktive Inhalte kontrolliert ausgeführt und ihr Verhalten überwacht werden. Sandboxing kann unbekannte Bedrohungen wie Ransomware-Angriffe bereits effektiv blockieren, bevor diese ins Netzwerk gelangen.


Effektive Firewall- und Netzwerkkonfiguration

Es muss berücksichtigt werden, dass IPS, Sandboxing und alle anderen Schutzmassnahmen der Firewall nur effektiv gegen Datenverkehr sind, der die Firewall auch tatsächlich passiert – und sie greifen nur dann, wenn geeignete Durchsetzungs- und Schutzrichtlinien auf die Regeln angewendet werden, die den Datenverkehr steuern. Um die Verbreitung wurmartiger Angriffe in einem Netzwerk zu verhindern, sollten daher die folgenden Best Practices befolgt werden:
• Grundlage für Next-Gen-IT-Schutz ist eine hochleistungs­fähige Next-Gen Firewall IPS Engine inklusive Sandboxing-­Lösung.
• Die Angriffsfläche soll so weit wie möglich reduziert werden, indem alle Regeln zur Port-Weiterleitung geprüft und alle nicht unbedingt notwendigen offenen Ports konsequent entfernt werden. Jeder offene Port stellt ein potentielles Sicherheitsrisiko für ein Netzwerk dar. Der externe Zugriff auf das interne Netzwerk sollte nach Möglichkeit über VPN erfolgen und keine Port-Weiterleitung haben.
• Offene Ports müssen ordnungsgemäss geschützt werden, indem auf Regeln zur Steuerung dieses Datenverkehrs ein geeigneter IPS-Schutz angewendet wird.
• Sandboxing-Technologie sollte für Web- und E-Mail-Datenverkehr vorhanden sein, um sicherzustellen, dass alle verdächtigen aktiven Dateien von Web-Downloads sowie E-Mail-­Anhänge hinreichend auf schädliches Verhalten analysiert werden, bevor sie ins Netzwerk gelangen.
• Das Risiko lateraler Bewegungen innerhalb des Netzwerks kann minimiert werden, indem LANs in kleinere, isolierte Zonen oder VLANs unterteilt werden, die von der Firewall geschützt und miteinander verbunden sind. Wichtig ist die Anwendung geeigneter IPS-Richtlinien auf die Regeln, über die der Datenverkehr gesteuert wird, der diese LAN-Segmente passiert. So wird verhindert, dass Exploits, Würmer und Bots sich zwischen LAN-Segmenten verbreiten.
• Die automatische Isolation infizierter Systeme ist sehr effektiv. Wenn eine Infektion eintritt, muss eine moderne IT-Security-­Lösung in der Lage sein, kompromittierte Systeme schnell zu erkennen und bis zu ihrer Bereinigung automatisch oder durch manuelles Eingreifen zu ­isolieren.


LANs segmentieren zur Mini­mierung lateraler Bewegungen

Im letzten Jahrzehnt haben sich Hacker ein grosses Repertoire an automatisierten Angriffen zugelegt, das in Kombination mit bekannten Schwachstellen zum Einsatz kam. Das Ziel waren schnelle Angriffe, die Schutzmechanismen im Netzwerk und am Endpoint umgehen. Aktuelle Cyberattacken legen allerdings sehr viel mehr Wert auf individualisierte und manuelle Angriffe, vor allem auf Netzwerke. Einmal über immer wieder vernachlässigte Standard-Sicherheitsregeln, wie schwache Passwörter, im System, versuchen die Eindringlinge, auf Admin-Ebene so viel Herrschaft über ein System zu erlangen wie möglich, bevor sie wirklich losschlagen. Und genau hier kommt der klassischen Firmen-Firewall eine ganz neue Rolle zu: Leider operieren viele Unternehmen mit einer flachen Netzwerk-Topologie – alle Endpoints sind mit einem gemeinsamen Switch Fabric verbunden. Diese Topologie beeinträchtigt den Schutz, da sie eine einfache laterale Bewegung und Verbreitung von Netzwerkangriffen innerhalb des Local Area Network ermöglicht und die Fire­wall keine Transparenz oder Kontrolle über den Datenverkehr erhält, der den Switch durchläuft.

Eine Strategie, die sich bewährt hat, ist, das LAN unter Verwendung von Zonen und VLANs in kleinere Subnetze zu segmentieren und diese dann durch die Firewall miteinander zu verbinden. So wird eine Anwendung von Anti-Malware- und IPS-Schutz zwischen Segmenten ermöglicht und Bedrohungen, die versuchen, sich lateral im Netzwerk zu bewegen, lassen sich effektiv identifizieren und blockieren. Ob Zonen oder VLANs verwendet werden, hängt von der jeweiligen Segmentierungs-Strategie für das Netzwerk und dem Umfang der Segmentierung ab. Beide Varianten bieten die Möglichkeit, auf Datenbewegungen zwischen Segmenten geeignete Sicherheits- und Kontrollmassnahmen anzuwenden. Zonen sind ideal für kleinere Segmentierungs-Strategien und Netzwerke mit nicht verwalteten Switches. VLANs sind in den meisten Fällen die bevorzugte Methode zur Segmentierung interner Netzwerke und bieten maximale Flexibilität und Skalierbarkeit. Allerdings erfordern sie den Einsatz und die Konfiguration verwalteter Layer 3 Switches.

Die Netzwerksegmentierung ist eine bewährte Methode, es gibt jedoch nicht die eine Ideallösung für alle Unternehmen. Netzwerke können nach Benutzertyp (intern, extern, Gäste), Abteilung (Vertrieb, Marketing, Engineering), Service, Gerät, Rollentyp (VoIP, Wi-Fi, IoT, Computer, Server) oder nach jeder beliebigen Kombination segmentiert werden, die für die vorliegende Architektur sinnvoll ist. Im Allgemeinen gilt, dass weniger vertrauenswürdige sowie stark gefährdete Bereiche eines Netzwerks vom übrigen Netzwerk separiert und auch grössere Netzwerke in kleinere Segmente unterteilt werden sollten. So sinkt die Gefahr, dass Bedrohungen im Fall der Fälle in weite Teile des Netzwerks vordringen und sich dort ausbreiten ­können.


Wohin geht die Reise?

Vernetzung ist eine der Schlüsseltechnologien des 21. Jahrhunderts und hat mittlerweile Einfluss auf jeden Aspekt unseres Lebens. Egal ob Konferenzen, Musik hören, Kontakt mit Freunden oder der Familie oder Autofahren – alles ist vernetzt. Entsprechend ist diese allumfassende Konnektivität natürlich auch fundamental für die IT-Infrastruktur von Unternehmen. Wir kreieren ständig neue Netzwerke, um alle Aspekte unseres Lebens zu verbinden. Es geht darum, Teil eines grossen Ganzen zu sein, isolierte Aktionen kommen mehr und mehr aus der Mode. Im Arbeitsleben werden die Grenzen der Büroarbeit mehr und mehr aufgelöst und der gesamte Workflow in ein reales globales Netzwerk eingespeist. Seien wir ehrlich – in den häufigsten Fällen, in denen wir "Limitierter Zugang zu meinen E-Mails" in der Abwesenheitsnotiz schreiben, ist es eher eine willkommene Ausrede als ein tatsächliches Problem fehlenden Netzzugangs.

Wenig überraschend wird genau jene Vernetzung von den Cyberkriminellen natürlich herzlich willkommen geheissen, da sie viele, bislang verschlossene Tore öffnet. Mit Phishing E-Mails wird erst einmal ein Fuss in die Tür gesetzt, ehe Malware eingeschleust und das gekaperte System systematisch im Stealth-Modus unterwandert wird. Ein einziges kompromittiertes Gerät kann heutzutage dafür sorgen, das komplette Netzwerk Schachmatt zu setzen. Das immer grösser werdende IT-Netzwerk ist also Fluch und Segen zugleich. Umso wichtiger ist es in Zukunft, dass Sicherheitsprodukte aktiv zusammenarbeiten, um komplexe Angriffe zu stoppen. Moderne IT-Security-Strategien tauschen in Echtzeit Bedrohungs-, Integritäts- sowie Statusinformationen aus und reagieren automatisch auf Angriffe – infizierte Systeme im Netzwerk werden zum Beispiel sofort identifiziert und bis zu ihrer Bereinigung isoliert. Ergänzende Tools aus dem Bereich Künstliche Intelligenz sorgen zudem für eine effektive Lateral Movement Detection, also das Aufdecken von Hackeraktivitäten, die zunächst einmal unter dem Radar bleiben, um ein System möglichst umfänglich unter Kontrolle zu bekommen – und das ohne ein mehrköpfiges IT-Sicherheitsteam, sondern mit einer zentral steuerbaren Konsole und somit auch für KMU einsetzbar.


Der Autor

Michael Veit ist Security Evangelist bei Sophos. Nach seinem Studium der Wirtschaftsinformatik an der TU Darmstadt bestanden seine Aufgaben bei einem Systemhaus neben der Leitung des Bereiches IT Security vor allem im Design, der Implementierung und der Überprüfung von IT-Security-Infrastrukturen. Er verfügt über mehr als 20 Jahre Erfahrung im IT-Security-Umfeld und ist seit 2008 bei Sophos in Wies­baden tätig, wo zu seinen Aufgaben auch die Teamleitung im Bereich Sales ­Engineering zählte. Heute spricht er auf zahlreichen Veranstaltungen zum Thema IT-Sicherheit.

Copyright by Swiss IT Media 2019