Tipps und Denkanstöße zur IT-Sicherheit von Palo Alto Networks
– Zehn entscheidende Aspekte einer zeitgemäßen Cybersicherheitslösung –
München, den 22.Oktober 2015 – Bei Cyberbedrohungen ist die einzige Konstante der Wandel. Aus der täglichen Praxisweiß Palo Alto Networks: Cyberkriminelle wenden immer innovativere Bedrohungstaktiken an, um ins Unternehmensnetzwerk einzudringen und Daten zu stehlen. In den Anfangszeiten der Computerkriminalität hingegen wurden lediglich Hacker-Tools und Techniken entwickelt, um bekannte Sicherheitsmechanismen zu umgehen. Heute aber haben es Sicherheitsanbieter und Sicherheitsteams in Unternehmen und Behörden immer häufiger mit fortschrittlichen, gezielten Angriffen zu tun.
„Hacker wenden reichlich Zeit auf für die Beobachtung eines speziellen Ziels, um die Bedrohungstaktik anzupassen. Die größte Herausforderung für Sicherheitsteams heute ist es, Schritt zu halten mit den neuen Angriffstechniken und sich gegen fortschrittliche Bedrohungen effektiv zu verteidigen“, berichtet Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Sicherheitsunternehmen müssen eine Lösungsarchitektur bieten, die in der Lage ist, sich dynamisch an den ständigen Wandel anzupassen.“
Palo Alto Networks rät Unternehmen, auf diese zehn Funktionen und Regeln zu achten:
1) Erzwingen erlaubter Interaktionen zwischen Daten und Benutzern
Das Netzwerk ist der Kern des Unternehmens. Wie eine virtuelle Autobahn verbindet es Benutzer und Kunden – und steigert damit die Produktivität. Daten sind ständig auf der Durchreise und weil die Quellen, Ziele und Wege immer häufiger virtualisiert sind, ist der Netzwerkverkehr zunehmend komplexer. Netzwerkverbindungen, die zu geschäftskritischen Daten führen, müssen daher geschützt werden. Angreifer suchen nach dem einfachsten Weg, etwa über Geräte und Anwendungen, um an die Daten zu kommen. Die Vielfalt ungesicherter Zugangspunkte und mobiler Geräte macht die Sache einfacher für sie. Die Wege in und aus den Datenspeichern haben sich deutlich erhöht infolge immer mehr Niederlassungen, der Nutzung privater und öffentlicher Cloud-Umgebungen und einer größeren Anzahl von Remote-Benutzern. Damit steigt auch das Risiko. Um die Anzahl der Angriffe, denen das Netzwerk und die Daten ausgesetzt sind, zu verringern, gilt es die Angriffsfläche zu reduzieren.
Die Sicherheitslösung muss die zugelassenen Interaktionen zwischen Benutzern und Daten detailliert identifizieren können. Es gilt durch Regeln festzulegen, welche Daten geschützt werden sollen, wo diese vorgehalten werden, wie sie genutzt werden sollen und von wem.
2) Identifizierung von Bedrohungen für alle Anwendungen, Ports, Benutzer und Geräte
Die Gegner wollen nicht erkannt werden. Sie greifen auf Anwendungen zurück, die Port-Hopping betreiben oder Nicht-Standard-Ports verwenden. Sie verstecken ihre Angriffstechniken im SSL-Datenverkehr und auf scheinbar legitimen Webseiten, unter Verwendung von Protokollen, die nicht erwartet werden, und verkleiden ihre Malware in gutartig erscheinenden Dateien. Wenn eine Sicherheitslösung Anwendungsbedrohungen nur auf bestimmten Ports identifizieren kann oder die Sandbox-Lösung nur HTTP- und SMTP-Protokolle unterstützt, können viele dieser Bedrohungen nicht erkannt werden. Daten sind ständig in Bewegung, von physischen und virtuellen Standorten über eine ganze Reihe von verschiedenen Ports, Protokollen und Anwendungen hinweg. Machine-to-Machine-Kommunikation stellt einen Angriffsvektor für die seitliche Bewegung dar, die nur selten überwacht wird. Daten werden hin und her bewegt, etwa von Überwachungskameras, virtuellen Maschinen in der Cloud sowie über SaaS-Anwendungen, POS-Geräte und Drucker.
Eine vollständige („End-to-End“) Erfassung aller Anwendungen, Benutzer und Geräte an allen Standorten, in und außerhalb des Unternehmensnetzwerks ist daher zwingend notwendig für eine effektive Cybersicherheitsstrategie. Es gilt davon auszugehen, dass jede Anwendung Bedrohungen in sich tragen und jeden Port nutzen kann. Daher muss ein- und ausgehender Datenverkehr auf sowohl gewöhnliche als auch ungewöhnliche Protokolle wie POP, IMAP und FTP inspiziert werden. Auch Microsoft Office-, PDF- und Adobe Flash-Dateien sowie Android-APKs können gefährlich sein. Der Verkehr sollte selektiv entschlüsselt werden mit SSL und komprimierte Dateien regelmäßig zur Inspektion entpackt werden.
3) Daten schützen in mehreren Stufen des Angriffslebenszyklus
Alle Angriffe bestehen aus mehreren aneinandergereihten Stufen, die den Angriffslebenszyklus bilden. Allerdings müssen alle Phasen erfolgreich sein, damit das Ziel des Angreifers erfüllt werden kann. Die vier wichtigsten Phasen, in denen Angriffe verhindert werden können sind: Lieferung, Ausnutzung der Schwachstelle, Installation der Malware sowie Steuerung & Kontrolle. Stand-alone-Sicherheitstools, wie herkömmliche IPS oder Web-Proxies, die allein auf eine dieser Stufen abzielen, reichen nicht, vor allem wenn neue oder unbekannte Techniken eingesetzt werden.
Eine wirksame Präventionsstrategie beinhaltet aufeinander abgestimmte Technologien, die Angriffe in jedem Stadium verhindern und bekannte Techniken unterbinden kann, bevor der Angreifer sein Ziel erreicht. Dies umfasst das Blockieren der Auslieferung bösartiger Dateien über kompromittierte Webseiten, den Schutz vor Exploits Kits und Software-Schwachstellen, das Stoppen der Installation und des Ausführens von Dateien, die bekannte Malware enthalten, das Unterbinden von Command&Control-Kommunikation nach außen und die Beschränken der seitlichen Bewegung durch Segmentierung. Die Reduzierung der Angriffsfläche, verbunden mit vollständiger Transparenz und Präventionsmechanismen in jeder Angriffsphase, tragen entscheidend dazu bei, dass das Netzwerk sicher bleibt.
4) Abwehr fortschrittlicher Bedrohungen, die speziell entwickelt wurden, um Sicherheitstools zu umgehen
Fortschrittliche Bedrohungen werden entworfen, um Verteidigungsmaßnahmen zu umgehen. Manchmal ist ausweichender Verkehr nicht bösartig, sondern es soll eine ständige Verfügbarkeit für die Nutzer erreicht werden. Typische bösartige Ausweichmanöver lassen sich in drei Gruppen einteilen:
Ausweichmanöver auf Netzwerkebene beinhalten Modifikationen der Paketreihenfolge und Sequenz. Hierzu zählen Tricks wie Fragmentierung und Verschleierung. Eine böswillige Nutzlast wird in einzelne Pakete aufgeteilt oder wird durch gutartige Pakete voneinander getrennt, um Intrusion-Prevention-Systeme zu umgehen. Einmal im Netzwerk, werden die Pakete richtig zusammengesetzt zum bösartigen Inhalt.
Ausweichmanöver auf Anwendungsebene lassen sich in zwei Klassen unterteilen: solche, die speziell entworfen wurden, um die Sicherheit zu umgehen, wie externe Proxys und Verschlüsselungstunnel, und diejenigen, die angepasst werden können, um das gleiche Ziel zu erreichen, wie Remote-Server und Desktop-Management-Tools. Durch Analyse dieser verschachtelten Anwendungen und Unterfunktionen lassen sich diese Ausweichmanöver erkennen.
Ausweichmanöver auf Benutzerebene sind Taktiken wie Phishing und Malvertising, bei denen die Opfer einen Link erhalten, der einen Exploit-Kit enthält oder zu einer gefälschten Website führt oder das Öffnen einer Anlage die Ausführung von bösartigem Code auf dem Rechner des Opfers bewirkt.
Cybersecurity-Tools, die mit statischen Signaturen arbeiten, bieten nur Schutz vor bekannten Bedrohungen, etwa wenn bekannte Malware ausgeliefert wird über eine bekannte bösartige URL unter Verwendung einer bekannten Schwachstelle und mit Kommunikation zu einer ebenso bekannten Command&Control-Domain. Die schiere Zahl der Exploit- und Malware-Varianten erfordert Schutzfähigkeiten, die diese Last verarbeiten können. Dies kann entweder mittels einer riesigen und ständig wachsenden Bibliothek von Exploit- und Hash-basierten Signaturen erfolgen oder durch eine kleinere Gruppe von Nutzlast-basierten Signaturen, die in der Lage sind, mehrere Variationen individuell zu erkennen und zu verhindern. Hilfreich sind feinkörnige Erkennungsfunktionen in Sandboxing- und URL-Filter-Tools.
5) Neue Erkenntnisse mittels Sicherheitsregeln einfacher in Schutzmaßnahmen umsetzen
Ausgeklügelte Angriffe werden entworfen, um gefährdete Benutzer oder Systeme auszunutzen und auf diese Weise heimlich ins Netzwerk zu gelangen. Dabei werden Techniken vermieden, die herkömmliche Sicherheitsprodukte stoppen könnten, um für längere Zeit im Netzwerk zu bleiben, Daten zu sammeln und keinen Verdacht zu erregen. Die Herausforderung für Sicherheitsteams bei anspruchsvollen Angriffen ist, dass einige der Angriffskomponente komplett neue, „echte“ Zero-Day-Bedrohungen sein können.
Es gilt zu verhindern, dass es Lücken gibt bei den Präventionsfähigkeiten. Hierzu müssen Bedrohungsinformationen – etwa zu neuen Malware-Payloads, URLs mit Exploits und Standorten von Command&Control-Servern – schnell in Schutzmaßnahmen umgesetzt werden. Es empfiehlt sich eine selbstlernende Lösung, die diesen Prozess automatisiert und auf Minuten reduziert. Eine konstante Zufuhr von neu geschaffenen Schutzmaßnahmen gegen neu entdeckte Angriffe, die im segmentierten Netzwerk verteilt werden, erhöht die Effektivität dieser Lösung. Je relevanter die Bedrohungsdaten sind, desto aktueller sind die Schutzmaßnahmen und desto erfolgreicher können die Daten verteidigt werden. Prävention wird auf diese Weise zum festen Bestandteil der Sicherheitsstrategie.
6) Auf dem Laufenden sein bezüglich Bedrohungserkennung und Schutz vor den neuesten Angriffen
Bedrohungen ändern sich ständig, weil die Angreifer ihre Methoden weiterentwickeln, um Sicherheitsmaßnahmen zu umgehen. Angriffe können in zwei Arten unterteilt werden:
Gezielte Angriffe richten sich an bestimmte Gruppen oder Unternehmen innerhalb einer bestimmten Branche. Sie zielen auf bestimmte Personen oder Systeme mit bekannten Schwachstellen und nutzen Exploits und Malware, die diese Systeme angreifbar machen. Es ist wichtig, dass die Infektion nach einem gezielten Angriff schnell identifiziert wird. Komponenten müssen erkannt und die Verteidigung muss angepasst werden, um die Ausbreitung der Infektion zu verhindern.
Opportunistische Angriffe, in denen ein Angreifer ein großes Netz auswirft, in der Hoffnung, so viele Opfer wie möglich zu infizieren. Opportunistische Angriffe sind weniger spezifisch angepasst, aber können genauso gefährlich sein wie gezielte Angriffe. Sie verwenden meist Viren und Bots, um die Infektion schnell zu verbreiten und Tausende, manchmal Hunderte von Tausenden von Geräten in mehreren Unternehmen zu kompromittieren.
Angreifer automatisieren neue Bedrohungen und deshalb müssen die Prozesse von der Bedrohungserkennung bis hin zu Schutzmaßnahmen auch automatisiert werden. Die Sicherheitslösung sollte in der Lage sein, Informationen zu neuen Bedrohungen schnell zusammenzufügen, Schutz vor diesen Bedrohungen bereitzustellen, sobald sie Angreifer sie operationalisieren. In die nähere Wahl sollten Tools gezogen werden, die Bedrohungen auf der ganzen Welt analysieren, neue Signaturen für künftigen Schutz bereitstellen und diese Schutzmaßnahmen in Sicherheitsegeln einbinden.
7) Schnelle und genaue Schadensbegrenzung
Nach einem ausgeklügelten Angriff ist es wichtig, die Infektion schnell zu identifizieren und andere Geräte und Netzsegmente vor der Verbreitung zu schützen. Da die meisten Netzwerkschutzmaßnahmen auf Tools verschiedener Anbieter basieren, ist Prävention schwierig. Das Verfahren wäre mühsam, hoch manuell und zeitaufwändig, insbesondere, wenn Bedrohungsdaten in verschiedenen Systemen getrennt gespeichert werden. Eine Planung zur Schadensbegrenzung und Sanierung bleibt dennoch auch weiterhin ein wichtiger Bestandteil der Sicherheitsstrategie. Wer allerding zu stark auf kontinuierliche Sanierung setzt, um Sicherheitsprobleme zu lösen, hat hohe Kosten und tut nichts, um Vorfälle zu verhindern.
Cybersecurity-Lösungen sollten korrelierte Bedrohungsprotokolle für jede erkannten Stufe bei einem Angriff bieten. Zudem sollten sie Warnungen zu Kompromittierungsindikatoren herausgeben, einschließlich Identifizierung des infizierten Geräts über einfache IP-Adressen hinaus. In Betracht kommt eine Lösung, die verdächtiges Verhalten korreliert, um genaue Infektionswarnungen zu liefern. Entsprechend priorisiert kann die Exposition des Netzes schnell begrenzt werden.
8) Umfassende Koordinierung der Maßnahmen über verschiedene Sicherheitstechnologien hinweg
Sicherheitstechnologien und Einzelsensoren im Netzwerk sammeln Informationen. Wenn alle Komponenten so aufgebaut sind, dass sie zusammenarbeiten, ist der Schutz effektiver. Die Möglichkeit, einzelne Phasen eines Angriffs zu identifizieren und so ein größeres Bild des Angriffs als Ganzes zu erstellen, ist wichtig, um den Angriff effektiv zu stoppen. Dies setzt den Rahmen für das Verständnis, wo Sicherheitslücken existieren können und wo Schutzmaßnahmen umgesetzt werden müssen, um den Angriff zu blockieren und diese Lücken zu schließen.
Koordinierte Cybersecurity-Technologien sind von größter Bedeutung, wenn es um die Benutzerfreundlichkeit und das Schließen von Sicherheitslücken in der Infrastruktur geht. Technologien, die nativ integriert sind oder offene APIs aufweisen und die leicht in eine kundenspezifische Art und Weise integriert werden können, sind hierfür am besten geeignet. Wenn ein Gerät in einem Netzwerksegment eine Kompromittierung aufzeigt, muss die Sicherheitslösung diesen Angriff identifizieren und in seine Bestandteile zerlegen. Dann werden diese Informationen an alle anderen Sicherheitstechnologien verteilt, um andere Teile des Netzwerks oder der Dateninfrastruktur zu schützen. Ein automatischer, koordinierter Ablauf ersetzt dabei die intensive Handarbeit, die bei der Übersetzung von Netzwerkinformationen in Regeln erforderlich ist. Zudem wird gewährleistet, dass die Prävention zu einem Zeitpunkt im Angriffslebenszyklus erfolgt, bevor Daten gefährdet sind.
9) Das Geschäft am Laufen halten
Viele Unternehmen haben zu kämpfen, wenn es um die Wahl geht zwischen Sicherheit und dem Betrieb Tausender von Anwendungen, die zur Effizienz und Rentabilität beitragen. Eines der Ziele wird in der Regel geopfert. Oftmals bedeutet die Aktivierung von Sicherheitsfunktionen, dass Benutzer durch hohe Latenz oder – noch schlimmer – Einschränkungen beim Zugriff die benötigten Daten ausgebremst werden. Wenn eine Sicherheitslösung die richtige Architektur hat, ist dieser Kompromiss überflüssig
Die Reduzierung der Angriffsfläche ist eine Schlüsselkomponente für die Aufrechterhaltung der Usability. Die Beseitigung von unbekanntem oder unnötigem Datenverkehr und Datenwechselwirkungen reduziert die Menge des erlaubten Datenverkehrs, der auf Bedrohungen gescannt werden muss. Die Verarbeitungslast, die von den Sicherheits-Tools bewältigt werden muss, sinkt.
Bei zusammengeschusterten Stand-alone-Sicherheitsfunktionen verschiedener technologischer Herkunft gibt es redundante Netzwerkschichten, Scan-Engines und Regeln gibt, die für mehr Komplexität sorgen. Oder frustrierte Benutzer geben eine erhöhte Anzahl von IT-Support-Fällen in Auftrag. Angesichts rechenintensiver Aufgaben muss die Sicherheitslösung in der Lage sein, die Erwartungen zu erfüllen. Dies gilt etwa für die Anwendungsidentifikation und Bedrohungsabwehr auf High-Traffic-Volumen, bei geringer Toleranz für Latenz auf kritischen Infrastrukturen.
10) Einfache Bedienung
Einige spektakuläre Sicherheitsvorfälle in den letzten Jahren haben die Bedeutung der Priorisierung und Verfügbarkeit verwertbarer Daten aufgezeigt. Selbst mit einem zentralen Managementsystem ist das Sichten der Protokolle von mehreren Produkten, um wichtige Daten zu finden und diese zu korrelieren, eine enorme Aufgabe. Die manuelle Integration von Daten aus unterschiedlichen Produkten kann ein mühsamer Prozess sein und die Endergebnisse sind oftmals fehlerhaft oder unvollständig. Mit jeder weiteren Stunde, die vergeht, nachdem eine Kompromittierung auftritt, breitet sich die Infektion aus. Zusätzliche Zeit für Überwachung, Prüfung und Berichterstattung fehlt. Mit einfachen Regeln, die in Kraft sind, und korrelierten Bedrohungsdaten, verfügbar auf einem Gerät innerhalb einer Oberfläche, erhalten Sicherheitsteams einen vollständigen Überblick, was los ist in der Netzwerkinfrastruktur und wie es um die Daten steht.
Obwohl viele Prozesse zur Schadensbegrenzung und Risikobewertung automatisiert werden können, ist zu einem bestimmten Zeitpunkt immer noch die menschliche Interaktion erforderlich. Nativ integrierte Sicherheitstechnologien, die sich auf einem einzigen Gerät ausführen lassen, zeigen, was in jedem Datenstrom gerade passiert. Sie ermöglichen die Suche nach kritischen Sicherheitsereignissen sowie deren Korrelation und Priorisierung. Und sie machen es einfach, granulare Regeln aufzustellen, basierend auf den gegenwärtigen Ereignissen. Es ist besonders hilfreich, wenn die Regeln auf einmal aktualisiert werden können und das Update anschließend für mehrere Funktionen verwendet werden kann, anstatt das gleiche Update mehrmals an verschiedenen Stellen aufspielen zu müssen, um die gewünschte Absicherung zu erzielen. Wichtig ist zudem, dass Sicherheitsdaten sowohl auf lokaler Ebene korreliert werden als auch globaler Ebene. So stehen auch verwertbare Detailinformationen zu Bedrohungskampagnen zur Verfügung. Auf diese Weise lassen sich fundierte Entscheidungen darüber treffen, wie sich das Unternehmen vor zukünftigen Angriffen einfach und effizient schützen kann.
„Die Anforderungen an eine IT-Sicherheitslösung waren noch nie so komplex wie heute. Die Bedrohungslandschaft ändert sich permanent. Was heute noch sicher war, kann morgen schon erfolgreich gehackt werden“, so Thorsten Henning. „Aus diesem Grund rate ich zu einem Plattform-basierten Sicherheitskonzept, dass die genannten 10 Kriterien erfüllt und maximale Flexibilität gewährleistet um den Angreifern stets einen Schritt voraus zu sein.“
