Thought Leadership
Geht es um die Cybersicherheit im Jahr 2016, gibt es gute Gründe, mehrere Angriffstaktiken zu berücksichtigen. Einige Entwicklungen werden bei der Planung von Sicherheitsstrategien für die Nutzer mobiler Endgeräte – egal ob iOS, Windows oder Android – für das kommende Jahr eine große Rolle spielen. Ein Ausblick von Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.
Veränderte Hierarchie der Richtliniendurchsetzung
Viele Unternehmen beschäftigen sich derzeit in erster Linie mit der Sicherheit an der Netzwerkgrenze. Sie kontrollieren, was an der Außenseite des Netzwerks passiert, doch es gibt auch innerhalb des Netzwerks noch eine Menge zu tun. Statt zu entscheiden, welche Geräte sich mit dem Netzwerk verbinden dürfen, sollte genauer geklärt werden, was die Benutzer und Geräte im Netzwerk tun dürfen.
„Vor zwanzig Jahren verließen sich Unternehmen auf physische Sicherheit, um ihr Netzwerk zu schützen. So gab es keinen Netzwerkzugang, solange jemand auch keinen Zugang zum Gebäude erhalten hatte. In Zeiten von Wireless-Netzwerken begann die physische Sicherheit zu bröckeln. Authentifizierung wurde zur gängigen Maßnahme, um zu kontrollieren, wer sich innerhalb des Netzwerks aufhielt“, resümiert Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Doch nun stellt sich die Frage, auf welche Anwendungen Benutzer und Geräte zugreifen dürfen, wenn Sie bereits im Netzwerk sind. Dies gilt vor allem, wenn man den Lebenszyklus eines Cyberangriffs betrachtet. Hierbei werden oft kompromittierte Endpunkte eingesetzt, um eine seitliche Bewegung durchzuführen und Informationen herauszufiltern. Dies kann heimlich erfolgen, weil viele Unternehmen keine Überwachungsmöglichkeiten haben, um den Datenverkehr innerhalb des Unternehmens zu kontrollieren.“
Netzwerksegmentierung ist ein Teil der Antwort darauf, weil dadurch wieder Grenzen zwischen Segmenten eingerichtet werden. Segmentierung ist ein guter erster Schritt, aber es muss mehr getan werden, um zu kontrollieren, welcher Verkehr die Grenzen zwischen den Segmenten durchquert. Angesichts der wachsenden Vielfalt von mobilen Geräten ist die Durchsetzung einer effektiven Sicherheitspolitik, die diese Aspekte berücksichtigt, entscheidend.
Angriff auf die Person hinter der App
Sieht man sich einige aktuelle Angriffe gegen mobile Geräte an – wie zuletzt iOS-Angriffe wie XcodeGhost und WireLurker – ist interessant, dass die Techniken weit nuancierter sind, als es zunächst den Anschein hatte. Anstatt nur eine Art von Malware zu entwickeln, haben die Akteure ein System so angepasst, dass es die Malware auf das mobile Gerät liefert.
Im Fall von WireLurker musste ein Notebook infiziert werden. Hierbei machten sich die Hacker den Prozess zum Synchronisieren und Sichern von Inhalten des Mobiltelefons zunutze. Die Angreifer waren so in der Lage, schädliche Inhalte in das Gerät zu schleusen und die App über USB auf das mobile Gerät zu transferieren.
Im Fall von XcodeGhost gingen die Angreifer etwas höher in der Nahrungskette vor und griffen die App-Entwickler an, durch die Verteilung einer modifizierten Version von Coding-Tools zum Erstellen von iOS-Apps. In den dann produzierten Apps waren Schlaffunktionalitäten enthalten, die weder für die Entwickler noch die Endbenutzer sichtbar waren.
Bild: Sicherheitsteams sollten 2016 auf kombinierte Schutzmaßnahmen – für Endgeräte, Netzwerk und mobile Geräte – setzen, statt auf einzelne Sicherheitslösungen. (Bildquelle: Palo Alto Networks.
Beide Angriffe waren in der Lage, Malware in „nicht-jailbroken“ mobilen Geräten zu implementieren. Dies war möglich, weil die mobilen Geräte keine Insellösungen sind, sondern immer mit einer Vielzahl von Systemen interagieren. Wenn Angreifer in der Lage sind, an einer Stelle Fuß zu fassen, entstehen neue Bedrohungsvektoren.
Sicherheitsteams, die diese Aspekte im Hinterkopf behalten, sollten 2016 auf kombinierte Schutzmaßnahmen – für Endgeräte, Netzwerk und mobile Geräte – setzen, statt auf einzelne Sicherheitslösungen. Von der Bedrohungsanalyse in einem Bereich kann auch ein anderer Bereich profitieren, um bösartiges Verhalten zu identifizieren. Wenn schädlicher Command-and-Control-Verkehr von einem Endpunkt aus hervorgeht, sollte derartiger Verkehr, der von einem mobilen Gerät stammt, auch unter die Lupe genommen werden.
Software im Graubereich – sicher oder doch bösartig?
Eine weitere Herausforderung wird auch die wachsende Anzahl von Software sein, die sich nicht so leicht als sicher oder bösartig definieren lässt. Grayware interagiert typischerweise mit einer dritten Partei, deren Motivation, Absicht und sogar Identität für den Endnutzer unbekannt sein können. Die Remote-Desktop-Anwendung eines Benutzers kann das Remote-Access-Tool einer anderen Person sein.
Die Prävalenz von Grayware in den mobilen App-Stores bewegt sich in Richtung Adware, vor allem aus Drittanbieter-Ad-Netzen. Diese Pakete beinhalten Funktionen, von denen der Anwender – und in vielen Fällen sogar der Entwickler – nichts weiß. In der Eile kann ein Benutzer nicht überprüfen, welche Berechtigungen gelten, wodurch Werbetreibende sich Zugang zu einer Fundgrube an Daten verschaffen. Diese Ad-Netzwerke rutschen immer mehr ab in das Schattenreich der Grayware, denn auch wenn sie die Berechtigung zum Zugriff auf die Daten haben können, gibt es keine Garantie, dass die Daten in einer guten Absicht verwendet werden.
Zu den frühen Anzeichen dieser Entwicklung zählt Entdeckung der neuen Android-Malware-Familie Gunpoder. Wenn ein App Store eine App als Sicherheitsrisiko bewertet, fehlt oft der ganzheitliche Blick auf die Dynamik, wie die Funktionalität in der Praxis aussieht. Ohne den Kontext der Bedrohungsanalyse bleiben die Aktivitäten und damit das Schadenpotenzial unklar. Der einzige Weg, um wirklich zu verstehen, wie eine App agiert, ist es, ihr Verhalten im Netzwerk unter realen Bedingungen zu beobachten – und das ist die Aufgabe der Netzwerksicherheit.
