VERANSTALTUNGEN

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Transformation World 2018
07.11.18 - 08.11.18
In Print Media Academy, Heidelberg

DIGITAL FUTUREcongress
08.11.18 - 08.11.18
In Congress Center Essen

Cyber Security

In der IT-Security haben sich in den letzten Jahren an verschiedensten Stellen heuristische Verfahren etabliert. So entscheiden mittlerweile nicht nur Virenscanner heuristisch, ob es sich um ein verdächtiges Programm handelt oder nicht, sondern auch Firewalls und Intrusion-Detection-Systeme erzeugen Alarmierungen auf Basis heuristischer Modelle – mit oft zweifelhaftem Erfolg, wie zahlreiche Cyber-Angriffe bewiesen haben.

Was sind heuristische Verfahren?

Heuristik bezeichnet die Kunst, auf Basis einer begrenzten Informationslage Aussagen zu treffen, die mit hinreichend großer Wahrscheinlichkeit richtig sind.1 Der Versuch, verlässliche Aussagen zu treffen basiert auf Erfahrungen, Schätzungen, Faustregeln und zusätzlichen Hilfsannahmen.

Diese Entscheidungsgrundlage kann von einem Angreifer durch einfaches Try-and-Error umgangen werden, so dass bis zu einer Veränderung der Heuristik diese nicht mehr wirksam ist. Beispielsweise gibt es heuristische Verfahren, die versuchen, Verschlüsselungstrojaner zu erkennen, indem die Zahl der bearbeiteten Dateien pro Zeiteinheit überwacht wird: Wird beispielsweise auf 30 Dateien pro Sekunde geprüft, kann die Erkennung umgangen werden, indem der Trojaner den Grenzwert aktiv nicht überschreitet.

An vielen Stellen in der IT ist es leider nicht möglich, sich eine vollständige Entscheidungsgrundlage in angemessener Zeit zu verschlafen. Stellen Sie sich einen Virenscanner vor, der ein unbekanntes Programm dekompilieren und anschließend erschöpfend analysieren soll, so dass eine belastbare Aussage getroffen werden kann: Solch eine Analyse bedeutet selbst bei kleinen Programmen einen Zeitaufwand von mehreren Tagen bevor eine Nutzung möglich ist, so dass die Nutzerakzeptanz gegen Null sinken dürfte. Während Virenscanner ein zeitliches Problem haben, stehen Firewalls vor einer ungleich größeren Herausforderung: Das Analysieren der übertragenen TCP/IP-Pakete ist zwar durchaus möglich, teils sogar auf verschlüsselte Pakete, allerdings liegen der Firewall prinzipbedingt viele Informationen nicht vor. Da alle Informationen als IP-Paket übertragen werden, kann kein Rückschluss mehr gezogen werden, welche Programme (Microsoft Office oder ein Trojaner?) tatsächlich Zugriffe tätigen und Daten übertragen.

Insbesondere in Next-Generation-Firewalls oder Intrustion-Detection/Prevention-Systemen werden immer absurder anmutende heuristische Modelle verwendet. So wird versucht, bekannte Angriffsszenarien in Zukunft beherrschen zu können. Während dieses Vorgehen von mäßigem Erfolg geprägt ist, solange Angriffe nach einem bekannten Schema ablaufen, sind neuartige Angriffe in der Regel nicht aufzuhalten. Trotz verbesserter Verfahren konnte in der letzten Dekade kein Rückgang erfolgreicher Cyber-Angriffe erreicht werden und es ist davon auszugehen – hier sei eine Extrapolation in die Zukunft erlaubt – dass dies so bleiben wird, solange IT-Security nicht vollständig neu gedacht wird.

Sensorik: Ein möglicher Ausweg?

Heuristiken sind, wie oben erläutert notwendig, weil in einer angemessenen Zeit keine vollständige Informationsgrundlage geschlafen werden kann. Statt die – prinzipbedingt fehlerbehafteten – heuristischen Modelle zu verbessern, sollte sich IT-Security damit beschäftigen, eine belastbare Informationsgrundlage zu schlafen, die zu einer sicheren und deterministischen Entscheidungsfindung notwendig ist. Im Folgenden soll dieses als Sensorik bezeichnete Konzept am Beispiel einer VPN-Gateway- Firewall kurz erläutert werden.

Ein Fallbeispiel zur Sensorik

Wenn Benutzer von ihren Heimarbeitsplätzen per VPN auf das Firmennetz zugreifen, stellt die VPN-Software auf dem PC, in Verbindung mit dem VPN-Gateway, eine Netzkopplung zwischen dem Betriebssystem des Rechners und dem VPN-Gateway her. In der Konsequenz können zunächst alle Programme des Client-PCs mit allen Netzwerkressourcen kommunizieren. Um dies einzuschränken und das Sicherheitsniveau zu erhöhen kommt eine Firewall zum Einsatz, die den Datenverkehr filtert und im Idealfall unerwünschte Aktionen unterbindet. Hier kommt bereits ein wesentliches Problem zum Tragen: Der Firewall fehlen maßgebliche Informationen, die für die Entscheidung relevant sind: Beispielsweise kann die Firewall nicht wissen, welches Programm tatsächlich welche Aktion durchführen will.

Es sind zahlreiche Viren bekannt, die webbasierte Systeme (z.B. ERP- oder CRM-Software) im Intranet angreifen, indem sie ihren Angriff über die erlaubte Aktion „Webseite aufrufen“ durchführen. Eine Firewall kann prinzipbedingt nicht mit Sicherheit unterscheiden, ob ein Browser die Webseite aufruft, weil ein Mitarbeiter mit dem System arbeiten möchte oder ob ein Virus versucht einen Angriff durchzuführen. Für die Firewall treten in beiden Fällen nur TCP/IP-Pakete in Erscheinung, die dem Aufruf einer Webseite dienen, weshalb sie nicht blockiert werden.

Ein sensorisches System wäre diesem Angriff nicht ausgeliefert, da das Gateway, welches ausschließlich die Entscheidung über die Zulässigkeit einer Kommunikation trifft zuverlässige Informationen darüber besäße, welches Programm welche Aktion durchzuführen gedenkt. In dem nur erlaubte Software freigegeben wird, kann sehr einfach sichergestellt werden, dass nur bekannte und erlaubte Programme auf erlaubte Ressourcen mit erlaubten Aktionen zugreifen können.

Versucht beispielsweise der Browser Mozilla Firefox eine Webseite aufzurufen, erhält das sensorische Gateway alle notwendigen Informationen: Welches Programm versucht welche Aktion mittels welcher Module durchzuführen?

Da nur Firefox als vertrauenswürdige Software hinterlegt ist, wird dies erlaubt. Würde allerdings ein anderer Browser oder gar ein Virus versuchen, den Webserver zu erreichen, läuft dieser Zugriffsversuch ins Leere, da weder das Virus noch der andere Browser eine Freigabe besitzen. Da in diesem Fall keinerlei Netzwerkaktionen des Virus zugelassen werden, kann dieses auch keine Analysen des Netzwerkes oder der Webserver durchführen.

Fazit

Auf den zugreifenden PCs wird ohnehin Software zum Fernzugriff ausgeführt, durch die technische Umsetzung werden dem entscheidenden System (hier der Firewall) allerdings wesentliche Informationen nicht zugänglich gemacht.

Durch eine andere Art der Zugriffssoftware, die nicht nur stumpf IP-Pakete überträgt, sondern dem Gateway, welches die Entscheidungen über die Kommunikation trifft, alle notwendigen Informationen übermittelt wird eine fundierte Entscheidungsfindung möglich. Auf diesem Weg könnte man die Schadwirkung erheblich reduzieren und die Fortpflanzung von Viren effizient unterbinden – und das nicht nur mit einer gewissen Wahrscheinlichkeit, sondern mit größtmöglicher Sicherheit. Im Idealfall kann die Zugriffssoftware erheblich umfangreichere Informationen liefern, als nur den Programmtyp. Denkbar sind Informationen zum internen Programmablauf und zu der Datenstruktur des jeweiligen Zugriffs.

Die Zulässigkeit eines Zugriffs kann durch die große Zahl an Informationen die das sensorische Gateway erhält anhand eines deutlich spezifischeren Regelsatzes festgestellt werden. Da dieser Regelsatz nur dem manipulationssicheren Gateway bekannt ist, kann dieser von einem Angreifer oder einer Schadsoftware nicht eingesehen oder gar manipuliert werden. Bei einem Verstoß gegen den Regelsatz – der auf einen Angriff (z.B. durch Durchprobieren) hindeutet – kann das Gateway Maßnahmen einleiten und je nach Policy und Schwere des Verstoßes unverzüglich reagieren. Bei konsequenter Umsetzung dieses sensorischen Ansatzes lassen sich auch Intrusion-Detection-Systeme mit deutlich mehr Informationen versorgen und können so auch erheblich effektiver und mit geringerer Fehlerquote arbeiten.

www.cryptomagic.eu
 

GRID LIST
Hacker

Comment Crew: Ein alter Bekannter oder sind Nachahmer unterwegs?

Vor fünf Jahren wurde publik, dass eine chinesische Hackergruppe namens APT1 oder Comment…
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Smarte News aus der IT-Welt