Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Cyber Security

In der IT-Security haben sich in den letzten Jahren an verschiedensten Stellen heuristische Verfahren etabliert. So entscheiden mittlerweile nicht nur Virenscanner heuristisch, ob es sich um ein verdächtiges Programm handelt oder nicht, sondern auch Firewalls und Intrusion-Detection-Systeme erzeugen Alarmierungen auf Basis heuristischer Modelle – mit oft zweifelhaftem Erfolg, wie zahlreiche Cyber-Angriffe bewiesen haben.

Was sind heuristische Verfahren?

Heuristik bezeichnet die Kunst, auf Basis einer begrenzten Informationslage Aussagen zu treffen, die mit hinreichend großer Wahrscheinlichkeit richtig sind.1 Der Versuch, verlässliche Aussagen zu treffen basiert auf Erfahrungen, Schätzungen, Faustregeln und zusätzlichen Hilfsannahmen.

Diese Entscheidungsgrundlage kann von einem Angreifer durch einfaches Try-and-Error umgangen werden, so dass bis zu einer Veränderung der Heuristik diese nicht mehr wirksam ist. Beispielsweise gibt es heuristische Verfahren, die versuchen, Verschlüsselungstrojaner zu erkennen, indem die Zahl der bearbeiteten Dateien pro Zeiteinheit überwacht wird: Wird beispielsweise auf 30 Dateien pro Sekunde geprüft, kann die Erkennung umgangen werden, indem der Trojaner den Grenzwert aktiv nicht überschreitet.

An vielen Stellen in der IT ist es leider nicht möglich, sich eine vollständige Entscheidungsgrundlage in angemessener Zeit zu verschlafen. Stellen Sie sich einen Virenscanner vor, der ein unbekanntes Programm dekompilieren und anschließend erschöpfend analysieren soll, so dass eine belastbare Aussage getroffen werden kann: Solch eine Analyse bedeutet selbst bei kleinen Programmen einen Zeitaufwand von mehreren Tagen bevor eine Nutzung möglich ist, so dass die Nutzerakzeptanz gegen Null sinken dürfte. Während Virenscanner ein zeitliches Problem haben, stehen Firewalls vor einer ungleich größeren Herausforderung: Das Analysieren der übertragenen TCP/IP-Pakete ist zwar durchaus möglich, teils sogar auf verschlüsselte Pakete, allerdings liegen der Firewall prinzipbedingt viele Informationen nicht vor. Da alle Informationen als IP-Paket übertragen werden, kann kein Rückschluss mehr gezogen werden, welche Programme (Microsoft Office oder ein Trojaner?) tatsächlich Zugriffe tätigen und Daten übertragen.

Insbesondere in Next-Generation-Firewalls oder Intrustion-Detection/Prevention-Systemen werden immer absurder anmutende heuristische Modelle verwendet. So wird versucht, bekannte Angriffsszenarien in Zukunft beherrschen zu können. Während dieses Vorgehen von mäßigem Erfolg geprägt ist, solange Angriffe nach einem bekannten Schema ablaufen, sind neuartige Angriffe in der Regel nicht aufzuhalten. Trotz verbesserter Verfahren konnte in der letzten Dekade kein Rückgang erfolgreicher Cyber-Angriffe erreicht werden und es ist davon auszugehen – hier sei eine Extrapolation in die Zukunft erlaubt – dass dies so bleiben wird, solange IT-Security nicht vollständig neu gedacht wird.

Sensorik: Ein möglicher Ausweg?

Heuristiken sind, wie oben erläutert notwendig, weil in einer angemessenen Zeit keine vollständige Informationsgrundlage geschlafen werden kann. Statt die – prinzipbedingt fehlerbehafteten – heuristischen Modelle zu verbessern, sollte sich IT-Security damit beschäftigen, eine belastbare Informationsgrundlage zu schlafen, die zu einer sicheren und deterministischen Entscheidungsfindung notwendig ist. Im Folgenden soll dieses als Sensorik bezeichnete Konzept am Beispiel einer VPN-Gateway- Firewall kurz erläutert werden.

Ein Fallbeispiel zur Sensorik

Wenn Benutzer von ihren Heimarbeitsplätzen per VPN auf das Firmennetz zugreifen, stellt die VPN-Software auf dem PC, in Verbindung mit dem VPN-Gateway, eine Netzkopplung zwischen dem Betriebssystem des Rechners und dem VPN-Gateway her. In der Konsequenz können zunächst alle Programme des Client-PCs mit allen Netzwerkressourcen kommunizieren. Um dies einzuschränken und das Sicherheitsniveau zu erhöhen kommt eine Firewall zum Einsatz, die den Datenverkehr filtert und im Idealfall unerwünschte Aktionen unterbindet. Hier kommt bereits ein wesentliches Problem zum Tragen: Der Firewall fehlen maßgebliche Informationen, die für die Entscheidung relevant sind: Beispielsweise kann die Firewall nicht wissen, welches Programm tatsächlich welche Aktion durchführen will.

Es sind zahlreiche Viren bekannt, die webbasierte Systeme (z.B. ERP- oder CRM-Software) im Intranet angreifen, indem sie ihren Angriff über die erlaubte Aktion „Webseite aufrufen“ durchführen. Eine Firewall kann prinzipbedingt nicht mit Sicherheit unterscheiden, ob ein Browser die Webseite aufruft, weil ein Mitarbeiter mit dem System arbeiten möchte oder ob ein Virus versucht einen Angriff durchzuführen. Für die Firewall treten in beiden Fällen nur TCP/IP-Pakete in Erscheinung, die dem Aufruf einer Webseite dienen, weshalb sie nicht blockiert werden.

Ein sensorisches System wäre diesem Angriff nicht ausgeliefert, da das Gateway, welches ausschließlich die Entscheidung über die Zulässigkeit einer Kommunikation trifft zuverlässige Informationen darüber besäße, welches Programm welche Aktion durchzuführen gedenkt. In dem nur erlaubte Software freigegeben wird, kann sehr einfach sichergestellt werden, dass nur bekannte und erlaubte Programme auf erlaubte Ressourcen mit erlaubten Aktionen zugreifen können.

Versucht beispielsweise der Browser Mozilla Firefox eine Webseite aufzurufen, erhält das sensorische Gateway alle notwendigen Informationen: Welches Programm versucht welche Aktion mittels welcher Module durchzuführen?

Da nur Firefox als vertrauenswürdige Software hinterlegt ist, wird dies erlaubt. Würde allerdings ein anderer Browser oder gar ein Virus versuchen, den Webserver zu erreichen, läuft dieser Zugriffsversuch ins Leere, da weder das Virus noch der andere Browser eine Freigabe besitzen. Da in diesem Fall keinerlei Netzwerkaktionen des Virus zugelassen werden, kann dieses auch keine Analysen des Netzwerkes oder der Webserver durchführen.

Fazit

Auf den zugreifenden PCs wird ohnehin Software zum Fernzugriff ausgeführt, durch die technische Umsetzung werden dem entscheidenden System (hier der Firewall) allerdings wesentliche Informationen nicht zugänglich gemacht.

Durch eine andere Art der Zugriffssoftware, die nicht nur stumpf IP-Pakete überträgt, sondern dem Gateway, welches die Entscheidungen über die Kommunikation trifft, alle notwendigen Informationen übermittelt wird eine fundierte Entscheidungsfindung möglich. Auf diesem Weg könnte man die Schadwirkung erheblich reduzieren und die Fortpflanzung von Viren effizient unterbinden – und das nicht nur mit einer gewissen Wahrscheinlichkeit, sondern mit größtmöglicher Sicherheit. Im Idealfall kann die Zugriffssoftware erheblich umfangreichere Informationen liefern, als nur den Programmtyp. Denkbar sind Informationen zum internen Programmablauf und zu der Datenstruktur des jeweiligen Zugriffs.

Die Zulässigkeit eines Zugriffs kann durch die große Zahl an Informationen die das sensorische Gateway erhält anhand eines deutlich spezifischeren Regelsatzes festgestellt werden. Da dieser Regelsatz nur dem manipulationssicheren Gateway bekannt ist, kann dieser von einem Angreifer oder einer Schadsoftware nicht eingesehen oder gar manipuliert werden. Bei einem Verstoß gegen den Regelsatz – der auf einen Angriff (z.B. durch Durchprobieren) hindeutet – kann das Gateway Maßnahmen einleiten und je nach Policy und Schwere des Verstoßes unverzüglich reagieren. Bei konsequenter Umsetzung dieses sensorischen Ansatzes lassen sich auch Intrusion-Detection-Systeme mit deutlich mehr Informationen versorgen und können so auch erheblich effektiver und mit geringerer Fehlerquote arbeiten.

www.cryptomagic.eu
 

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security