Auf den Ruf kommt es an – Reputation, Verhalten, Inhalt
Wurden für die IT-Sicherheit früher in erster Linie Inhalte geprüft, findet heute ein Zusammenspiel aus Reputation, Verhalten und Inhalt statt. Bei der Nutzung von Internetdiensten werden somit verschiedene Methoden angewendet, um die Nutzer vor Schadsoftware und Datendiebstahl zu schützen.
Als erste Schadsoftware, wie etwa Virenprogramme, auftauchten, waren inhaltsbasierte Sicherheitsmechanismen wie Anti-Viren-Scanner die erste Wahl, um Gefahren abzuwenden. In modernen Systemen kommen hier ausser den AV-Signaturen auch heuristische Algorithmen, cloudbasierte Echtzeitabfragen und Sandbox-Emulationen zum Einsatz. Das Problem bleibt aber dasselbe: Es ist notwendig, den Dateninhalt jeder Verbindung zu kontrollieren. Das ist aufwändig und kostet viel Zeit. Man stelle sich vor, am Zoll müsste jedes Auto angehalten und der gesamte Inhalt ausgeladen und überprüft werden. Die Folge wäre Stau und niemand käme rechtzeitig an sein Ziel. Beim heutigen Datenaufkommen ist eine contentbasierte Methode selbst in KMUs als primäre Haupt-Schutzfunktion nicht mehr geeignet.
Reputation ist wichtig!
Reputationsfilter kamen ursprünglich als reines Triage-Tool zum Einsatz, um lange bekannte Schadsoftware-Verteiler direkt zu blockieren und alles Weitere dann den contentbasierten Tools zuzuführen. Zu den bekanntesten zählen dabei die "DNS Black Lists" im Mailverkehr. Mittlerweile sind die Reputationsfilter wie URL-/IP- oder Botnet-Filter in die Primär-Position der Abwehr von Schadsoftware und Datendiebstahl aufgerückt. Reputationsfilter sind lange keine rein statischen Listen mit potenziell gefährlichen IPs und URLs mehr. Spezialisierte Unternehmen scannen und analysieren Millionen von Websites, Diensten, Mails und Datenströmen und kategorisieren diese in riesigen Datenbanken. Es werden Reputationswerte definiert, die von Firewalls für jede von Nutzern geöffnete Verbindung abgefragt werden. Damit können schnell und effizient potenziell gefährliche Verbindungen von solchen mit einwandfreier Reputation unterschieden werden. Die Reputation oder Gefährlichkeit bestimmter Ziele im Internet wird ständig neu geprüft. Kommt es zu einer Veränderung, wird diese innert kürzester Zeit von den eingesetzten Firewalls erkannt und ein Zugriff unterbunden. Quellen ohne Reputationswert gelten als potenziell gefährlich und werden entweder blockiert oder detaillierter geprüft.
Gutes und schlechtes Verhalten
Nicht nur Nutzer öffnen potenziell gefährliche Verbindungen, auch Programme verbinden sich selbstständig mit Diensten im Internet. Verhaltensbasierte Sicherheitstools beobachten diese Verbindungen und greifen ein, wenn das Verhalten vom gewohnten Standard abweicht. Werden auf einer Remote-Desktop-Protocol-Verbindung innerhalb weniger Sekunden hunderte Log-in-Versuche festgestellt oder in einem Webshop verschiedene Kunden-Profildaten von einer einzelnen IP abgefragt, wird dies erkannt und die Verbindung unterbrochen, um einen Angriff oder Datenmissbrauch zu verhindern. Zum Einsatz kommen hier Intrusion- Detection-Prevention-, Web-Application-Anomaly-Detection- und Application-Fingerprint-Systeme. Die Systeme arbeiten entweder mit vorgegebenen Mustern (es wird also eine Signatur des Standardverhaltens hinterlegt) oder mit selbstlernenden Systemen, die das normale Verhaltensmuster über einen gewissen Zeitraum anhand der aktuellen Nutzung erkennen.
Contentbasierter Schutz ein alter Hut?
Ein klares Nein – contentbasierte Sicherheit mit Anti-Malware und Sandbox-Mechanismen werden immer noch gebraucht, aber das Einsatzgebiet hat sich verändert. An die erste Stelle der Sicherheitsmechanismen sind Reputations- und Verhaltensfilter getreten, sie tragen die Hauptlast für die Sicherheit. Der contentbasierte Ansatz kommt ergänzend hinzu und wird selektiv auf ausgesuchte Verbindungen angewendet.
----------
Es braucht ein Sicherheitskonzept gleich wie Lawinennetze am Berghang
KMUs in der Schweiz haben mit verschiedenen Sicherheitsbedrohungen zu kämpfen. Manuel Fraefel, Product Manager Security bei Studerus, erklärt im Interview, wie ein mehrstufiges Sicherheitskonzept aussehen könnte. Interview: Coen Kaat
Was sind derzeit die grössten IT-Bedrohungen für Schweizer Unternehmen?
Manuel Fraefel: Für KMUs in der Schweiz gibt es zwei unterschiedlich geartete Bedrohungen. Die erste betrifft Angriffe mit Ransomware, wobei Computer und Daten der Unternehmen verschlüsselt werden, um Geld zu erpressen. Dies erfolgt in der Regel nicht gezielt, stattdessen wird nach schlecht oder nicht gesicherten Systemen gesucht. Das ist in etwa wie ein Dieb, der in einer Reihe parkender Autos nicht versucht, ein spezielles Auto aufzubrechen, sondern einfach bei allen Autos ausprobiert, ob die Türen unverschlossen sind. Bedroht durch Ransomware sind vor allem Unternehmen, die nicht zumindest über einen Basisschutz mit Reputationsfilter und ein regelmässiges Daten-Back-up verfügen. Die zweite Bedrohung sind gezielte Angriffe auf Unternehmen, bei denen versucht wird, Zugang zu Bankverbindungen zu bekommen. Hier kommen nicht nur technische Angriffe wie das Einschleusen von Trojanern oder Backdoor-Programmen zum Einsatz – es wird auch gezielt versucht, Mitarbeiter zu "hacken", also mittels Social-Engineering an Zugänge und Passwörter von Mitarbeitern zu gelangen. Hier braucht es ausser einer betreuten aktuellen Security die Ausbildung und Sensibilisierung der Mitarbeiter.
Wie hat sich die IT-Abwehr in den vergangenen Jahren geändert?
In der Vergangenheit waren eine Netzwerk-Firewall und ein Anti-Virus-Programm auf den Computern meist ausreichend, um ein Unternehmen zu schützen. Heute sind für einen Basisschutz schon mehrstufige Sicherheitsmechanismen notwendig, die wie Lawinennetze an einem Berghang in mehreren Stufen Angriffe abschwächen und letztlich aufhalten. Es sind auch weitere Angriffsvektoren dazugekommen – heute wird mit VoIP telefoniert und von überall her auf Firmendaten zugegriffen.
Welche Vorteile bieten verhaltens- beziehungsweise reputationsbasierte Ansätze gegenüber den bisherigen Modellen?
Die reputationsbasierte Security ist sehr performant und ressourcenschonend im Vergleich zum contentbasierten Ansatz. Das ermöglicht die Nutzung von kostengünstigen Firewall-Lösungen für alle Grössen von KMUs. Die cloudbasierten Daten für die Reputationsfilter decken ein breites Spektrum an Bedrohungen ab und sind das Rückgrat eines modernen Basisschutzes im Unternehmen. Die verhaltensbasierten Mechanismen ermöglichen es, auf noch unbekannte Gefahren und Angriffe zu reagieren.
Sind signaturbasierte Ansätze hinfällig geworden?
Die Wirksamkeit reiner signaturbasierter Mechanismen ist bei aktuellen Bedrohungen stark eingeschränkt, aber nicht komplett hinfällig. Die signaturbasierte Erkennung wird als Bestandteil und Ergänzung in Mechanismen wie Anti-Malware weiter genutzt, ihre Gewichtung ist aber eher untergeordnet.
Wie sieht die optimale Cyberabwehr für KMUs aus?
Es braucht ein Netz von mehrstufigen Mechanismen. Auf der Firewall wird mittels reputations- und verhaltensbasierten Filtern die Hauptlast der Security getragen. Speziell kritische Verbindungen werden zusätzlich mittels contentbasierten Mechanismen geschützt. Eine auf den Client-Computern installierte End-Point-Security-Lösung bildet eine weitere Stufe im Netz. Zusätzlich sind ein regelmässiges Daten-Back-up sowie die Sensibilisierung der Mitarbeiter im Umgang mit Daten und Passwörtern notwendig. Abschliessend müssen all diese Sicherheitsmassnahmen überwacht und regelmässig an die Bedrohungslage angepasst werden. Hier ist der effektivste Weg, die Security als Service von einem kompetenten Managed-Security-Partner zu beziehen.