IT-Forschung: Wirksame Abwehr gegen raffinierte APT-Attacken (Teil 2)

IT-Forschung: Wirksame Abwehr gegen raffinierte APT-Attacken (Teil 2)

Advanced Persistent Threats (APT) sind Spionage- und Sabotageangriffe auf ausgewählte Ziele, wie z. B. politische Organisationen, militärische Einrichtungen und Unternehmen. Da ein großer Aufwand betrieben wird, um diese Cyberangriffe zu verbergen, werden sie oft erst nach Monaten oder Jahren entdeckt. Im zweiten Teil des Interviews sprechen wir über wirksame Schutzmaßnahmen und Lösungen.

Ein Ergebnis von APT-Sweeper ist ein Online-Tool, mit dem Firewalls bezüglich Advanced Persistent Threats getestet werden können. Was hat es damit genau auf sich?

Steffen Ullrich: "APT" ist wie gesagt ein schwammiger Begriff und ich möchte ihn bezüglich dieses Tools auch nicht verwenden. Was das Tool hingegen macht, ist Schwachstellen bei der Analyse von Webverkehr, der beim Surfen im Internet entsteht, aufzuzeigen. Webverkehr basiert auf dem HTTP-Protokoll. Das sieht einfach aus, kann aber tatsächlich sehr komplex sein. Diese Komplexität führt dazu, dass Webbrowser und Analysesysteme wie Firewalls teilweise unterschiedlich auf eine ungewöhnliche Antwort eines Webservers reagieren.

Daraus folgt, dass die Firewall geschickt verpackte Antworten mit bösartigem Inhalt passieren lässt, weil sie den wahren Inhalt schlichtweg nicht erkennt. Dabei handelt es sich teilweise um triviale Dinge. So kann ein Inhalt mit einem Algorithmus komprimiert sein, den jeder Browser kennt – aber die Firewall eben nicht. Oder dass widersprüchliche Aussagen über die Kodierung des Inhalts vorgenommen werden und die Firewall eine andere Aussage übernimmt als der Browser.

Ich habe aber noch viele weitere und auch komplexere und weniger offensichtliche Experimente gemacht. Bei meinen initialen Tests 2015 stellte sich heraus, dass es fast keine Firewall gab, die tatsächlich mit keinem dieser Tests Probleme hatte. Die einzige Firewall war tatsächlich die genugate und das nicht etwa, weil ich sie in diesem Zusammenhang gepatcht habe, sondern weil unser System seit 2014 in der Lage ist, den Datenverkehr zu normalisieren. Das heißt, ungewöhnliche Antworten eines Webservers werden entweder abgelehnt oder in eine eindeutig interpretierbare Form umgewandelt.

Um jede beliebige Firewall zu testen, kann man mit dem Browser über die Firewall die Website für den öffentlichen Online-Test aufrufen, auf der dann automatisch auf fast 800 Arten versucht wird, den ungefährlichen EICAR-Testvirus durch die Firewall zu schleusen. Dazu sollte allerdings der lokale Virenscanner abgeschaltet werden, sonst testet man den Virenscanner und nicht die Firewall. Testfortschritt und Ergebnisse werden direkt im Browser angezeigt.

Vergleichbare Probleme gibt es übrigens auch bei Mail. Auch hier haben wir schon viele Schwachstellen bei existenten Firewalls, Mailfiltern und Virenscannern gefunden. Auch dazu gibt es eine schon recht umfangreiche Testsuite. Leider geht diese prinzipbedingt nicht so schön automatisch, sodass wir derzeit noch überlegen, wie wir sie bereitstellen können.

Rundum-Schutz vor Advanced Persistent Threats

Zu welchem Schutz vor Advanced Persistent Threats können wir unseren Kunden raten?

Steffen Ullrich: Was APT ist, liegt wie gesagt im Auge des Betrachters und manchen Firmen würde schon mehr Analyse ihrer Infrastruktur auf Schwächen, mehr Schulung der Mitarbeiter und der gezielte Einsatz "normaler" Sicherheitsprodukte gegen APT-Angriffe helfen. Einfach ein als "Anti-APT" beworbenes Produkt ins Netzwerk zu stellen, kann meiner Meinung nach keinen umfassenden Schutz bieten. Die verschiedenen Punkte, die es zu beachten gilt, lassen sich anhand unserer Lösungen erklären.

Ein wesentlicher Aspekt gegen APT ist für mich – wie bereits erklärt – eine ordentliche Cyber-Hygiene. Dazu gehört es zu wissen, was im Netzwerk tatsächlich los sein sollte. Unsere Firewall genugate ist um dieses Paradigma herum gestrickt – standardmäßig kommen nur einige typische Dienste und auch nur mit sicheren Einstellungen durch die genugate. Alles darüber hinaus muss der Administrator explizit erlauben. Viele Firewalls lassen hingegen beispielsweise den gesamten ausgehenden Datenverkehr passieren und analysieren nur ausgewählte Inhalte intensiver. Darüber hinaus sind natürlich alle von uns gefundenen Umgehungen der Analyse bei Web und Mail bei der Firewall genugate nicht möglich, entweder weil sie blockiert oder normalisiert werden. Und es ist auch möglich, eigene, firmenspezifische Inhaltsanalysen zu implementieren.

Zur Cyber-Hygiene gehört auch das Segmentieren der Netze innerhalb der Organisation, abhängig von Aufgaben und Risiken. Eine solche Segmentierung ist essentiell, um einem Angreifer den Zugang zu den Schätzen der Firma zu versperren, selbst wenn er sich bereits erfolgreich in einem der schwächer geschützten Netze ausgebreitet hat. Zur Segmentierung bieten sich beispielsweise die Firewall genuscreen oder im Industriebereich die genuwall an.

Cyber-Hygiene setzt sich dann in allen Bereichen des Unternehmens fort: So dürfen Fernzugriffe auf eine Maschine nicht einfach per Remote-Desktop oder VPN zu beliebigen Zeiten möglich sein. Für jeden Fernzugriff ist eine ausdrückliche Freigabe ratsam – und zwar beschränkt auf das spezifische System und nicht gleich auf das ganze Netz. Idealerweise findet während des Wartungsvorgangs eine Aufzeichnung aller Aktivitäten statt – das leistet z. B. die Fernwartungs-Appliance genubox.

Beim Schutz der Unternehmens-IT müssen
Gefahren durch Mobile Devices berücksichtigt werden

Gezieltere Angriffe zu verhindern bedeutet auch, private und geschäftliche Aktivitäten nicht zu vermischen. Man sollte sich nicht einfach mit einem Privatrechner per VPN mit dem Netz der Organisation verbinden können, was ja bei vielen Unternehmen durchaus üblich ist. Oder dass man sich keine vertraulichen Firmenunterlagen auf den Privatrechner herunterlädt. Eine Lösung bietet der Security Laptop cyber-top, der privates und berufliches Arbeiten auf einem Gerät streng separiert.

Beim Thema "Separation" spielen auch Datendioden eine wichtige Rolle: Diese decken ein großes Anwendungsspektrum ab, wenn es darum geht, Datenaustausch nur in eine Richtung zuzulassen. So lassen sich mit der cyber-diode Daten z. B. aus dem gesicherten Netz einer Industrieanlage in das weniger sichere Netz eines Monitoringsystems übertragen. Dioden bieten den effektivsten Schutz vor Angreifern, da sie systembedingt auch Sicherheitsrisiken durch Fehlkonfigurationen ausschließen.

Das Thema "Schutz vor anspruchsvollen Angriffsmethoden" zieht sich bei genua ausgehend von der Produktplanung durch den gesamten Entwicklungsprozess. Zusammengefasst beginnt dies bei gehärteten OpenBSD- und Microkernel-Betriebssystemen und wird schließlich mit einer hohen Zertifizierung durch unabhängige Prüflabore bestätigt.

Danke für das Gespräch!

Das Forschungsprojekt APT-Sweeper wurde vom Bundesministerium für Bildung und Forschung gefördert.

 

Bildquelle: © chinnarach - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.

Um für Sie unsere Webseite zu optimieren, verwenden wir Cookies.
Klicken Sie auf "Cookies zulassen", falls Sie der Nutzung von diesen Cookies zustimmen.
Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung, in der Sie auch jederzeit Ihre Cookie-Einstellungen einsehen und anpassen können.
Datenschutz Cookies akzeptieren