fireeye_leitfaden_next-generation_threat_protection_WEB
Transcrição
fireeye_leitfaden_next-generation_threat_protection_WEB
Ultimativer Leitfaden TM zu Next-Generation Threat Protection So bestehen Sie im Kampf gegen neuartige Cyber-Angriffe Mit besten Wünschen von Über FireEye FireEye ist der führende Anbieter von Lösungen zur Abwehr ™ für Ultimativer Leitfaden TM zu Next-Generation Threat Protection Steve Piper, CISSP Vorwort von David DeWalt Ultimativer Leitfaden™ zu Next-Generation Threat Protection Veröffentlicht von: CyberEdge Group, LLC 1997 Annapolis Exchange Parkway Suite 300 Annapolis, MD 21401, USA (800) 327-8711 www.cyber-edge.com Copyright © 2013, Cyber-Edge Group, LLC. Alle Rechte vorbehalten. Ultimativer Leitfaden™ und das CyberEdge Press-Logo sind Marken der Cyber-Edge Group, LLC in den USA und anderen Ländern. Alle übrigen Marken oder eingetragenen Marken sind Eigentum ihrer jeweiligen Besitzer. Sofern nicht laut United States Copyright Act von 1976 zulässig, darf diese Veröffentlichung ohne vorherige schriftliche Genehmigung durch den Herausgeber nicht vervielfältigt, in einem Archivsystem gespeichert oder in irgendeiner Form (elektronisch, mechanisch, als Fotokopie, Aufzeichnung, Scan etc.) weitergegeben werden. Genehmigungsanfragen richten Sie bitte an den Herausgeber: Permissions Department, CyberEdge Group, 1997 Annapolis Exchange Parkway, Suite 300, Annapolis, MD, 21401, USA oder per E-Mail an [email protected]. HAFTUNGSBESCHRÄNKUNG/HAFTUNGSAUSSCHLUSS: HERAUSGEBER UND VERFASSER MACHEN KEINERLEI ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER GENAUIGKEIT ODER VOLLSTÄNDIGKEIT DER INHALTE DIESES DOKUMENTS UND SCHLIESSEN AUSDRÜCKLICH JEGLICHE GEWÄHRLEISTUNGSPFLICHTEN AUS, INSBESONDERE DIE EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. DIE IN DIESEM DOKUMENT ENTHALTENEN EMPFEHLUNGEN UND STRATEGIEN SIND MÖGLICHERWEISE NICHT FÜR JEDE SITUATION GEEIGNET. WEDER DER HERAUSGEBER NOCH DER VERFASSER KÖNNEN FÜR DURCH DIESES DOKUMENT ENTSTANDENE SCHÄDEN HAFTBAR GEMACHT WERDEN. WIRD EIN UNTERNEHMEN, EINE BEHÖRDE ODER EINE WEBSITE IN DIESEM DOKUMENT ZITIERT UND/ ODER ALS MÖGLICHE QUELLE FÜR WEITERE INFORMATIONEN GENANNT, BEDEUTET DIES NICHT, DASS DER VERFASSER ODER HERAUSGEBER DIE ENTSPRECHENDEN INFORMATIONEN ODER EMPFEHLUNGEN GUTHEISST. WEITERHIN SOLLTEN LESER BEACHTEN, DASS SICH IN DIESEM DOKUMENT AUFGEFÜHRTE WEBSITES SEIT DEM VERFASSEN DES DOKUMENTS UNTER UMSTÄNDEN GEÄNDERT HABEN ODER NICHT MEHR AUFRUFBAR SIND.. Wenn Sie allgemeine Informationen zu den Forschungs- und Marketingberatungsleistungen der CyberEdge Group erhalten oder einen maßgeschneiderten Ultimativen Leitfaden für Ihr Unternehmen anfordern möchten, wenden Sie sich bitte an unsere Vertriebsabteilung unter 800-327-8711 oder per E-Mail an [email protected]. ISBN: 978-0-9888233-0-3 (Taschenbuch); ISBN: 978-0-9888233-1-0 (eBook) Gedruckt in den Vereinigten Staaten von Amerika. 10 9 8 7 6 5 4 3 2 1 Danksagung der Herausgebers Die CyberEdge Group möchte den folgenden Personen für ihren Beitrag danken: Redaktion: Susan Shuttleworth Debbi Stocco, Christian Brennan Valerie Lowery Phil Lin, Lisa Matichak, Brent Remai, David DeWalt Inhalt Vorwort ......................................................................................... v Einleitung ................................................................................... vii Kapitel im Überblick ................................................................................vii Hilfreiche Symbole ................................................................................... ix .......1 Erschreckende Zahlen ...............................................................................2 Jüngste Opfer .............................................................................................3 Angriffe auf Unternehmen...........................................................3 Angriffe auf staatliche Einrichtungen ......................................... 3 Kostspielige Sicherheitslücken ..................................................................4 Die neue Bedrohungslandschaft ............................................................... 5 Traditionelle Angriffe................................................................... 5 Next-Generation Threats .............................................................8 Feinde im Fokus .........................................................................13 Den Feind verstehen ................................................................................ 13 Cyber-Kriminelle........................................................................ 14 Staatlich beauftragte Bedrohungsakteure ................................. 14 Hacktivists .................................................................................. 15 So geht der Feind vor ................................................................................17 Umgehung signaturabhängiger Abwehrmaßnahmen ................17 Umgehung anomaliebasierter Abwehrmaßnahmen ..................17 Die Anatomie komplexer Cyber-Angriffe .................................19 APTs im Detail ......................................................................................... 19 Abgrenzung von APTs ................................................................20 APTs in den Schlagzeilen ......................................................................... 21 Flame (2012) ..............................................................................22 Der Angriff auf RSA SecurID (2011) ..........................................22 Stuxnet (2010) ...........................................................................23 Operation Aurora (2009)...........................................................24 Die Schockwellen eines groß angelegten APT-Angriffs ..........................24 Der APT-Angriffszyklus ...........................................................................25 Phase 1: Eindringen in das System mittels Exploit ...................26 Phase 2: Installieren von Malware auf dem kompromittierten System ........................................... 27 Phase 3: Herstellen ausgehender Verbindungen ......................28 Phase 4: Ausbreitung des Angriffs im Netzwerk .......................28 Phase 5: Diebstahl von Daten ....................................................29 Die Täter entkommen unentdeckt .............................................30 Symptome eines APT-Angriffs ................................................................32 Next-Generation Threat Protection – Ein Überblick ...............35 Idealer Bedrohungsschutz – Eine Vision ................................................36 Signaturunabhängige Sicherheitsverfahren ..............................36 iv | Ultimativer Leitfaden zu Next-Generation Threat Protection Erkennung und Abwehr in einer Appliance ..............................36 ........................................... 37 Hochpräzise Erkennungs-Engine (Detection Engine) ............. 37 Nutzung globaler Bedrohungsdaten ..........................................38 ...........................38 Vergleich mit traditionellen signaturabhängigen Sicherheitslösungen ...................................................................40 Vergleich mit Sandbox-Technologien ....................................... 41 Hauptkomponenten.................................................................................43 Malware Protection System .......................................................43 Virtual Execution Engine ...........................................................43 Central Management System .....................................................44 Cloud Threat Intelligence Network ...........................................44 Next-Generation Threat Protection im Detail ..........................47 Funktionsweise ........................................................................................ 47 Inline- und Out-of-Band-Installationen....................................50 Hauptmerkmale ....................................................................................... 51 Virtuelle Ausführung verdächtiger Objekte .............................. 51 Fast-Path-Blocking ....................................................................52 Quarantäne für schädliche Dateien ........................................... 53 Zentrale Verwaltung .................................................................. 53 Austausch von Malware-Informationen.................................... 54 Unterstützung eigener Regeln ................................................... 55 AV-Integration ........................................................................... 55 Rollenabhängige Zugriffsrechte ................................................56 Dashboard ..................................................................................56 Berichte ...................................................................................... 57 Warnungen.................................................................................58 Integration von NGTP in die vorhandene Netzwerk-Infrastruktur .......58 SIEM...........................................................................................59 Security Intelligence and Analytics ........................................... 59 Incident Management ................................................................60 Die Wahl der richtigen NGTP-Lösung .......................................63 Negative Merkmale ..................................................................................63 Wichtige Kaufkriterien ............................................................................64 Integrierte NGTP-Plattform für die Web-, E-Mail- und Dateiprüfung ..............................................................................65 Überwachung von ein- und ausgehendem Datenverkehr......... 65 Analyse einer Vielzahl von Dateitypen ...................................... 65 Lösung für die manuelle Malware-Analyse ...............................66 Keine falsch positiven oder falsch negativen Ergebnisse .......... 67 Unterstützung eigener Regeln ................................................... 67 ....................................68 Schnell erreichbarer Kundensupport ........................................68 Glossar ........................................................................................69 Vorwort Z ahlreiche Gespräche mit Kunden und führenden Köpfen auf der ganzen Welt haben mir eines gezeigt: Es gibt erhebliche Diskrepanzen zwischen dem benötigten Maß an Netzwerksicherheit und dem Schutz, den traditionelle Lösungen bieten. Die Ursache: Cyber-Angriffe der nächsten Generation sind längst Realität, aber werden mit traditionellen Sicherheitstools bekämpft, die auf Jahrzehnte alten Technologien basieren. Die Sicherheitsbranche muss neue Ansätze entwickeln, da sich das Bedrohungsrisiko durch intelligente Cyber-Kriminelle mit inkrementellen Verbesserungen nicht beseitigen lässt. Ich habe mehrfach darauf hingewiesen, dass das aktuelle Modell für Cyber-Sicherheit nicht ausbaufähig ist und grundlegend verändert werden muss. Darum freue ich mich über diesen Leitfaden. Ich bin überzeugt, dass wir uns gegenseitig Informationen zur Verfügung stellen müssen, um gegen moderne Cyber-Angriffe gewappnet - ziellen und geopolitischen Zielen betrieben wird. Die Täter gehen dabei immer skrupelloser vor. Für mich ist es eine Ehre, im National Security Telecommunications Advisory Committee von Präsident Obama als auch im Aufsichtsrat von Delta Airlines, Mandiant und Polycom zu sitzen. In dieser privilegierten Stellung bietet sich für mich die einmalige Gelegenheit, einen Dialog zwischen dem öffentlichen und dem privaten Sektor herzustellen. Gemeinsam müssen wir innovative Lösungen entwickeln, um geschäftskritische Infrastruktur umfassend zu schützen. Es ist schwer zu glauben, dass Cyber-Kriminelle und APTAngreifer scheinbar mühelos in Netzwerke eindringen können, um Daten zu stehlen und Systeme lahmzulegen – obwohl Unternehmen und Behörden letztes Jahr mehr als 20 Milliarden Dollar in IT-Sicherheitstechnologien investiert haben! vi | Ultimativer Leitfaden zu Next-Generation Threat Protection In diesem Leitfaden erfahren Sie, wie Sie Lücken in Ihrem Netzwerk schließen und die neue Generation von CyberAngriffen abwehren können. Der weltweit dramatische Anstieg von Sicherheitsverletzungen zeigt, wie stark verbreitet und komplex diese Cyber-Angriffe inzwischen sind. Ich kann Ihnen nur empfehlen, diesen Leitfaden zu lesen und die Informationen an Ihre Kollegen und andere Interessensgruppen weiterzugeben. Ohne moderne Technologie, eine branchenübergreifende Zusammenarbeit und engere Verbindungen zwischen dem öffentlichen und privaten Sektor können wir den Kampf gegen Cyber-Angriffe der nächsten Generation nicht gewinnen. Durch meine Arbeit bei FireEye möchte ich einen Beitrag zur Entwicklung branchenführender Plattformen leisten, die für umfassende Cyber-Sicherheit sorgen. Seit meinem Abschied von McAfee wurden mir verschiedene CEO-Positionen angetragen. Die Entwicklung von FireEye habe ich dabei seit Jahren intensiv beobachtet. Darum freue ich mich, nun ein Teil dieses innovativen Unternehmens zu sein. Mit diesem Leitfaden können Sie den Grundstein für die Bereitstellung einer NGTP-Plattform legen – und Ihre Netzwerksicherheit auf eine neue Stufe heben. David DeWalt CEO bei FireEye Einleitung I n den letzten Jahren sind zahlreiche Unternehmen und Behörden Opfer erfolgreicher Cyber-Angriffe geworden. Dabei haben die Reichweite und Komplexität der Angriffe stark zugenommen. Trotz jährlicher Sicherheitsausgaben von 20 Milliarden Dollar sehen sich Organisationen einer neuen Generation von Cyber-Angriffen wie Advanced Malware und Advanced Persistent Threats (APTs) ausgesetzt. Diese Bedrohungen sind dynamisch, versteckt und extrem erfolgreich, wenn es um die Kompromittierung von Netzwerken geht. Um hochspezialisierte Angreifer daran zu hindern, unsere Systeme anzugreifen, Daten zu stehlen und kritische Infrastruktur zu beschädigen, müssen wir neue Wege beschreiten. Wir müssen die Beschränkungen traditioneller signaturabhängiger Sicherheitslösungen erkennen und innovative Technologien nutzen, um die neue Generation von Cyber-Angriffen entdecken und stoppen zu können. Zum Glück gibt es hierfür eine Lösung: Next-Generation Threat Protection (NGTP). Hierbei handelt es sich um eine neue, innovative Plattform für Netzwerksicherheit, mit der sich Bedrohungen der nächsten Generation zuverlässig abwehren lassen. Für Sicherheitsexperten in Unternehmen ist dieser Kapitel im Überblick In Kapitel 1 „Bedrohungen der nächsten Generation erfahren Sie mehr über die hohe Zahl an Sicherheitsverletzungen, aktuelle Angriffe auf bekannte Unternehmen und Behörden sowie die durch erfolgreiche Angriffe verursachten Kosten. Außerdem vergleichen wir traditionelle Strategien mit den Cyber-Angriffen der nächsten Generation. lernen Sie drei Arten von Cyber-Angreifern kennen (Cyber-Kriminelle, staatlich beauftragte Bedrohungsakteure und Hacktivists) und erfahren, viii | Ultimativer Leitfaden zu Next-Generation Threat Protection warum es Angreifern so leicht fällt, traditionelle Abwehrmaßnahmen zu umgehen. weltweit Schlagzeilen gemacht haben. Anschließend beleuchten wir die möglichen Auswirkungen erfolgreicher APT-Angriffe auf kritische Infrastruktur. Außerdem werden Sie die fünf Phasen eines APT-Lebenszyklus und eindeutige Anzeichen für APT-Angriffe auf Ihr Unternehmen kennenlernen. In Kapitel 4 „Next-Generation Threat Protection – kommen wir zu unserem eigentlichen Thema. Hier werde ich Next-Generation Threat Protection Lösung beschreiben und NGTP mit traditionellen signaturabhängigen Sicherheitslösungen und Sandbox-Technologien vergleichen. In Kapitel 5 „Next-Generation Threat Protection im erfahren Sie, wie mithilfe von NGTP neue CyberDateien verborgen sind, abgewehrt werden können. Außerdem stelle ich Ihnen die wichtigsten Funktionen führender NGTP-Lösungen sowie bewährte Methoden zur Integration der Lösungen in vorhandene Netzwerkinfrastrukturen vor. geht es um die Frage, worauf man bei der Wahl einer geeigneten NGTP-Lösung achten sollte. Das Glossar Begriffen bereit, die in diesem Leitfaden wiederholt verKursivschrift hervorgehoben. Einleitung | ix Hilfreiche Symbole TIPP Unternehmen umsetzen können. MERKEN ACHTUNG Dieses Symbol kennzeichnet wichtige Informationen, die Sie sich gründlichst durchlesen sollten. Lassen Sie hier besondere Sorgfalt walten, um Ihrem Unternehmen kostspielige Sicherheitsverletzungen zu ersparen. TECHNIK gerichtet. INTERNET Sie möchten mehr erfahren? Klicken Sie einfach auf den Link, um über das Internet zusätzliche Ressourcen abzurufen. Kapitel 1 Bedrohungen der nächsten Generation – In diesem Kapitel: Aktuelle Zahlen zu Sicherheitsverletzungen Traditionelle Cyber-Angriffe Informationen zu Advanced Malware, Zero-Day Exploits und Advanced Persistent Threats H eutige Cyber-Angriffe sind ausgeklügelter als je zuvor. Das im vergangenen Jahr beobachtete Ausmaß und die gestiegene Komplexität von Sicherheitsverletzungen sind alarmierend. Aus diesem Grund müssen CISOs die Sicherheitskonzepte ihrer Organisation von Grund auf neu überdenken. Cyber-Kriminelle verfolgen heute andere Ziele als früher. Bei Angriffen geht es nicht mehr um Spaß am Programmieren, Cyber-Kriminelle Angriffsmethoden, gegen die aktuelle, signaturabhängige Abwehrmaßnahmen machtlos sind. Unternehmen müssen sich also auf eine neue Art von CyberAngriffen einstellen. Multivektorbasierte und Bedrohungen können traditionelle Abwehrmaßnahmen wie Firewalls, Intrusion-Prevention-Systeme (IPS), Secure Web- und Email Gateways sowie Antivirusplattformen problemlos umgehen. Wie schlimm ist die Lage wirklich? Werfen wir einen Blick auf aktuelle Zahlen und Beispiele für besonders gefährliche Cyber-Angriffe. 2 | Ultimativer Leitfaden zu Next-Generation Threat Protection Erschreckende Zahlen Renommierte Forschungsinstitute für Cyber-Sicherheit untersuchen Trends bei Cyber-Angriffen auf Unternehmen. Ein Beispiel hierfür ist das RISK-Team (Response, Intelligence, beachteten „Data Breach Investigations Report“ veröffentlicht. Wochen entdeckt (plus 6 Prozent) Hacking (plus 31 Prozent) (plus 20 Prozent) INTERNET unter www.verizonbusiness.com. Ebenfalls im letzten Jahr veröffentlichte FireEye, ein führender Anbieter von Bedrohungsschutz der nächsten Generation, seinen „Advanced Threat Report“ für das erste Halbjahr 2012. Demnach haben es Unternehmen im Durchschnitt mit traditionelle Abwehrmaßnahmen wie Firewalls, IntrusionPrevention-Systeme und Antivirus-Software umgangen wer- INTERNET Eine kostenlose Kopie des Berichts von FireEye erhalten Sie Trotz jährlicher Ausgaben für Sicherheitsprodukte und steigt der Prozentsatz der von externen Angreifern verursachten Sicherheitsverletzungen. Das Gleiche gilt auch für Angriffe mehrere Wochen, um schwere Sicherheitsverletzungen zu erkennen. Jüngste Opfer Wenn Unternehmen und Behörden keinen neuen, intelligenteren Ansatz zur Abwehr von Bedrohungen der nächsten Generation implementieren, werden sie weiterhin ungewollt in den Schlagzeilen landen. Hier eine Auswahl der jüngsten Angriffe auf prominente Unternehmen und staatliche Ein- Angriffe auf Unternehmen Global Payments wird im Januar 2011 Opfer eines Angriffs, bei dem Citigroup bekannt, dass ein Cyber-Angriff zum Diebstahl von über 360.000 Kreditkartennummern geführt hat; RSA Security promittieren die Sicherheitsplattform SecurID und machen deren Tokens zu einem Sicherheitsrisiko. TIPP Der Kasten „RSA Security geht mit APT-Angriff an die Öffentlichkeit“ in Kapitel 3 enthält weiterführende Informationen zu diesem Angriff. Angriffe auf staatliche Einrichtungen South Carolina Department of Revenue nummern extrahieren. 4 | Ultimativer Leitfaden zu Next-Generation Threat Protection U.S. Environmental Protection Agency (EPA) - Iran Atomprogramm ausbremsen. Kostspielige Sicherheitslücken MERKEN Um neben traditionellen Angriffen auch Bedrohungen der nächsten Generation abwehren zu können, müssen IT-Abteilungen eine Defense-in-Depth-Strategie mit verschiedenen Abwehrmaßnahmen für Netzwerk und Endpoints umsetzen. Im Extremfall ist sogar der Fortbestand Ihres Unternehmens gefährdet. 2012 hat das Ponemon Institute (www.ponemon.org) seinen dritten Jahresbericht unter dem Titel „2012 Cost of Cyber Cyber-Kriminalität lagen im vergangenen Jahr bei durch(ein Plus von 6 Prozent). Außerdem werden laut Ponemon INTERNET Ein Gratisexemplar des Berichts von Ponemon erhalten Sie Auf Unternehmen, die von Sicherheitsverletzungen betroffen Kosten für Analysen und Forensik Kosten für die Kommunikation mit Kunden und Partnern PR-Kosten Entgangene Umsätze aufgrund des angeschlagenen Rufs Zivilrechtliche Klagen und Anwaltsgebühren Beim Schutz vor Cyber-Angriffen gilt weiterhin die Regel, dass Threat Protection in ihre Defense-in-Depth-Architektur zu integrieren, um neuartige Cyber-Angriffe abwehren zu können. Die neue Bedrohungslandschaft Unternehmen und Behörden sind heute Dutzenden Arten verschiedener Cyber-Angriffe ausgesetzt. Stark vereinfacht kann die heutige Bedrohungslandschaft in zwei Kategorien nächsten Generation. Traditionelle Angriffe Zu den herkömmlichen Cyber-Angriffen, die in diesem Abschnitt beschrieben werden, gehören einige alte Bekannte. Auch wenn sie von IPS-Geräten, Next-Generation-Firewalls und Antivirus-Software in den meisten Fällen erkannt wer- Würmer, Trojaner und Viren Ein Wurm in einem Netzwerk selbst repliziert (meist über Schwachstellen im Betriebssystem) und auf diese Weise weiter ausbreitet. von Bandbreite an. Sie lassen sich jedoch auch als „lateraler“ Angriffsvektor nutzen, der scheinbar sichere interne Systeme 6 | Ultimativer Leitfaden zu Next-Generation Threat Protection Würmer nicht an andere Programme oder Dateien an. Ein Trojaner (oder Trojanisches Pferd) tarnt sich als nützliche Anwendung, um einem Hacker unbefugten Zugriff auf einen System selbst replizieren, jedoch eigenständig keine anderen tern bilden sie Netzwerke (siehe Botnets im nächsten Abschnitt), in denen sie auf weitere Befehle warten und an die sie gestohNetzwerke oder raubkopierte Installationsprogramme bekannter Spiele oder Anwendungen verbreitet werden. Ein Virus ist schädlicher Code, der ärgerliche bis absolut katastrophale Folgen haben kann. Er hängt sich an ein Programm oder eine Datei an, um sich von einem Computer auf einen anderen zu verbreiten. Im Gegensatz zu Würmern können Spyware und Botnets Spyware ist Software, die über eine Internetverbindung verwendet (sogenannte Adware, die Pop-up-Werbung anzeigt). In manchen Fällen werden jedoch Benutzernamen, Kennwörter und Kreditkartennummern ausgespäht. SpywareAnwendungen werden meist als versteckte Komponente eines Shareware- oder Freeware-Programms verbreitet, das Benutzer aus dem Internet herunterladen. Nach der Installation überwacht Spyware die Aktivitäten von Benutzern und sendet diese Informationen heimlich an ein anderes System. TECHNIK Bei einem Botnet Computer, die mit dem Internet verbunden sind. Die kompromittierten Geräte werden Bots (oder Zombies) genannt, während die Person, die ein Botnet steuert, den Namen Bot Herder (oder Botmaster) trägt. Zur Steuerung und Kontrolle eines Botnets werden meist Webserver verwendet (sogenannte Command-and-Control- oder CnC-Server). Einige ältere Botnets werden noch per Internet Relay Chat (IRC) kontrolliert. Bots werden genutzt, um Denial-of-Service- auszuführen, Spam zu verbreiten, gestohlene Daten zu speiherunterzuladen. Social-Engineering-Angriffe Social-Engineering-Angriffe wie Phishing und Baiting sind heute weit verbreitet. Wie Sie in Kapitel 3 erfahren werden, können diese Bedrohungen bei erfolgreicher Umsetzung deutlich gefährlichere Cyber-Angriffe zur Folge haben. zernamen, Kennwörter, Kreditkartendaten oder Sozialversicherungsnummern (und damit indirekt Geld) zu stehlen, ausgibt. Nach dem Klicken auf einen scheinbar harmlosen Hyperlink wird der Benutzer aufgefordert, persönliche Daten in ein gefälschtes Webformular einzugeben, das dem Original täuschend ähnlich sieht. werden einzelne Personen in einem Unternehmen angegriffen. Dabei sammeln Angreifer zuvor personenbezogene Informationen über ihre Opfer, um die Erfolgswahrscheinlichkeit zu erhöhen. werden Führungskräfte und andere lukrative Ziele innerhalb eines Unternehmens ins Beim oder „Streng vertraulich“ beschriftet, um die Aufmerksamkeit Pufferüberläufe und SQL-Injection-Angriffe sind Pufferüberläufe und SQL-Injection-Angriffe. Ein Pufferüberlauf ist ein Cyber-Angriff, bei dem der Hacker mehr Daten in den Puffer eines Speichers schreibt, als dieser aufnehmen kann. Ein Teil dieser Daten läuft in den angren- 8 | Ultimativer Leitfaden zu Next-Generation Threat Protection zenden Speicher über, sodass die Desktop- oder webgestützte Anwendung jeglichen Code mit erweiterten Rechten ausführt oder das System zum Absturz bringt. Pufferüberläufe werden in der Regel durch Eingaben von Hackern oder schädliche Dateien bzw. Webobjekte verursacht, die Code ausführen oder die Funktionsweise eines Programms verändern. SQL Injection werden über eine Website oder webgestützte Anwendung Datenbanken angegriffen. In einem Webformular gibt der Angreifer SQL-Befehle ein, damit die Webanwendung die bösartige SQL-Anweisung an die Datenbank überträgt. Ist der SQL-Injection-Angriff erfolgreich, kann der Angreifer auf Datenbankinhalte wie Kreditkartendaten, Kennwörter, Adressen und vieles mehr zugreifen. Next-Generation Threats Traditionelle, signaturabhängige Abwehrmaßnahmen wie IPS, NGFW und Antivirusprodukte sind insbesondere zur Erkennung bekannter Bedrohungen geeignet. Heute sind es jedoch meist unbekannte Bedrohungen, die besonders großen Schaden anrichten. TIPP In diesem Abschnitt lernen Sie die gefährlichsten CyberAngriffe kennen, denen Unternehmen und Behörden heute ausgesetzt sind. In Kapitel 2 wird beschreiben, warum traditionelle Abwehrmaßnahmen zur Erkennung und Abwehr von Bedrohungen der nächsten Generation ungeeignet sind. Zero-Day Exploits Ein Zero-Day Exploit ist ein Cyber-Angriff auf eine unbekannte Schwachstelle in Betriebssystemen oder Anwendundavor), also bevor die Schwachstelle öffentlich bekannt wird. Zum Teil wissen nicht einmal die Hersteller, dass eine Sicherheitslücke vorhanden ist. (Genauso ist es möglich, dass Hersteller die Schwachstelle zwar kennen, sie jedoch nicht öffentlich gemacht haben, da bislang kein Patch verfügbar ist.) MERKEN Zero-Day-Angriffe sind äußerst effektiv, da sie lange Zeit Jahre). Wenn sie endlich erkannt werden, kann es noch Tage oder Wochen dauern, bis ein entsprechender Patch entwickelt worden ist. Advanced Persistent Threats Advanced Persistent Threats (APTs, auch Advanced Taroder ATAs genannt) sind ausgeklügelte Netzwerkangriffe, mit denen sich eine nicht autorisierte Person Zugriff auf ein Netzwerk verschaffen und dabei lange Zeit unerkannt bleiben kann. Das Ziel von APT-Angriffen besteht hauptsächlich darin, Daten zu stehlen. APT-Angriffe richten sich an Unternehmen in Branchen, in denen hochsensible Informationen verarbeitet werden. Hierzu gehören Zahlungsdienstleister, staatliche Behörden und Unternehmen aus der Finanzindustrie. Zugang zum gewünschten Netzwerk zu verschaffen (siehe vorherigen Abschnitt zu Phishing und Baiting). Sobald der Strategie an, um eine Erkennung zu verhindern. TIPP Kapitel 3 beschäftigt sich näher mit APT-Angriffen und der Frage, wie intelligente Cyber-Kriminelle langfristige und versteckte Taktiken für besonders schwere Sicherheitsverletzungen verwendet haben. dass APT-Angriffe ausschließlich von Staaten (wie China oder Russland) für politische Zwecke eingesetzt werden, während vieren. Andere Branchenexperten verwenden den Begriff, um von einem beliebigen „komplexen“ Cyber-Angriff zu sprechen heitsansicht entspricht. Polymorphe Bedrohungen Eine ist ein Cyber-Angriff (zum - tinuierlich seine Gestalt verändert, um signaturabhängige pher Bedrohungen kann auf verschiedene Weise erfolgen, zum Beispiel durch Änderung des Dateinamens oder Komprimierung (Dateigröße). 10 | Ultimativer Leitfaden zu Next-Generation Threat Protection Auch wenn sich das Aussehen des Codes in einer polymorphen prinzipiell gleich. Ein Spyware-Programm, das als ohne Erlaubnis Tastatureingaben aufzeichnet, führt diese Aufgabe beispielsweise weiter aus, auch wenn sich die Signatur verändert. Die Entwicklung polymorpher Bedrohungen erschwert IT-Sicherheitsexperten die Arbeit ungemein. Hersteller, die signaturabhängige Sicherheitsprodukte anbieten, müssen kontinuierlich neue Bedrohungssignaturen erstellen und verbreiten. Dies ist ein extrem teures und zeitaufwändiges Hosts müssen diese Signaturen regelmäßig aktualisieren. Kasten „Warum Windows besonders anfällig für CyberAngriffe ist“). Dies ist ein Teufelskreis, in dem Cyber-Kriminelle ihren Opfern immer einen Schritt voraus sind. Kombinierte Angriffe Ein ist ein Cyber-Angriff, bei dem (Pfade und Angriffsziele), um das Schadensausmaß und Angriffe. Ausnutzung von Schwachstellen in BetriebsGeplante Kompromittierung von Netzwerk-Hosts ACHTUNG IT-Sicherheitsexperten stufen kombinierte Angriffe als größte sind. Warum Windows besonders anfällig für Cyber-Angriffe ist Wenn die Fachpresse von schwerwiegenden Sicherheitsverletzungen berichtet, sind davon meist - - dem Diebstahl von Laptops oder zu und bieten in der Regel zwei Deshalb weist Windows zahlreiche dem Quasi-Monopol zusammen, - - - es vor allem um Schwachstellen in Windows-Betriebssystemen - - mit Viren, Malware und anderen Sicherheit aber eine zentrale Rolle Worten: Der Benutzer sollte sein gesamtes Betriebssystem nach Kapitel 2 Feinde im Fokus In diesem Kapitel Kategorisierung von Cyber-Kriminellen Strategien zur Umgehung traditioneller Sicherheitslösungen „Wenn du dich selbst und deinen Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten. Wenn du dich selbst kennst, aber nicht deinen Feind, wirst du für jeden Sieg, den du erringst, auch eine Niederlage erleiden.“ – Sun Tzu, Die Kunst des Krieges „K enne deinen Feind“ ist ein berühmter Ratschlag aus Sunzis viel zitiertem Werk Die Kunst des Krieges. Auch auf den heute tobenden Cyber-Krieg (oder auch CyberTerrorismus) lässt sich dieser Ausspruch erstaunlich gut anwenden. Bevor wir uns in Kapitel 3 näher mit Advanced Persistent Threats beschäftigen und in Kapitel 4 mehr über effektive Schutzmaßnahmen erfahren, wollen wir einen Blick hinter die Kulissen werfen: Welche Strategien verfolgen unsere Feinde, und warum haben sie Erfolg? Den Feind verstehen Jahren stark verändert. In den 70er und 80er Jahren des letzten Jahrhunderts erfreute sich das sogenannte Phreaking von Telefonverbindungen großer Beliebtheit. Dabei wurden Vermittlungssysteme manipuliert, um kostenlose Ferngespräche zu ermöglichen. Durch den Film „WarGames“ mit Matthew Broderick aus dem Jahr 1983 lernte die breite Öffentlichkeit 14 | Ultimativer Leitfaden zu Next-Generation Threat Protection das Hacken von Computern per Modem kennen. Die Legende des Hackers als modernem Cyber-Held war geboren. In den 90er Jahren fand der Siegeszug des World Wide Web statt. In dieser Zeit sabotierten Hacker öffentliche Websites, um damit anzugeben. Dies änderte sich zur Jahrtausendwende. MERKEN Hacking ist heute eine Industrie, in der Milliarden umgesetzt werden. Um den einfachen Kick geht es dabei lange nicht mehr. Wir können heute von drei Arten an Cyber-Angreifern sprechen, die Unternehmen und Behörden attackieren: Cyber-Kriminelle, staatlich beauftragte Bedrohungsakteure und Hacktivists. Cyber-Kriminelle Gründen betreiben. Meist brechen sie in Netzwerke von Unternehmen oder Behörden ein, um Kreditkartennummern zu stehlen (zum Teil Hunderttausende davon) und diese auf dem Markt zu verkaufen. Anmeldedaten für Facebook, Twitter oder E-Mail-Konten sind zwar weniger lukrativ, lassen sich jedoch auch zu Geld machen. Einer der prominentesten Cyber-Kriminellen, der bislang für seine Taten verurteilt wurde, ist Albert Gonzales. 2010 wurde Gonzales verurteilt, weil er die Daten von über 170 Millionen Kreditkartenbesitzern gestohlen hatte. Das harte Urteil: 20 Jahre Gefängnis. Dies ist die höchste Strafe, die ein Cyber-Krimineller bislang erhalten hat. Staatlich beauftragte Bedrohungsakteure Die vielleicht wichtigste Entwicklung der letzten zehn Jahre war das Auftreten staatlich beauftragter Bedrohungsakteure. Hierbei handelt es sich um Personen, die von einer Regierung (nicht unbedingt der eigenen Regierung) beauftragt werden, in Computersysteme von Unternehmen oder Regierungen anderer Staaten einzudringen, um Daten zu auszuspionieren, Systeme zu sabotieren oder einen Cyber-Krieg zu entfesseln. China und Russland sind Länder, die immer wieder genannt werden, wenn es um staatlich geförderte Bedrohungsakteure geht. Sie sind jedoch keineswegs die einzigen Länder. Kapitel 2 : Feinde im Fokus | 15 Nachfolgend einige Beispiele für Cyber-Angriffe, hinter denen Staaten vermutet werden – darunter auch die USA: Dem Iran werden Cyber-Angriffe gegen US-amerikanische Banken sowie Ölkonzerne in Saudi-Arabien und Katar zugeschrieben (2012). Die USA und Israel sollen hinter der Entwicklung einer Malware namens Flame stecken, mit der der Iran, Syrien und weitere Länder angegriffen wurden (2012). rungsplattform SecurID (2011). USA und Israel sollen den Stuxnet-Wurm in Umlauf gebracht haben, um das iranische Programm zur Urananreicherung zu sabotieren (2010). China greift mit der „Operation Aurora“ Google an, um auf die Gmail-Konten chinesischer Menschenrechtsaktivisten zuzugreifen. Angegriffen werden außerdem Adobe, Juniper, Dow Chemical, Northrop Grumman und andere (2009). China stiehlt Pläne für die neuen amerikanischen Russland greift im Streit um ein Soldatendenkmal in Tallinn die Websites des estnischen Parlaments sowie von estnischen Ministerien, Banken und Zeitungen an (2007). Der Iran hat kürzlich ein Regierungsprogramm in Höhe von 1 Milliarde Dollar verabschiedet, um das nationale CyberProgramm auf eine neue Stufe zu heben. Experten gehen zwar davon aus, dass China und Russland dem Iran im Cyber-Krieg deutlich überlegen sind. Angesichts der angespannten Situation im Zusammenhang mit dem iranischen Atomprogramm ist es jedoch viel wahrscheinlicher, dass der Iran amerikanische Cyber-Infrastruktur ins Visier nimmt. Hacktivists Hacktivism besteht aus der Verwendung digitaler Tools zur Verfolgung politischer Ziele. Im Gegensatz zu Cyber-Kriminelpolitische Ziele. Typische Cyber-Angriffe von Hacktivists umfassen die Sabotage von Websites, Weiterleitungen, den 16 | Ultimativer Leitfaden zu Next-Generation Threat Protection Diebstahl von Daten und virtuelle Sit-Ins mithilfe von DDoSAngriffen (dabei werden Websites mithilfe Hunderter oder Tausender simultaner und wiederholter Verbindungsanfragen lahmgelegt). Manche Hacktivists bilden Netzwerke, um Opfer gemeinsam anzugreifen. 2011 übernahm LulzSec die Verantwortung für mehrere Cyber-Angriffe (darunter verschiedene Angriffe auf Sony) sowie das Lahmlegen der CIA-Website. Im Anschluss an die Luftangriffe auf den Gazastreifen 2012 übernahm Anonymous die Verantwortung für Angriffe auf die Websites israelischer Behörden. Cyber-Söldner In einem Bericht vom August 2012 behauptet der American Foreign Policy Council (AFPC; www. afpc.org), dass Russland CyberKriminelle (darunter Mitglieder des einst berüchtigten Russian Business Network, RBN) mit der Ausführung staatlicher Cyberdas RBN an verschiedenen cyberkriminellen Aktivitäten beteiligt, darunter Phishing, Malware und Laut dem AFPC-Bericht gibt es zwei Gründe, warum Russland Cyber-Kriminelle – oder wie ich sie nennen möchte: Cyber-Söldner – bezahlt. Zum einen ist dies eine Söldner auch dann Geld verdienen können, wenn sie gerade nicht für den Staat arbeiten. Zum anderen kann die Spur auch trotz gründlicher forensischer Analysen nicht auf staatliche Rechensysteme zurückgeführt werden. Viele Bürger in den westlichen Demokratien können sich nicht vorstellen, dass Regierungen auf die Dienste von Kriminellen zurückgreifen. Russland ist jedoch nicht das einzige Land, das mit Cyber-Kriminellen gemeinsame Sache macht. FireEye (www.fireeye.com), Spezialist für Netzwerksicherheit und führender Anbieter für Bedrohungsschutz der für die gängige Theorie gesammelt, dass China mit Cyber-Kriminellen erkaufen und Unternehmen oder Behörden leichter infiltrieren zu können. 2011 entdeckten Analysten von FireEye eine Klasse von APT-Malware, die mit Ghostnet verbunden war. Bei Ghostnet handelte es sich um eine groß angelegte CyberSpionage-Operation, deren Command-and-Control-Infrastruktur in China verortet werden konnte. Über die gleichen Systeme wurde auch reguläre Malware von CyberKriminellen verbreitet. Ein Zufall? Wohl kaum. Kapitel 2 : Feinde im Fokus | 17 So geht der Feind vor Nun kennen Sie bereits die drei wichtigsten Cyber-Angreifer: Cyber-Kriminelle, staatlich beauftragte Bedrohungsakteure und Hacktivists. Im Folgenden erfahren Sie, worin ihr Erfolgsgeheimnis besteht. Umgehung signaturabhängiger Abwehrmaßnahmen Traditionelle Sicherheitsprodukte für Netzwerke und Endpoints wie Intrusion-Prevention-Systeme (IPS), Next-Generation-Firewalls, Secure Gateways und Antiviruslösungen nutzen Signaturen (auch Regeln oder Filter genannt) zur Erkennung von Mustern. So können sie bekannte und – in manchen Fällen – auch unbekannte Angriffe, die auf bekannte Diese Abwehrmaßnahmen sind äußerst effektiv, wenn es um den Schutz vor bekannten Cyber-Angriffen wie Würmern, Trojanern, Spyware, Botnets und einfachen Viren geht. Gegen Cyber-Angriffe der nächsten Generation wie Zero-Day Exploits, gezielte Angriffe, polymorphe Malware, kombinierte Angriffe und APTs sind sie jedoch machtlos (siehe Kapitel 1). In vielen Fällen gelingt es Cyber-Kriminellen mit diesen Angriffen, traditionelle Sicherheitslösungen vollständig zu umgehen. Es gibt keine Signaturen, mit denen sich die intelligenten Strategien erkennen lassen, die in der ersten Phase eines Angriffs verwendet werden, um sich die Kontrolle über das Netzwerk zu verschaffen. ACHTUNG Verstehen Sie mich nicht falsch. Traditionelle signaturabhängige Sicherheitslösungen sind weiterhin zentrale Komponenten einer Defense-in-Depth-Strategie. Sie reichen jedoch nicht aus, um Cyber-Angriffe der nächsten Generation abzuwehren, die verschiedene Kommunikationskanäle (z. B. Web und E-Mail) nutzen und in mehreren Phasen durchgeführt werden. Umgehung anomaliebasierter Abwehrmaßnahmen Hochwertige IPS- und Network-Behavior-Analysis (NBA)Lösungen wenden anomaliebasierte Methoden an, um 18 | Ultimativer Leitfaden zu Next-Generation Threat Protection komplexe Cyber-Angriffe zu erkennen. Sie fassen Flow-Daten (z. B. aus NetFlow, sFlow, cFlow) von Netzwerk-Routern und Switches zusammen, um für Tage oder Wochen den „normalen“ Netzwerkverkehr zu errechnen. Nach der Ermittlung der Baseline lassen sich Anomalien im Netzwerk erkennen. Beispiele für anomales Verhalten: Ein Host sendet riesige Datenmengen an Ziele außerhalb des Unternehmens. Oder: Das Gerät eines Endbenutzers kommuniziert direkt mit Geräten anderer Endbenutzer. Auch wenn anomaliebasierte Sicherheitslösungen bestimmte Ereignisse, die von Bedrohungen der nächsten Generation verursacht werden, erkennen können, sind sie wenig hilfreich, da viele falsch positive Meldungen auftreten (legitimer langfristigen und versteckten Natur von Advanced Persistent Threats gibt es auch viele falsch negative Einstufungen (verdächtiger Verkehr wird als unbedenklich eingestuft). Kapitel 3 Die Anatomie komplexer Cyber-Angriffe In diesem Kapitel I m ersten Kapitel habe ich die Unterschiede zwischen herkömmlichen Cyber-Angriffen und Cyber-Angriffen der nächsten Generation erläutert. Im zweiten Kapitel habe ich dargelegt, weshalb diese neue Generation von Bedrohungen herkömmliche Abwehrmaßnahmen so wirksam umgeht. In diesem Kapitel möchte ich nun auf eine Klasse von komplexen Cyber-Angriffen zu sprechen kommen, die mit Abstand am sogenannten Advanced Persistent Threats, kurz APTs. tion eines APT ein. Ausgehend von einigen der spektakulärsten die betroffenen Unternehmen und Institutionen auf. Abschließend skizziere ich den vollständigen Angriffszyklus eines APT rung eines Netzwerks durch einen APT-Angriff hinweisen. APTs im Detail - erschöpfend. APTs unterscheiden sich nämlich grundsätzlich von allen bisher bekannten Cyber-Angriffen. Advanced: mit den Techniken von Cyber-Angriffen und Persistent: liche Arbeit im Verborgenen zu erreichen sucht. Threat: MERKEN APTs gelten als derzeit gefährlichste Form eines Cyber- Unternehmen und Behörden entwenden. APT-Angriffs geworden sind, wenn es bereits zu spät ist. Laut aufmerksam gemacht. Abgrenzung von APTs sind, ist die Abgrenzung von dem, was sie nicht sind nur Malware. Bei einem APT handelt es sich nicht um einen vereinzelten Vorgang. APTs gelten immer einem bestimmten APTs sind sorgfältig koordinierte, ausgedehnte Kampagnen, fassen APTs verschiedene Formen von Cyber-Angriffen zu einem komplexen, koordinierten Angriff zusammen, der aus mehreren Phasen besteht. Drei Mythen über APT-Angriffe APTs sind eines der am meisten diskutierten Themen im Bereich - - - Mythos Nr. 1: Nur bestimmte Branchen sind Ziel von APTs. - oder durch eine andere Art von Mythos Nr. 3: APTs können mit herkömmlichen Abwehrmaßnahmen beherrscht werden. - Mythos Nr. 2: APTs zielen nur auf - - APTs in den Schlagzeilen den. Im Folgenden werfen wir einen Blick auf die prominentesten APT-Angriffe der vergangen vier Jahre. INTERNET Breach Blog des SC Magazine unter www.scmagazine.com/ Flame (2012) Universität Budapest aufgedeckter APT. Kaspersky Lab wurde von der Internationalen Fernmeldeunion damit beauftragt, Ölministeriums nachzugehen. des iranischen Atomprogramms eingesetzt werden könnten. ware-Module herunterzuladen. In vollem Umfang ist Flame Flame gilt als die komplexeste Malware, die jemals entwickelt geschaffen wurde, um iranische Computernetzwerke auszuvon Informationen gesendet, der zur Vorbereitung auf einen Cyber-Krieg genutzt werden kann. Der Angriff auf RSA SecurID (2011) - waren. Vor allem die Meldung von Lockheed Martin ließ andere Unternehmenswerte seien jedoch nicht betroffen. sein soll. INTERNET lichkeit gegangen war, veröffentlichte ein Mitarbeiter der Firma in einem Blog genauere Angaben zu dem in mehreren keit“ weiter unten in diesem Kapitel. Stuxnet (2010) Stuxnet - eines APT-Angriffs auf iranische Urananreichungsanlagen - mechanismen, die iranische Anlage schließlich zu verlassen schließlich entfernen. Operation Aurora (2009) einem Blog wurde angedeutet, dass der Angriff von China aus gestartet wurde und die Gmail-Konten chinesischer Menschen- space-Kundenkonten betrieben wurden. Anschließend begann Die Schockwellen eines groß angelegten APT-Angriffs - - - Ausfall von Tankstellen Ausfall von Geldautomaten verbreitete Malware, die auf die Beschädigung von Industrie- INTERNET Der APT-Angriffszyklus - Phase 1: Phase 2: Installieren von Malware auf dem Phase 3: Phase 4: Ausbreitung des Angriffs im Netzwerk Phase 5: Phase 1: Eindringen in das System mittels Exploit mittieren, ist die erste Phase eines APT-Angriffs auf ein tet sich die Aufdeckung und Bekämpfung des APT wesentlich in dieser Phase versagen, werden Gegenmaßnahmen wesentheitsmaßnahmen deaktivieren und seine Präsenz verschleiern, während sich die Malware im Netzwerk verbreitet und per Callback mit dem Angreifer in Verbindung bleibt. eingebettet, um ein anfälliges Betriebssystem bzw. eine bestimmte Anwendung zu kompromittieren. Gelingt dies, Malware herunterzuladen. - - TECHNIK belegung eines anfälligen Betriebssystems zu manipulieren Phase 2: Installieren von Malware auf dem kompromittierten System TECHNIK Dropsite, Phase 3: Herstellen ausgehender Verbindungen des APT betrieben wird. Urheber von APTs wählen den aufherkömmliche sowie Next-Generation-Firewalls zu umgehen, die Verbindung von innen nach außen aufgebaut wird. weniger verdächtig ist. Phase 4: Ausbreitung des Angriffs im Netzwerk APT-Angriff breitet sich deshalb weiter im Netzwerk aus, bis - Funktionsweise von Flame. - TECHNIK - Phase 5: Diebstahl von Daten - - - etwa in komprimierten, mit einem Passwort versehenen TECHNIK - umgehen, könnte der Angreifer beispielsweise einen virtuellen transfer abgeschlossen ist. Die Täter entkommen unentdeckt MERKEN APT selbst aufzudecken, sind während eines laufenden personal zu beschäftigen und abzulenken komplett gelöscht werden sich um eine virtuelle Cloud-Instanz handelt, oder vom Angreifer kontrolliert wird Angriffspunkt RSA Security geht mit APT-Angriff an die Öffentlichkeit - - - - - - Symptome eines APT-Angriffs regulären Arbeitszeit Ausgehende Verbindungen zu bekannten ACHTUNG nicht gebräuchlich ist, sind ein Grund, besonders misstrauisch zu sein. Ungewöhnliche Netzwerkverbindungen mit und Firewalls hinweisen TIPP nicht, APT-Angriffe zu erkennen, weil ihre Abwehrmaßnahund anderer Cyber-Angriffe erheblich. nung – durch Bedrohungsschutz der nächsten Generation – CSO von Finanzdienstleister setzt bei IT-Sicherheit auf FireEye - - - - - - - Kapitel 4 Next-Generation Threat Protection – Ein Überblick In diesem Kapitel: Vorstellung einer idealen Lösung zur Abwehr neuartiger Cyber-Angriffe U nternehmen, Universitäten und Behörden sind heute Cyber-Angriffen ausgesetzt, die sich durch ungeahnte Komplexität und Gefährlichkeit auszeichnen. In diesem endlosen Katz-und-Maus-Spiel hat die Katze vorübergehend die Oberhand gewonnen. Wenn Ihr Unternehmen nicht vorbereitet ist, kann es leicht zum nächsten Opfer werden. Die vorherigen Kapitel haben gezeigt, wie gefährlich Bedrohungen der nächsten Generation sind und warum traditionelle Abwehrmaßnahmen gegen sie machtlos sind. Nun ist der Zeitpunkt gekommen, Ihnen ein völlig neues Konzept für Netzwerksicherheit vorzustellen. Die Rede ist von Next-Generation Threat Protection. Zunächst möchte ich erläutern, was zur Bekämpfung moderner Cyber-Angriffe tatsächlich nötig wäre. Anschließend stelle ich Ihnen Next-Generation Threat Protection vor. Neben einer Merkmale erläutert. In diesem Kapitel geht es um wichtige Themen. Diskutieren wir zuerst, was zwingend erforderlich ist, um Bedrohungen der nächsten Generation abwehren zu können. Idealer Bedrohungsschutz – Eine Vision In einer perfekten Welt gäbe es keine Cyber-Angriffe. Es gäbe keine Malware, keine Trojaner und keine APT-Angriffe. Unternehmen, Universitäten und Behörden würden nicht über 20 Milliarden Dollar im Jahr zur Abwehr von Bedrohungen ausgeben. Doch leider leben wir nicht in dieser perfekten Welt. Geld und Macht verleiten Cyber-Kriminelle, Hacktivists und staatlich beauftragte Bedrohungsakteure dazu, mit allen erdenklichen Mitteln in Unternehmensnetzwerke einzudringen. Wie lässt sich diesen Verbrechern das Handwerk legen? Signaturunabhängige Sicherheitsverfahren Unternehmen müssen ein neues Sicherheitsmodell implementieren: Ihre Defense-in-Depth-Architektur sollte eine signaturunabhängige Schicht umfassen, mit der sich neue Cyber-Angriffe gezielt abwehren lassen. Traditionelle Abwehrmaßnahmen schützen weiterhin vor bekannten Cyber-Bedrohungen. Die Realität zeigt jedoch, dass unbekannte Cyber-Angriffe besonders gefährlich sind und zahlenmäßig stark zunehmen. Da Zero-Day Exploits sowie polymorphe und APT-Bedrohungen meist unbekannter Art sind und mit durchschlagendem Erfolg eingesetzt werden, wird eine signaturunabhängige Sicherheitslösung benötigt. Erkennung und Abwehr in einer Appliance Vor der Einführung von Intrusion-Prevention-Systemen (IPS) gab es zunächst nur Intrusion-Detection-Systeme (IDS). Ein IDS kann von Natur aus ausschließlich bekannte Bedrohungen erkennen (bzw. unbekannte Bedrohungen, die auf bekannte Schwachstellen abzielen). Unternehmen forderten jedoch eine Lösung, die Cyber-Angriffe nicht nur erkennen, sondern auch abwehren kann. Aus dieser Idee entstand IPS. Die Welt benötigt heute eine Advanced-Threat-ProtectionPlattform, die unabhängig vom Angriffsvektor die Nadel im Heuhaufen nicht nur suchen, sondern auch unschädlich machen kann. In einer perfekten Welt hätte die IT-Abteilung die vollständige Kontrolle über jedes Gerät im Netzwerk. Eine Bedrohung ginge nur noch von Angriffen aus, die das Netzwerk von außen erreichen. Im mobilen Zeitalter gelangen mit der Implementierung von BYOD-Richtlinien (Bring your own device) Cyber-Angriffe zum Teil auch durch die Bürotür in Ihr System. Darum benötigen Sie eine Advanced-Threat-Protection-Lösung, die nicht nur eingehende Cyber-Angriffe, sondern auch ausgehenden Datenverkehr überwachen kann. Nur so lassen sich Callbacks und ein Befall des ganzen Netzwerks verhindern. Wenn Sie Bedrohungen schon nicht daran hindern können, über das Internet, E-Mail oder durch die Bürotür einzudringen, müssen Sie wenigstens die Kommunikation nach außen und die Verbreitung der Malware unterbinden. Hochpräzise Erkennungs-Engine (Detection Engine) Wie bei herkömmlichen signaturabhängigen Lösungen ist eine präzise Erkennung absolut essentiell. Zur Abwehr von Bedrohungen der nächsten Generation benötigen Sie eine Advanced-Threat-Protection-Lösung, die mit höchster Genauigkeit arbeitet: Falsch positive Ergebnisse (harmlose Dateien werden als schädlich eingestuft) müssen genauso verhindert werden wie falsch negative Befunde (schädliche Dateien, die als harmlos eingestuft werden). ACHTUNG Falsch positive und falsch negative Befunde treten auf, wenn Sicherheitsplattformen keine leistungsfähige Erkennung aufweisen. Falsch positive Ergebnisse sind primär ärgerlich, da sie wertvolle Zeit von Sicherheitsanalysten in Anspruch nehmen. Falsch negative Bewertungen hingegen können für das Unternehmen extrem gefährlich sein, da Advanced Malware das für die Netzwerksicherheit zuständige Gerät unerkannt passieren kann. Nutzung globaler Bedrohungsdaten Jeder Cyber-Angriff beginnt bei einem bestimmten Host, der als erster von einer neuen Cyber-Bedrohung betroffen ist. Wir benötigen ein Verfahren, mit dem Advanced-ThreatProtection-Systeme Daten weitergeben können – nicht nur innerhalb des Unternehmens, sondern auch an andere Unternehmen weltweit. Wir leben vielleicht nicht in einer perfekten Welt. Dennoch gibt es eine ideale Lösung für die Abwehr dieser brandgefährlichen Angriffe. Ihr Name: Next-Generation Threat Protection. Next-Generation Threat Next-Generation Threat Protection (NGTP) ist eine neuartige Technologie für Netzwerksicherheit, die speziell für die Erkennung und Abwehr neuartiger Cyber-Angriffe entwickelt wurde. NGTP soll traditionelle Sicherheitssysteme nicht ersetzen, sondern ergänzen. Die Lösung dient als zusätzliche Schicht in Ihrer Defense-in-Depth-Architektur und wehrt Cyber-Angriffe ab, die von signaturabhängigen Lösungen nicht erkannt werden. NGTP-Plattformen werden meist auf hochleistungsfähigen, dedizierten Rack-Appliances bereitgestellt. Führende NGTPHersteller bieten eine integrierte Plattform an, die E-Mailund Webverkehr genauso inspiziert wie gespeicherte Dateien. Außerdem gibt sie für alle Angriffsvektoren Bedrohungsdaten weiter. ACHTUNG NGTP-Plattformen unterscheiden sich von anderen Netzwerksicherheitsprodukten auf dem Markt. Die Appliances untersuchen Datenverkehr und/oder Dateien auf Tausende verdächtiger Eigenschaften, darunter auch auf Verschleierungstechniken wie XOR-Verschlüsselung. Sitzungen werden in einer sicheren virtuellen Umgebung ausgeführt. Diese ähnelt einer virtuellen Maschine, nutzt jedoch eine speziell für Sicherheitsanalysen entwickelte Virtualization Engine. So können Appliances ermitteln, ob verdächtiger Datenverkehr tatsächlich Malware enthält (mehr dazu im Abschnitt „Funktionsweise“ dieses Kapitels). Die Kunst des Bombenentschärfens Wenn es darum ging, technische - - - - - - Vergleich mit traditionellen signaturabhängigen Sicherheitslösungen In Kapitel 2 (siehe Abschnitt „So geht der Feind vor“) habe ich beschrieben, wie neue Cyber-Angriffe traditionelle signaturabhängige Abwehrmaßnahmen wie Firewalls (mit Bedrohungssignaturen), IPS-Geräte, sichere E-Mail- und Webgateways sowie Antiviruslösungen umgehen können. Ich hatte allerdings die neue NGTP-Technologie noch nicht vorgestellt und mit den herkömmlichen Verfahren verglichen. Dies möchte ich nun nachholen. Die nachfolgende Tabelle vergleicht traditionelle signaturabhängige Sicherheitslösungen mit NGTP-Lösungen. Zur Erinnerung: NGTP-Lösungen dienen als zusätzliche signaturunabhängige Schicht in Ihrer Sicherheitsarchitektur. Sicherheitsvergleich Erkennung bekannter Malware mithilfe von IPS-ähnlichen Signaturen NGTPLösungen Herkömmliche Abwehrmechanismen verschlüsselten Binärdateien Datenverkehr in einer sicheren virtuellen Umgebung Inspektion von ausgehendem Datenverkehr, um dynamische Tabelle 4-1: Vergleich von NGTP mit herkömmlichen Schutzmaßnahmen TIPP Die Abwehrmaßnahmen in Tabelle 4-1 werden in diesem Kapitel im Abschnitt „Hauptmerkmale“ genauer beschrieben. Vergleich mit Sandbox-Technologien Bei einer Sandbox handelt es sich um eine kleine, in sich abgeschlossene Version einer (meist Windows-basierten) Rechenumgebung mit einer rudimentären Auswahl an Anwendungen und Services. Sandbox-Technologien wurden ursprünglich für Softwareentwickler entworfen, damit diese Programmcode in einer sicheren, produktionsfreien Umgebung testen können. Später wurde das Konzept von IT-Sicherheitsexperten übernommen, um verdächtige Binärdateien manuell zu analysieren, ohne die Produktionssysteme zu gefährden. Die in der Sandbox (virtuellen Maschine) ausgeführten Betriebssysteme und Anwendungen sind in der Regel identisch mit unternehmensweiten Desktopstandards, damit verdächtige Malware dieselben Schwachstellen ausnutzen kann. ACHTUNG (meist große Unternehmen und Behörden) gehen ein hohes Risiko ein, wenn sie sogenannte NGTP-Lösungen nutzen, die nur rudimentäre Sandbox-Technologien bieten. Wenn eine umgebung mit Betriebssystemen und/oder Anwendungen analysiert wird, die nicht der Zielumgebung der Malware entsprechen, wird diese Datei möglicherweise als harmlos eingestuft. Ein solcher falsch negativer Befund kann dramatische Folgen haben. Eine Sandbox dient als sichere Umgebung für die „Zündung“ möglicher Malware (siehe Kasten „Die Kunst des Bombenentschärfens“ in diesem Kapitel) und eine Analyse der beabsichtigten Effekte. Angesichts der Zunahme an verdächtigen Objekten und Dateitypen, die schädlichen Code enthalten, stellt eine Sandbox allein keine skalierbare Analysemethode dar. Außerdem können Cyber-Kriminelle und APT-Bedrohungsakteure erkennen, ob ihre Malware in einer Sandbox-Umgebung ausgeführt wird, und in diesem Fall schädlichen Code unterdrücken. Aus den genannten Gründen sind einfache Sandbox-Technologien gegen komplexe Bedrohungen machtlos. ACHTUNG Eines sollte noch zum Sandbox-Ansatz gesagt werden: Unabhängig davon, wie ein NGTP-Hersteller seine Lösung nennt: Wenn der Anbieter die Sandbox „in der Cloud“ bereitstellt, können Sicherheits-, Performance- und Datenschutzprobleme auftreten (siehe Kasten „Kein Verlass auf Cloud-Lösungen“). Führende NGTP-Lösungen stellen hochleistungsfähige, dedizierte Appliances bereit, mit denen sich Malware in Sekundenschnelle vor Ort testen lässt. Die Vertraulichkeit Ihrer Daten bleibt so stets gewährleistet. Kein Verlass auf Cloud-Lösungen - - - - - Hauptkomponenten Sie wissen nun, was Next-Generation Threat Protection ist, und kennen die Vorteile gegenüber herkömmlichen Abwehrmaßnahmen und Sandbox-Technologien. Werfen wir jetzt einen Blick auf die Hauptkomponenten führender NGTP-Lösungen. Malware Protection System Das Herzstück jeder NGTP-Lösung bildet das Malware Protection System (MPS). Diese Komponente analysiert verdächtige Objekttypen, die in Webverkehr, E-Mail-Nachrichten oder gespeicherten Dateien enthalten sind. Bekannte Bedrohungen werden mithilfe MPS-generierter Daten abgewehrt, um eingehende Angriffe und nicht autorisierte ausgehende Kommunikationsversuche zu stoppen. ACHTUNG Zur Erkennung von Malware in Webverkehr und E-MailNachrichten werden unterschiedliche Verfahren eingesetzt. Manche Hersteller bieten ein Standard-MPS-System an, das versucht, Bedrohungen in allen drei Medien zu erkennen (bzw. zwei Medien, wenn gespeicherte Dateien nicht analysiert werden). Ich rate von solchen Lösungen ab, da sie oft falsch positive und falsch negative Befunde verursachen. Ebenfalls rate ich von sogenannten NGTP-Lösungen ab, die MPS-Funktionen mit anderen Komponenten für Netzwerksicherheit wie Firewall, IPS und Anwendungskontrolle kombinieren. Diese Lösungen verfügen in der Regel über rudimentäre Analysefunktionen, die lediglich auf EXE-, PDF- und/ oder DLL-Dateien beschränkt sind. Virtual Execution Engine In diesem Kapitel habe ich bereits die Rolle der Virtual Execution Engine beschrieben und sie mit der herkömmlichen Sandbox-Technologie verglichen. Hier möchte ich noch einmal die Wichtigkeit dieser Komponente für die Effektivität von Next-Generation Threat Protection betonen – und damit auch für die Fähigkeit Ihres Unternehmens, sich vor modernen, gefährlichen Cyber-Angriffen zu schützen. ACHTUNG Eine gute Virtual Execution Engine sucht systematisch nach verdächtigen Code in den ins Visier genommenen Betriebssystemen und Anwendungen aus. So lässt sich die Auslösung des System-Exploits und des schädlichen Codes besser herbeiführen. Falsch positive oder falsch negative Ergebnisse treten nur noch äußerst selten auf. Dies kann ein entscheidender Vorteil im Kampf gegen Cyber-Angriffe der nächsten Generation sein. TECHNIK Gute NGTP-Lösungen umfassen Virtual Execution Engines, die Dutzende von Dateitypen untersuchen können (nicht nur EXE- oder DLL-Dateien). Hierzu gehören unter anderem: ASF, COM, DOC, DOCX, DLL, EXE, GIF, ICO, JPEG, JPG, MOV, MP3, MP4, PDF, PNG, PPSX, PPT, PPTX, QT, RTF, SWF, TIFF, UNK, VCF, XLS, XLSX und ZIP. Stuft die Virtual Execution Engine eine mögliche Bedrohung als Malware ein, werden automatisch neue Bedrohungsdaten erzeugt und an die übrigen MPS-Appliances verteilt (wenn Sie über ein Central Management System verfügen; siehe nächster Abschnitt). Gegebenenfalls werden die Daten auch an andere Unternehmen auf der ganzen Welt verteilt (siehe Abschnitt „Cloud Threat Intelligence Network“). Central Management System Während die meisten NGTP-Appliances nur eine webgestützte führende NGTP-Hersteller neben der lokalen GUI auch eine Central-Management-System-Appliance bereit – eine Schaltzentrale für die Verwaltung, konsolidierte Bedrohungsüberwachung, Berichterstellung, Benachrichtigung und Verteilung von Malware-Daten. Cloud Threat Intelligence Network Der Kasten „Kein Verlass auf Cloud-Lösungen“ in diesem Kapitel hat bereits erörtert, warum Malware-Analysen in der Cloud ein Risiko für Sicherheit, Skalierbarkeit und Datenschutz bedeuten. Die Cloud ist jedoch der ideale Ort für die Bereitstellung einer zentralen NGTP-Komponente: das Cloud Threat Intelligence Network. Über das Cloud Threat Intelligence Network sind alle MPSAppliances, die über einen derartigen Service verfügen, miteinander verbunden, um Bedrohungsdaten über neu und Callback-Ziele). NGTP-Hersteller mit einem Cloud Threat Intelligence Network (und das sind beileibe nicht alle) bieten ihren Kunden meist zwei Optionen: 1. die Fähigkeit zum Empfangen von Bedrohungsdaten und 2. die Fähigkeit zum Empfangen und Senden von Bedrohungsdaten. Die meisten Unternehmen entscheiden sich für die zweite Option, da für die Weitergabe von Daten meist ein Rabatt gewährt wird. TIPP Da zur Erstellung von Bedrohungsdaten lediglich Metadaten der verdächtigen Objekte erforderlich sind, können Unternehmen und Behörden sicher sein, dass keine vertraulichen Daten das Netzwerk verlassen. Sie kennen nun die Hauptkomponenten einer NGTP-Lösung und wissen, wie sich NGTP von traditionellen signaturabhängigen Sicherheitslösungen und Sandbox-Technologien unterscheidet. In Kapitel 5 erfahren Sie mehr über die Funktionsweise von NGTP-Lösungen. Kapitel 5 Next-Generation Threat Protection im Detail In diesem Kapitel Bekämpfung neuartiger Bedrohungen in E-Mail-Nachrichten, im Webdatenverkehr und in gespeicherten Dateien durch NGTP Hauptmerkmale führender NGTP-Lösungen Integration von NGTP in die vorhandene Netzwerkinfrastruktur H erkömmliche, signaturabhängige Sicherheitslösungen sind gegen neuartige Cyber-Angriffe wie Zero-Day Exploits, polymorphe Malware, kombinierte Bedrohungen und vor allem APTs machtlos. Eine neue Generation von Cyber-Angriffen erfordert neue Lösungen. Nachdem Sie sich in Kapitel 4 einen ersten Überblick über den Bedrohungsschutz der nächsten Generation verschafft haben, kommen wir nun zu den praktischen Aspekten: der Funktionsweise, den wichtigsten Funktionen und der möglichen Integration einer NGTP-Plattform in Ihre vorhandene IT-Infrastruktur. Funktionsweise Beginnen wir mit der Anordnung von MPS-Appliances im Unternehmen im Hinblick auf die möglichen Einfallstore für Bedrohungen. Administratoren ordnen MPS-Appliances in der Regel so an, dass sie als letzte Verteidigungslinie den Web- bzw. E-Mail-Datenverkehr auf Bedrohungen prüfen, welche die Firewall und das IPS überwinden konnten. Web-MPS-Appliances werden hinter Secure Web Gateways angeordnet, E-Mail-MPS-Appliances hinter Antispam- und 48 | Ultimativer Leitfaden zu Next-Generation Threat Protection Secure Email Gateways, aber vor dem E-Mail-Server des Unternehmens. Abbildung 5-1 zeigt schematisch eine typische Web- und E-Mail-MPS-Implementierung. MPS-Appliances sollten zudem zur Prüfung von Dateifreigaben im Rechenzentrum eingesetzt werden, um die Ausbreitung von Malware zu verhindern und sensible Daten zu schützen. Cloud-Dienst (E-Mail) Internet AntispamGateway Mail-Server EgressRouter Firewall Web-MPS (Prüft URLs auf schädliche Inhalte) Core Switch Anwender CMS E-Mail-MPS (Prüft E-MailAnhänge auf APTs) SIEM Abbildung 5-1: Schema einer typischen NGTP-Implementierung. MERKEN APT-Angriffe erfolgen in mehreren Phasen. Eine MPS-Plattform sollte in jeder Phase Schutz bieten – vom ersten Exploit setzungen dafür gegeben, den Angriff zu vereiteln und ein Eindringen in die Systeme zu verhindern. Wenn die MPS-Plattform bereitsteht, erfüllt ein NGTPSystem in der Regel folgende, hier schrittweise dargestellten Funktionen: Schritt 1: Das MPS überprüft den ein- und ausgehenden Datenverkehr sowie die gespeicherten Daten auf bekannte Kapitel 5 : Next-Generation Threat Protection im Detail | 49 Bedrohungen, CnC-Callbacks, Spear-Phishing-Versuche und verdächtige Binärdateien bzw. Webseiten. Wird eine bekannte Bedrohung oder ein CnC-Callback erkannt, wird die Verbindung blockiert und eine Warnmeldung ausgelöst. Schritt 2: Zur Erkennung unbekannter Zero-Day Exploits erfasst das MPS eine verdächtige Binärdatei, Webseite bzw. einen verdächtigen Anhang und führt den betreffenden Code in der Virtual Execution Engine (innerhalb der Appliance) aus, um ihn zu analysieren. Dabei handelte es sich Byte für Byte um eine Rekonstruktion des verdächtigen Datenstroms, der gegen das Ziel gerichtet ist. TIPP Bei der Evaluierung einer NGTP-Lösung sollte darauf geachtet werden, dass ihre MPS-Komponente mehr als nur HTTPDatenverkehr analysieren kann, da Bedrohungen diverse Protokolle wie HTTP, FTP, IRC, Eigenprotokolle und andere nutzen können. Schritt 3: Die Virtual Execution Engine wird mit einer bestimmten Version von Microsoft Windows (mit oder ohne Patches) sowie den relevanten Anwendungen (beispielsweise gestartet, die dem Ziel des mutmaßlichen Angriffs entsprechen. Das betreffende Objekt wird in der virtuellen Umgebung ausgeführt bzw. verarbeitet, wobei Anzeichen für schädliches Verhalten gesucht werden. Dazu zählen eine Beschädigung des Stammdateisystems, ein Angriff auf eine Anwendung mittels Heap Spraying, das Registrieren eines neuen WindowsDienstes oder ein Callback an eine URL, die als schädlich gilt. Ist die Binärdatei als ungefährlich eingestuft, wird der Vorfall protokolliert und die virtuelle Maschine zurückgesetzt. Schritt 4: Wenn sich der Zero-Day-Angriff bestätigt, erfasst die virtuelle Maschine dessen weiteren Verlauf. Die fragliche Binärdatei wird ausgeführt, und alle von der Malware ausgehenden Aktivitäten auf dem Host sowie der NetzwerkDatenverkehr werden aufgezeichnet. Um Callback-Versuche über das Netzwerk zu unterbinden, werden Informationen über die Bedrohung gesammelt. Außerdem wird eine Warnung mit hoher Priorität protokolliert, forensische Daten zu der Schadsoftware werden aufgezeichnet und ein neues Bedrohung abzuwehren. 50 | Ultimativer Leitfaden zu Next-Generation Threat Protection MERKEN Da der Callback-Datenverkehr das Netzwerk des Ziels nicht verlässt und der Angreifer keine Rückmeldung erhält, ist der Angriff fehlgeschlagen. Sensible Daten im Unternehmen bleiben sicher. Schritt 5: Die Informationen über die Bedrohung, die sogenannte Threat Intelligence, werden an die CMS-Appliance (Central Management System) weitergeleitet und von dort an andere MPS-Appliances im Unternehmen verteilt. Wenn das Unternehmen am Cloud Threat Intelligence Network (siehe Kapitel 4) teilnimmt, sind alle ebenfalls teilnehmenden Unternehmen unverzüglich geschützt. Inline- und Out-of-Band-Installationen Prinzipiell bestehen zwei Möglichkeiten zum Einsatz von E-Mail- und Web-MPS-Appliances: Sie können im Inline(aktiv) oder im Out-of-Band-Modus (passiv) betrieben werden. (MPS-Appliances zur Überwachung von Dateifreigaben werden ausschließlich im Out-of-Band-Betrieb eingesetzt. Sie prüfen gespeicherte Dateien und verschieben schädliche Dateien Eine Inline-Installation kann neu erkannte Cyber-Angriffe abwehren, indem ein Callback zu CnC-Servern verhindert wird. Eine Wiederholung dieses nunmehr bekannten Angriffes kann ebenfalls unterbunden werden. In diesem Fall wird das MPS direkt in den Datenverkehr eingebunden – wie ein IPS oder MTA (Message Transfer Agent). MPS-Appliances können auch für den Out-of-Band-Betrieb reinen Überwachungsmodus, in dem die MPS-Engine wie ein IDS vor erkannten Cyber-Angriffen warnt, oder im TCP RESETModus, in dem das MPS TCP RESET-Pakete an alle Verbindungsteilnehmer sendet, um schädliche TCP-Verbindungen zu trennen. TIPP Im Out-of-Band-Betrieb wird das Web- bzw. E-Mail-MPS mit einem SPAN-Port am Switch verbunden, der den Datenverkehr spiegelt. Falls kein SPAN-Port zur Verfügung steht, genügt auch ein Netzwerk-TAP (von Gigamon, VSS Monitoring, NetOptics und anderen Anbietern). Alternativ kann der gehenden Nachrichten an das E-Mail-MPS sendet. Kapitel 5 : Next-Generation Threat Protection im Detail | 51 Viele Unternehmen beginnen zunächst mit Out-of-BandÜberwachung, um die Treffsicherheit und Stabilität des Systems zu beurteilen. Wenn sich das System bewährt hat, werden die MPS-Appliances auf den Inline-Modus umgestellt. ACHTUNG Wenn Sie MPS-Appliances im Inline-Betrieb einzusetzen gedenken, achten Sie auf Modelle, die blockierungsfreie, bei Ausfall offene Verbindungen („Fail Open“) unterstützen. Bei diesen Modellen wird der Datenverkehr im unwahrscheinlichen Fall einer Stromunterbrechung oder eines anderweitig bedingten Ausfalls der Appliance an den Kupferschnittstellen nicht unterbrochen. Ein Ausfall der Appliance führt also nicht zu einem Totalausfall des Netzwerks. (Optische Schnittstellen unterbrechen den Datenverkehr unabhängig vom Status der Appliance grundsätzlich nicht.) Hauptmerkmale Nachdem Sie sich nun einen Überblick über NGTP im Allgemeinen und über seine Funktionsweise verschafft haben, betrachten wir nun die Hauptmerkmale, mit denen moderne NGTP-Lösungen auf die verschiedenen Phasen eines APTAngriffs reagieren. TIPP NGTP-Lösungen unterscheiden sich deutlich in ihrem Funktionsumfang. Achten Sie bei der Lektüre der folgenden Funktionen auf solche, die für Ihr Unternehmen besonders relevant Virtuelle Ausführung verdächtiger Objekte Eine signaturunabhängige Analyse ist für die Erkennung unbekannter Bedrohungen unverzichtbar. Achten Sie auf die Möglichkeit, Datenverkehr mit verdächtigen Objekten wie Webseiten, Binär- und anderen Dateien auf sichere Weise in einer virtuellen Umgebung auszuführen. Diese Lösung ist nicht mit dem Weiterleiten einer verdächtigen Datei an eine Sandbox zu verwechseln. Der Datenverkehr wird vielmehr Byte für Byte erfasst und in der virtuellen Umgebung rekonstruiert. Eine einzige Webseite kann zum Beispiel aus 20 oder sogar 200 verschiedenen Objekten bestehen, die aus Dutzenden von Quellen im Web stammen. Die Rekonstruktion ist die einzige Lösung, um komplexe Webangriffe wie Drive-by-Downloads zu erfassen. 52 | Ultimativer Leitfaden zu Next-Generation Threat Protection ACHTUNG Geben Sie sich nicht dem Glauben hin, die Bedrohung durch moderne Cyber-Angriffe ginge nur von EXE- und DLLDateien aus. Wie in Kapitel 4 dargelegt, kann Malware in Webseiten und Dutzende von Dateitypen eingebettet werden. Die Fähigkeit der Virtual Execution Engine, die Zahl der falsch positiven und falsch negativen Befunde zu minimieren, ist unerlässlich. Ein falsch positives Ergebnis (eine harmlose Datei wird als schädlich eingestuft) kann dazu führen, dass wichtige Inhalte ihr Ziel nicht erreichen. Ein falsch negatives Ergebnis (eine schädliche Datei wird als harmlos eingestuft) kann verheerende Folgen haben – vor allem dann, wenn eine Datei mit Advanced Malware im Rahmen eines APT-Angriffs die Schutzmaßnahmen umgeht. Fast-Path-Blocking Die Blockierung ausgehender Callbacks und die Abwehr der entsprechenden, nunmehr bekannten eingehenden Bedrohungen gehen Hand in Hand mit einer signaturunabhängigen Analyse. Die Grenzen herkömmlicher, signaturabhängiger Sicherheitslösungen wurden weiter oben ausführlich thematisiert. Ihr Nutzen bei der Bekämpfung bekannter Angriffe im Rahmen einer Defense-in-Depth-Strategie ist allerdings unstrittig. Suchen Sie NGTP-Lösungen, die signaturabhängige und signaturunabhängige Techniken miteinander verbinden, um bekannte und unbekannte Angriffe wirksam zu vereiteln. Falls ein Angriff mit weithin bekannter Malware von Abwehrvorrichtungen wie IPS, NGFW, Secure Web Gateways, Antispamlösungen und anderen Netzwerkgeräten nicht erkannt wird, kann die Fast-Path-Blocking-Funktion einer MPSAppliance (im Inline-Modus) die Schadsoftware unverzüglich blockieren bzw. in die Quarantäne verschieben. Wenn Advanced Malware erst einmal in ein Unternehmen eingedrungen ist, nimmt sie Kontakt zu ihrem CnC-Host auf, um RAT-Software herunterzuladen (siehe Kapitel 3) oder weitere Anweisungen des Angreifers zu erhalten. Dabei ist zu bedenken, dass Malware auch durch die Mobilgeräte von Mitarbeitern ins Büro gelangen kann. Die MPS-Appliance kann Verbindungen zu schädlichen URLs und als gefährlich bekannten IP-Adressen sowie solche mit eigens für Malware entwickelten Protokollen unterbinden. Wenn der Callback- Kapitel 5 : Next-Generation Threat Protection im Detail | 53 Filter der MPS-Appliance den Versuch eines netzinternen Hosts erkennt, eine Verbindung zu einem bekannten externen CnC-Host aufzunehmen, wird die Verbindung blockiert (sofern das MPS im Inline-Betrieb eingesetzt wird) und eine Warnmeldung ausgelöst (siehe Abbildung 5-2). Abbildung 5-2: Beispiel für von FireEye erkannte Callback-Vorgänge. MERKEN Im Gegensatz zu herkömmlichen Sicherheitsgeräten sind MPS-Appliances darauf ausgelegt, sowohl ein- als auch ausgehenden Datenverkehr zu prüfen. Quarantäne für schädliche Dateien Schädliche Dateien, E-Mails und Anhänge, die von der Virtual Execution Engine erkannt wurden, können auf der MPSAppliance (oder ggf. der zentralen Verwaltungskonsole, siehe nächster Abschnitt) in die Quarantäne verschoben werden, wo eine weitere, über die Möglichkeiten des MPS hinausgehende forensische Analyse möglich ist. Die Dateien können auch von Strafverfolgungsbehörden als digitales Beweismaterial für ein Verbrechen gesichert werden. Zentrale Verwaltung Für Unternehmen mit drei oder mehr MPS-Appliances Central Management System), welche die zentrale Überwachung und Steuerung des gesamten NGTP-Systems mithilfe einer benutVerwaltungskonsole können verschiedene Routineaufgaben erfüllt werden: 54 | Ultimativer Leitfaden zu Next-Generation Threat Protection Zusammenführung der Ereignisdaten aller MPSAppliances und Aufbereitung der Daten in Form von Dashboards, Berichten und Warnmeldungen Zentrale Zusammenführung von in die Quarantäne verschobenen Malware-Objekten Zusammenführung und Verteilung der Bedrohungsdaten, die von internen MPS-Appliances generiert und aus der Malware Protection Cloud bezogen wurden; Hochladen von Bedrohungsdaten in die Malware Protection Cloud (sofern gewünscht) und Anwendung der Einstellungen auf einzelne MPSAppliances oder Gruppen Herunterladen und Verteilen von Software-Updates an alle MPS-Appliances von einem zentralen Ort Überwachung der Leistung aller MPS-Appliances Export von Ereignisdaten an SIEM-Plattformen (Security Information and Event Management), Incident-Management-Systeme und externe Anwendungen Kontrolle von Zugriffs- und Administratorrechten Einige NGTP-Hersteller bieten bei ihren Verwaltungsappliances verschiedene Modelle an, deren Kapazität sich nach der Zahl der zu steuernden MPS-Appliances und dem Angriffsvolumen richtet. Austausch von MalwareInformationen Die Eleganz einer NGTP-Lösung liegt zum Teil darin, dass Unternehmen durch ihre selbst generierten Malware-Informationen (automatisch) geschützt werden und außerdem die Möglichkeit haben, diese Daten mit anderen Unternehmen auszutauschen. Die Daten werden über ein Cloud Threat Intelligence Network verteilt, das vom NGTP-Anbieter betrieben wird. Sobald ein Unternehmen eine neuartige Bedrohung erkannt hat, sind alle anderen teilnehmenden Unternehmen innerhalb weniger Minuten ebenfalls geschützt. In diesem Zusammenhang ist oft die Rede von kollektiver Immunität. Kapitel 5 : Next-Generation Threat Protection im Detail | 55 Zwar können Unternehmen APT-Angriffe mit ihrem MPS auch isoliert abwehren. Die kollektive Immunität macht ihre nen MPS-Ressourcen auf die Analyse wirklich neuer CyberAngriffe konzentriert werden. Zudem bieten die Hersteller meist Preisnachlässe auf das Jahresabonnement des Cloud Threat Intelligence Network für Unternehmen an, die zu einem anonymisierten Austausch von Bedrohungsdaten über die Cloud bereit sind. MERKEN In diesem Zusammenhang ist zu betonen, dass unter keinen Umständen ganze Dateien oder auch nur Teile ihres Inhalts an das Cloud Threat Intelligence Network übermittelt werden. misierte Daten wie etwa eine Prüfsumme der Datei. Unterstützung eigener Regeln Bei führenden NGTP-Systemen haben erfahrene Anwender die Möglichkeit, eigene Regeln zur Erkennung von Schadsoftware in der Regelbeschreibungssprache YARA zu importieren. (Bei YARA handelt es sich um ein Tool, das die ErfasWenn eine importierte YARA-Regel vom MPS ausgelöst wird, prüft die Virtual Execution Engine unverzüglich die zugehörigen Objekte auf einen möglichen Cyber-Angriff. Die Funktion einer bestimmten Klasse von Cyber-Angriffen sind. INTERNET http://code.google.com/p/yara-project/. AV-Integration Gute NGTP-Lösungen ermöglichen die Einbindung gängiger Antiviruslösungen (siehe Abbildung 5-3) von McAfee, Symantec, Sophos und anderen Anbietern. Durch Verbindung der NGTP-Lösung mit einem AV-Paket kann jedes schädliche Objekt weiter analysiert werden, um festzustellen, ob die AV-Plattform die vom MPS gestoppte Malware erkennen konnte. Damit können Unternehmen bei der Reaktion auf 56 | Ultimativer Leitfaden zu Next-Generation Threat Protection Abbildung 5-3: Beispiel für die Einbindung einer Antivirusplattform in FireEye. Rollenabhängige Zugriffsrechte Die meisten NGTP-Systeme unterschieden zwischen verschiedenen Anwenderrollen, damit IT-Mitarbeiter nur Administratorrechte erhalten, die sie für ihre Arbeit benötigen. In der Regel werden unter anderem die folgenden NGTP-Anwenderrollen unterschieden: Systemadministrator – voller administrativer Zugriff auf die gesamte NGTP-Installation Bereichsadministrator – administrativer Zugriff auf eine oder mehrere MPS-Appliances Sicherheitsanalyst – nur Zugriff auf Dashboards und Berichte, keine Änderung oder Löschung von Ereignisdaten und keine Änderung der Systemeinstellungen Dashboard Das NGTP-Dashboard (siehe Abbildung 5-4) ist die zentrale und der Auslastung der MPS-Appliances im Unternehmen. Auf die Dashboards wird üblicherweise mit einem Webbrowser zugegriffen. Sie sollten möglichst leicht verständlich sein. Gute Dashboards bieten die Möglichkeit, innerhalb Kapitel 5 : Next-Generation Threat Protection im Detail | 57 der Ereignisdaten weitere Details anzuzeigen, um über die nächsten Schritte zu entscheiden. Abbildung 5-4: Beispiel für ein FireEye-Dashboard. Berichte Moderne NGTP-Lösungen verfügen über leistungsfähige und komfortable Funktionen für die Suche nach und die Zusammenfassung von Daten zu bestimmten Arten von Cyber-Angriffen. Die Daten können nach Name und Typ aufgeschlüsselt werden. Damit stehen verschiedene Zusammen- Callback-Ereignisse mit den entsprechenden Geodaten. Einige NGTP-Lösungen unterstützen sogar die Lokalisierung von Sicherheitsereignissen in Google Earth. Die Berichte können entweder nach Bedarf abgerufen oder mithilfe der zentralen Verwaltungskonsole in bestimmten Abständen (täglich, wöchentlich, monatlich) automatisch erstellt werden. 58 | Ultimativer Leitfaden zu Next-Generation Threat Protection MERKEN Vor allem die Trendberichte geben Aufschluss über Fortschritte bei der Senkung der Zahl befallener Systeme. Warnungen Mithilfe von Warnungen halten Sicherheitsanalysten mit möglichen Angriffen Schritt. Warnmitteilungen können per SMTP, SNMP, Syslog und HTTP POST übermittelt werden. Verwaltungsappliance angezeigt (siehe Abbildung 5-5). Abbildung 5-5: Beispiel für eine Warnungsübersicht von FireEye. TIPP Sobald ein neuer Cyber-Angriff mit zugehörigem Callback erkannt wird, löst das MPS eine oder mehrere Warnungen mit hoher Priorität aus. Die MPS-Appliance kann die CallbackVerbindung unterbrechen und den Angriff so vereiteln (sofern eine weitere Verfolgung des Vorfalls wichtig, um mögliche Schäden an dem vom Angriff betroffenen Host zu beseitigen. Integration von NGTP in die vorhandene Netzwerk-Infrastruktur IT-Sicherheitssysteme sollten nie isoliert voneinander betrieben werden. Die verschiedenen Sicherheitsprodukte sollten vielmehr im Verbund miteinander und mit der ihnen Kapitel 5 : Next-Generation Threat Protection im Detail | 59 zugrunde liegenden Netzwerkinfrastruktur arbeiten. So liefern sie der IT-Abteilung einen umfassenden Einblick in die zu schützende Umgebung und senken damit das Risiko eines erfolgreichen Cyber-Angriffs. Dieser Abschnitt beschreibt die Verbindung von NGTP-Systemen mit drei gängigen IT-Plattformen. Den Anfang macht SIEM. SIEM Eine SIEM-Plattform (Security Information and Event um NGTP-Integration geht, vor allem bei Out-of-BandInstallationen. Das ist nicht verwunderlich. Schließlich hat ein SIEM-System die Aufgabe, Sicherheitsereignisse im gesamten Unternehmen zusammenzuführen und (mithilfe Duzender vorgegebener und selbst erstellter Regeln) zueinander in Beziehung zu setzen, um verdeckte Cyber-Angriffe aufzudecken. Sicherheitsereignisse können in Echtzeit-Streams an SIEMPlattformen exportiert werden. Dies geschieht per Syslog, im Common Event Format (CEF) oder in proprietären Formaten, die für eine eingehende Analyse mehr Informationen über den Angriff enthalten. TIPP Produkten verbunden. Wie eine SIEM-Plattform führt auch eine Log-Management-Lösung Sicherheitsereignisse (aus Syslog-Daten) zusammen. Im Gegensatz zu einer SIEM-Plattform kann sie aber in der Regel keine Beziehungen zwischen den Daten herstellen. Log-Management-Lösungen werden weise PCI DSS zu erfüllen, dienen aber auch als komfortabler Zugang zu kumulierten Log-Daten. Bekannte Anbieter sind HP ArcSight, IBM Q1 Labs, LogRhythm, McAfee, RSA und Splunk. Security Intelligence and Analytics Der auch als Netzwerkforensik bekannte Bereich Security Intelligence and Analytics (SIA) erfasst jedes einzelne Paket im Netzwerk. Damit werden verschiedene Zwecke verfolgt: 60 | Ultimativer Leitfaden zu Next-Generation Threat Protection Reaktion auf Sicherheitsvorfälle (Forensik) Erkennung von Cyber-Angriffen Überwachung und Analyse von Datenverlusten Sobald ein NGTP-System eine neue Form von Malware eingesetzt werden, um die SIA-Datenbank zu durchsuchen und den Kontext zu rekonstruieren, in dem der Host kompromittiert wurde. Auf diese Weise lassen sich andere Hosts ermitteln, die möglicherweise von demselben Angriff betroffen sind. Einige SIA-Hersteller bieten eine universelle ConnectorSchnittstelle, die eine direkte Einbindung in den Webbrowser ermöglicht. Damit können NGTP-Anwender in der zentralen Verwaltungskonsole auf eine IP-Adresse klicken, um die SIA-Datenbank abzufragen, was die Reaktion auf Vorfälle beschleunigt. Bekannte Anbieter sind NetWitness (RSA), Niksun und Solera Networks. Incident Management Incident-Management-Plattformen (auch: Ticketing-Plattformen) sind schon seit einigen Jahren auf dem Markt. Sie det, um IT-Vorfälle und ihre Bearbeitung zu verfolgen. Ein Vorfall kann ein einfacher Anruf beim Helpdesk oder eine so komplexe Aufgabe wie die Bekämpfung eines APT sein. Warnmeldungen in ein vorhandenes Incident-ManagementSystem gewünscht. Dies ist zum Beispiel mithilfe von entsprechend formatierten Warnungen möglich, die vom zentralen NGTP-Verwaltungssystem per SMTP an das IncidentManagement-System gesendet werden. Alternativ können Warnungen im XML-Format verarbeitet und an vorhandene Vorlagen für Incident-Warnungen angepasst werden. Bekannte Anbieter sind BMC Remedy, Numara Software und RSA Archer. Kapitel 5 : Next-Generation Threat Protection im Detail | 61 Renommierte Forschungseinrichtung erprobt Next-Generation Threat Protection Einem Sprichwort zufolge ist Unwissenheit ein Segen. Für den CSO einer staatlichen US-Forschungseinrichtung, deren Aufgabe die Fortschritts in den Bereichen Energie, Umwelt und nationale Sicherheit ist, gilt das allerdings nicht. Die Einrichtung hat täglich mit einer Vielzahl von Staatsgeheimnissen und sensiblen Daten zu tun – ein verlockendes Ziel für gehende Cyber-Kriminelle. Zum Schutz vor Datendiebstahl wird deshalb eine Reihe von Sicherheitsgeräten der Enterprise-Klasse eingesetzt, darunter Firewalls, IPS- und AV-Lösungen. Eines Tages musste der erfahrene CSO allerdings in einer Fachzeitschrift lesen, dass eine Organisation vergleichbarer Größe Opfer eines verheerenden APT geworden war. Er erfuhr auch, wie APT-Angriffe ablaufen und weshalb herkömmliche Abwehrmaßnahmen gegen sie machtlos sind. Sein Team aus erfahrenen Sicherheitsprofis machte ihn auf eine neue Klasse von AbwehrmaßnahThreat Protection. Wie sich herAnbieter mehr Kompetenz bei der Erkennung moderner Bedrohun- gen vorweisen als alle anderen NGTP-Anbieter zusammen: FireEye Nach am selben Tag wandte sich ein Teammitglied an FireEye, um einen Termin zu vereinbaren. Kurz Ort durchgeführt. Die Implementierung eines Pilotsystems zur Überwachung des Datenverkehrs im Netzwerk nahm lediglich einen Tag in Anspruch. Die Web-MPSAppliance von FireEye lieferte umhalb weniger Stunden wurden die ersten Warnungen ausgelöst – von schädlichem Code, der von den vorhandenen Abwehrmaßnahmen der Einrichtung nicht erkannt worden war. Einige Wochen später nahm die MPS-Appliance von FireEye den regulären Inline-Betrieb auf. Die Fast-Path-Blockierung der Appliance stoppt bekannte, eingehende Angriffe sowie Malware-Callbacks. Die leistungsfähige Virtual Execution Engine erkennt zuverDer CSO der Forschungseinrichtung kann wieder ruhig schlafen. Er weiß, dass er den Namen seines Labors so schnell nicht in einer Fachzeitschrift für IT-Sicherheit lesen wird. Kapitel 6: Die Wahl der richtigen NGTP-Lösung | 63 Kapitel 6 Die Wahl der richtigen NGTP-Lösung In diesem Kapitel Fallstricke bei der Evaluation von NGTP-Lösungen Erstellen einer Liste von NGTP-Kaufkriterien D utzende Anbieter von Cyber-Sicherheitslösungen werben damit, komplexe Cyber-Angriffe erkennen und stoppen zu können – auch Zero-Day Exploits, polymorphe Bedrohungen und APTs. Und vielleicht können alle diese Anbieter bekannte Angriffe tatsächlich erkennen und abwehren. Nur wenige sind jedoch imstande, auch unbekannte Angriffe zu vereiteln. Dies gilt insbesondere, wenn diese Angriffe (zumindest der breiten Öffentlichkeit) unbekannte Schwachstellen in Betriebssystemen oder Anwendungen zum Ziel haben. Bei der Wahl des richtigen NGTP-Systems muss man wissen, worauf zu achten und was zu vermeiden ist. Beginnen wir mit dem zweiten Punkt. Negative Merkmale Die folgende Liste fasst negative Merkmale zusammen, die bei der Wahl einer NGTP-Lösung zu meiden sind: Keine reine Erkennungslösung. Gute NGTP-Lösungen unterstützen den Inline- und Out-of-Band-Betrieb. Viele Unternehmen beginnen mit dem Out-of-Band-Modus, um sich mit einer Lösung vertraut zu machen, und gehen dann zu Malware, Callbacks und das erneute Auftreten kürzlich entdeckter Schadsoftware zu stoppen. Bei MPS-Appliances mit 64 | Ultimativer Leitfaden zu Next-Generation Threat Protection Kupferschnittstellen ist außerdem darauf zu achten, dass sie im Inline-Betrieb blockierungsfreie, bei Ausfall offene Verbindungen („Fail Open“) unterstützen. Keine Sandbox-Lösung. NGTP-Lösungen, die auf veralteter Sandbox-Technologie beruhen, können von routinierten Angreifern leicht überlistet werden. Dazu wird die Malware so aufgebaut, dass sie herkömmliche Sandbox-Technologie unerkannt zu bleiben. Keine Cloud-Analyse.Eine NGTP-Lösung sollte sich durchaus die Möglichkeiten und die Skalierbarkeit von Cloud Computing zunutze machen. Gute NGTP-Lösungen nutzen die Cloud allerdings nur für den Datenaustausch, nicht für die Malware-Analyse. Dieser Punkt betrifft auch multifunktionale Netzwerk-Sicherheitslösungen, die grundlegende NGTP-Funktionen beinhalten. Für die Malware-Analyse ist eine Integration der Virtual Execution Engine in die MPS-Appliance ideal, weil dies die Malware-Erkennungsraten und die Skalierbarkeit deutlich steigert. Zudem ist gewährleistet, dass vertrauliche Daten das Netzwerk unter keinen Umständen verlassen. Keine MPS-Komplettappliances. Eine optimale Erkennung moderner, neuartiger Cyber-Angriffe ist nur durch separate, spezialisierte MPS-Appliances für die Bereiche E-Mail, Web und Dateifreigabe gewährleistet. Sie sollten allerdings im Verbund arbeiten und Erkennungsdaten untereinander austauschen. Nachdem wir die Punkte erörtert haben, die es zu vermeiden gilt, wenden wir uns nun den NGTP-Merkmalen zu, die jedes sicherheitsbewusste Unternehmen als Kaufkriterien zugrunde legen sollte. Dabei hilft Ihnen der folgende Abschnitt. Wichtige Kaufkriterien Die folgenden NGTP-Kaufkriterien sollten in Unternehmen, Behörden und anderen Organisationen unabhängig von Größe und Tätigkeitsbereich an erster Stelle stehen. TIPP Einige dieser Kaufkriterien wurden bereits erörtert. Die betreffenden Beschreibungen dienen lediglich als kurze Zusammenfassung. Falls Sie eine eingehende Erklärung benötigen, blättern Sie zurück zu den Kapiteln 3 und 4. Kapitel 6 : Die Wahl der richtigenNGTP-Lösung | 65 Integrierte NGTP-Plattform für die Web-, E-Mail- und Dateiprüfung Dieser Aspekt wurde bereits mehrfach erwähnt, muss aber auch in diesem Zusammenhang erneut genannt werden. Um einen APT-Angriff zu vereiteln, ist ein integrierter Schutz unerlässlich, der alle gängigen Eintrittspunkte von Malware abdeckt: Web, E-Mail und Dateien. Gute NGTP-Plattformen verwenden zur Erkennung von Malware in E-Mail-Nachrichten, im Webdatenverkehr und in gespeicherten Dateien spezialisierte MPS-Appliances mit individuell angepassten Heuristiken und Algorithmen. Die Erkennungsdaten werden dabei abgeglichen, um APT-Angriffe wirksam und unternehmensweit zu stoppen. Der Kauf einer MPS-Appliance von einem Anbieter, der nach eigener Aussage zwei bis drei dieser Bereiche abdeckt, mag kurzfristig kostengünstig erscheinen. Langfristig lohnt es sich nicht, das Risiko einer unvollständigen Lösung einzugehen. Überwachung von ein- und ausgehendem Datenverkehr NGTP-Systeme überwachen in der Regel den eingehenden Datenverkehr von Websites sowie eingehende E-Mail-Nachrichten auf verdächtige Binärdateien, die Advanced Malware enthalten könnten (Ingress-Filterung). Den ausgehenden Datenverkehr hingegen (Egress-Filterung) überwachen die meisten NGTP-Systeme überhaupt nicht. Andere wiederum überwachen erstaunlicherweise nur den ausgehenden Datenverkehr. Durch Überwachung des ein- und ausgehenden Datenverkehrs kann eine MPS-Appliance sowohl eingehende Malware als auch die entsprechenden ausgehenden Callback-Versuche erkennen. MERKEN Die Überwachung sowohl des ein- als auch des ausgehenden Datenverkehrs ist ein wichtiges Merkmal, das nur führende NGTP-Lösungen bieten. Es stellt eine zusätzliche SicherheitsMobilgeräte wichtig ist, die ins Büro mitgebracht werden. Analyse einer Vielzahl von Dateitypen So erschreckend es klingt, aber einige fragmentarische NGTPLösungen erkennen Malware nur in unverschlüsselten EXE- 66 | Ultimativer Leitfaden zu Next-Generation Threat Protection und DLL-Dateien. Allerdings kann Malware in eine Vielzahl von Objekttypen eingebettet werden. Das kann eine einfache, XOR-kodierte Binärdatei sein, wie im Fall von Operation Aurora, oder eine Microsoft Excel-Datei, die einen Zero-Day Exploit in Flash ausnutzt, wie im Fall des Angriffs auf RSA Security (siehe dazu den Kasten „RSA Security geht mit APTAngriff an die Öffentlichkeit“ in Kapitel 3). MERKEN Hybride Exploits dieser Art unterstreichen die Bedeutung eines breit angelegten Netzwerkschutzes. Im Fall des Angriffs auf RSA zielte die Excel-Datei nicht auf Microsoft Excel ab, sondern diente als Einfallstor für einen Exploit, der gegen eine vollkommen andere Anwendung gerichtet war. Eine gute NGTP-Lösung bedient sich komplexer Heuristik und fortschrittlicher Algorithmen, um Advanced Malware in Webseiten und in einer Vielzahl von Dateitypen zu erkennen, darunter COM, DOC, DOCX, GIF, JPG, MOV, MP3, MP4, PDF, PNG, PPT, PPTX, SWF, TIFF, XLS, XLSX, ZIP und viele andere. Lösung für die manuelle Malware-Analyse Die Virtual Execution Engine in der MPS-Appliance prüft alle auch nur im Ansatz verdächtigen Dateien auf Advanced Malware. Dabei liefert sie Sicherheitsexperten forensische Daten über den Exploit. So kann beispielsweise ermittelt werden, welche Schwachstelle ausgenutzt wurde, um einen Pufferüberlauf zu erzwingen, ob versucht wurde, die Rechtezuweisung von Windows zu manipulieren und welche Adressen für Callbacks zur Übermittlung erbeuteter Daten verwendet wurden. Erfahrende Sicherheitsexperten ziehen in einigen Fällen eine manuelle Analyse von Malware vor, um sich einen umfassenden Überblick über den Angriff zu verschaffen – vom ursprünglichen Exploit und der Ausführung der Schadsoftware bis zu den anschließenden Download-Versuchen von Binärdateien. Um diesen Bedarf an erschöpfenden forensischen Daten zu erfüllen, sind von NGTP-Anbietern eigenständige Malware Analysis Systems (MAS) erhältlich, die meist in Form einer praktischen Appliance für die Rackmontage angeboten werden. nen mit verschiedenen Versionen von Microsoft Windows Kapitel 6 : Die Wahl der richtigenNGTP-Lösung | 67 und einer Reihe von Softwareanwendungen wie Microsoft können IT-Experten verdächtige bzw. eindeutig als Malware erkannte Binärdateien untersuchen, um die Ziele und Absichten der Angreifen näher zu analysieren, ohne mit zusätzlichem Aufwand verschiedene Testumgebungen einrichten zu müssen. Keine falsch positiven oder falsch negativen Ergebnisse Sogenannte falsch positive oder falsch negative Ergebnisse durch unzureichende NGTP-Erkennung können sich für Unternehmen als äußerst kostspielig erweisen. Ein falsch positives Ergebnis (eine harmlose Datei wird als schädlich eingestuft) kann dazu führen, dass eine geschäftskritische Datei Einbußen führt. Ein falsch negatives Ergebnis (eine schädliche Datei wird als harmlos eingestuft) hat noch gravierendere Folgen, da eine Malware-Datei ohne weitere Analysen ihr Ziel erreicht. Es liegt auf der Hand, was dies bedeuten kann. Der Anspruch, dass die besten NGTP-Systeme auf dem Markt niemals ein falsch positives oder falsch negatives Ergebnis liefern, ist möglicherweise überzogen, aber dieser Fall sollte zumindest sehr selten und nur in großen Abständen eintreten. MERKEN Um die Erkennungsrate einer NGTP-Lösung einschätzen zu können, die Sie in die engere Auswahl genommen haben, unterziehen Sie diese einem Testlauf vor Ort. Falls Sie zwei konkurrierende Lösungen bewerten, testen Sie beide gleichzeitig anhand des regulären Datenverkehrs (im passiven Out-of-Band-Modus), und vergleichen Sie die Ergebnisse. Unterstützung eigener Regeln Wie in Kapitel 5 erörtert, benötigen NGTP-Administratoren mitunter eine Importmöglichkeit für eigene Regeln auf ByteEbene, die in der Regelbeschreibungssprache YARA vorliegen, um alle relevanten Objekte auf gezielt gegen das Unternehmen gerichtete Bedrohungen zu untersuchen. Dies ist vergleichbar mit der Erstellung eigener Signaturen für ein Netzwerk-IPS. Berücksichtigen Sie bei der Kaufentscheidung deshalb auch die Erweiterungsmöglichkeiten der konkurrierenden 68 | Ultimativer Leitfaden zu Next-Generation Threat Protection NGTP-Lösungen sowie die Unterstützung für eigene Malware-Erkennungsregeln. Intuitiv bedienbare Wie leistungsfähig eine Sicherheitsanwendung auch sein mag: Wenn sie in der Anwendung kompliziert ist, wird sie von der IT-Abteilung nicht eingesetzt werden – jedenfalls nicht in der Breite. NGTP-Lösungen sind da keine Ausnahme. Im Gegensatz zu Sicherheitslösungen, die eine Feinanpassung oder eigens entwickelte Richtlinien erfordern, wie herkömmliche Firewall- und IPS-Appliances, ist ein NGTP-System eine weitgehend automatisierte Lösung. Dennoch muss die Oberdie Einrichtung von Berichten und Warnmeldungen sollte nicht nur erfahrenen Experten vorbehalten sein. Schnell erreichbarer Kundensupport Die Wahl des NGTP-Anbieters ist ebenso wichtig wie die Wahl des Produkts – wenn nicht sogar wichtiger. Technischer Support von hoher Qualität wird von Unternehmen und Behörden regelmäßig als wichtiges Kriterium bei der Entscheidung für ein IT-System genannt. TIPP Prüfen Sie die Qualität des Kundensupports immer vor Ihrer Kaufentscheidung. Wenden Sie sich dazu in der Evaluationsphase mindestens zweimal direkt an den technischen Support, und nicht nur an den Vertriebsmitarbeiter, von dem Sie betreut werden. Wenn Sie keine konkreten Probleme haben, suchen Sie einen anderen Anlass, indem Sie beispielsweise eine allgemeine Frage zu den Funktionen des Produkts stellen. Bewerten Sie dabei, wie gut und wie schnell die Supportmitarbeiter reagieren. Notieren Sie auch, wie lange es gedauert hat, bis Sie zu einem Mitarbeiter durchgestellt wurden. Wenn Sie 30 Minuten warten müssen und der Supportmitarbeiter eine einfache Frage zur SystemAngebot in Erwägung ziehen. Glossar Advanced Persistent Threat (APT): Ein komplexer Cyber-Angriff, der mehrstufig aufgebaut ist und dank ausgeklügelter Tarnung für längere Zeit unbemerkt bleiben kann. Advanced Targeted Attack (ATA): Ein Synonym für Advanced Persistent Threats. Ausgehender Verkehr: Datenverkehr im Computernetzwerk, der von innerhalb an Hosts außerhalb des Netzwerks übertragen wird. Baiting: Ein Social-Engineering-Angriff, bei dem mit Malware infizierte Datenträger wie USB-Sticks im Arbeitsumfeld eines Unternehmens als „Köder“ ausgelegt werden. Bot: Ein infizierter Computer (oder Endpoint), der von einem Command-and-Control (CnC)-Server zentral gesteuert wird. BYOD (Bring Your Own Device): Eine Unternehmensrichtlinie, die regelt, inwieweit Mitarbeiter mit eigenen elektronischen Geräten auf betriebliche Daten zugreifen dürfen. Central Management System (CMS): Eine RackAppliance zur Überwachung und Verwaltung von MPSAppliances in einer NGTP-Umgebung. Cloud Threat Intelligence Network: Ein von einem NGTP-Anbieter verwalteter Webservice, um neueste Bedrohungsdaten an MPS-Appliances von Kunden zu senden bzw. diese zu empfangen. Command-and-Control-Server (CnC): Ein Server, der von Cyber-Kriminellen betrieben wird, um Anweisungen an Bots zu versenden. Cyber-Krieg: Politisch motivierte Hacking-Aktivitäten zur Sabotage und/oder Spionage in staatlichen Systemen. 70 | Ultimativer Leitfaden zu Next-Generation Threat Protection Cyber-Krimineller: Hacker, der sich aus finanziellen Motiven unberechtigten Zugang zu fremden Computern verschafft und Daten entwendet. Cyber-Terrorismus: Der Einsatz von internetbasierten Angriffen für terroristische Zwecke (z. B. Lahmlegung kompletter Netzwerke). Data Leakage Prevention (DLP): Ein System, das potenzielle Datenlecks anhand bestimmter Muster (z. B. Kreditkartennummern) erkennt. Defense-in-Depth-Strategie: Eine Reihe hintereinander geschalteter Sicherheitssysteme, um Bedrohungen auf unterschiedlichen Ebenen ausfindig zu machen. Denial-of-Service (DoS)-Angriff: Ein CyberAngriff, der ein Zielsystem beeinträchtigt oder lahmlegt, indem der Host mit einer größeren Anzahl an Kommunikationsanfragen überlastet wird. Eingehender Verkehr: Datenverkehr im Computernetzwerk, der von außerhalb an Hosts innerhalb des Netzwerks übertragen wird. Fail Open: Die Fähigkeit von Kupferschnittstellen einer Netzwerk-Appliance, die Konnektivität auch bei einer Unterbrechung der Stromversorgung oder anderweitigen Störungen aufrechtzuerhalten. Falsch negativ: Fehleinstufung einer infizierten Datei als harmlos. Falsch positiv: Fehleinstufung einer harmlosen Datei als schädlich. Hacktivism: Die Nutzung von Computern und Netzwerken zu Protestzwecken und aus politischen Motiven. Inline-Modus: Platzierung einer Netzwerk-Appliance entlang des Netzwerkverkehrs, um Cyber-Angriffe stoppen zu können. Glossar | 71 Intrusion Detection System (IDS): Ein signaturabhängiges Out-of-Band-Sicherheitsgerät, das den Netzwerkverkehr überwacht und bei Erkennung bekannter Cyber-Angriffe Warnmeldungen versendet. Intrusion Protection System (IPS): Ein aktives signaturabhängiges Inline-Sicherheitsgerät, das den Netzwerkverkehr überwacht und bei Erkennung bekannte Cyber-Angriffe abwehrt. Keylogger: Eine Anwendung, die meist ohne Kenntnis des Benutzers Tastatureingaben auf einem Computer aufzeichnet. Kombinierter Angriff: Ein Cyber-Angriff, der mehrere, auf verschiedene Schwachstellen abzielende Angriffe umfasst. Malware: Schadsoftware wie Viren, Würmer oder Trojaner, die den Betrieb von Computern stören, sensible Daten sammeln oder sich Zugang zu privaten Computersystemen verschaffen. Siehe auch Spyware, Trojaner und Wurm. Malware Analysis System (MAS): Eine Appliance, die mit einer virtuellen Ausführungs-Engine ausgestattet ist, damit Benutzer verdächtige Objekte manuell untersuchen können. Malware Protection System (MPS): Eine RackAppliance zur Erkennung und Weiterleitung verdächtiger Netzwerkobjekte an die gehostete Virtual Execution Engine, um eine signaturunabhängige Analyse vorzunehmen. Mehrstufig: Ein Cyber-Angriff, bei dem verschiedene Malware-Typen miteinander kombiniert und nacheinander ausgeführt werden. Multivektorbasiert: Ein Cyber-Angriff, bei dem verschiedene Zielsysteme eines Unternehmens mit unterschiedlichen Verfahren angegriffen werden. 72 | Ultimativer Leitfaden zu Next-Generation Threat Protection Next-Generation Threats (Bedrohungen der nächsten Generation): Heutige Cyber-Angriffe lassen sich nicht ausschließlich mit signaturabhängigen Sicherheitslösungen erkennen. Beispiele sind polymorphe Malware, Zero-Day Exploits und APT-Angriffe. Next-Generation Threat Protection (NGTP): Software, die auf speziellen Rack-Appliances installiert wird, um Cyber-Angriffe der nächsten Generation zu erkennen und abzuwehren. Out-of-Band-Modus: Der Betriebsmodus einer Netzwerk-Appliance zur Analyse von Datenverkehr, der von einem Netzwerk-TAP oder Switch-SPAN-Port kopiert wird. Phishing: Der Versand einer E-Mail, die dem Empfänger unter Vorspiegelung falscher Tatsachen sensible Daten wie Kreditkarten- und Sozialversicherungsnummern entlocken soll. Polymorphe Bedrohung: Malware, die ihre Signatur (ihr binäres Muster) bei jeder Replikation verändert, um von Sicherheitsgeräten und -anwendungen nicht erkannt zu werden. Pufferüberlauf: Ein Angriff, bei dem mehr Daten in einen Speicherbereich geschrieben werden als dieser bewältigen kann. So erhalten Angreifer die Möglichkeit, eigenen Code auszuführen (oftmals mit erweiterten Rechten für die betroffenen Anwendungen oder Netzwerkservices). Remote Administration Tool (RAT): Software, die Hackern eine Hintertür zum infizierten System öffnet, damit diese Daten ausspionieren oder den Host übernehmen können. Sandbox: Eine Softwareanwendung für die Untersuchung verdächtiger binärer Muster auf einer isolierten virtuellen Maschine. Kann von intelligenten Cyber-Kriminellen leicht umgangen werden. Spear Phishing: Ein Phishing-Angriff, der sich gegen ein bestimmtes Unternehmen oder eine Person in diesem Unternehmen richtet. Glossar | 73 SQL-Injection-Angriff: Ein Angriff auf eine datenbankbasierte Webanwendung, bei dem der Angreifer nicht zulässige SQL-Befehle verwendet, um CodeSchwachstellen auszunutzen. Spyware: Malware, die Daten über Benutzer sammelt (mit oder ohne deren Kenntnis). Staatlich beauftragter Bedrohungsakteur: Ein Cyber-Krimineller, der von einer Regierung beauftragt wird, politisch motivierte Cyber-Angriffe gegen Staatsfeinde durchzuführen. Trojaner: Malware, die sich als harmlose Datei oder nützliche Anwendung tarnt und einem Hacker unbefugten Zugriff auf einen Computer verschafft. Virtual Execution Engine: Eine Komponente von MPS-Appliances für die signaturunabhängige Analyse verdächtiger Objekte auf einer isolierten virtuellen Maschine. Whaling: Ein Cyber-Angriff, der Führungskräfte und andere lukrative Ziele innerhalb eines Unternehmen ins Visier nimmt. Wurm: Eine Art von Malware, die Schwachstellen in Netzwerken ausnutzt, um sich auf andere Computer zu verbreiten. Zero-Day Exploit: Ein Cyber-Angriff, der eine unbekannte (oder noch nicht gemeldete) Sicherheitslücke in Betriebssystemen oder Anwendungen ausnutzt. EINE NEUE ART VON CYBERANGRIFFEN IST IN 95 % ALLER NETZWERKE EINGEDRUNGEN. ZÄHLEN SIE WIRKLICH ZU DEN ÜBRIGEN 5 %? Sie glauben, dass Ihre Sicherheitslösungen auch neuartige Cyber-Angriffe daran hindern können, in Ihr Netzwerk einzudringen und Daten zu entwenden. Diese Sicherheit ist trügerisch. Neuartige Cyber-Angriffe umgehen mit Leichtigkeit traditionelle und Next-Generation-Firewalls, IPS- und AV-Lösungen sowie Gateways. FireEye kann sie aufhalten. Setzen Sie neuartigen CyberAngriffen ein Ende – mit Next-Generation Threat Protection. Besuchen Sie uns unter www.FireEye.com. Gemeinsam schließen wir die Sicherheitslücke in Ihrem Netzwerk. © 2013 FireEye, Inc. Alle Rechte vorbehalten. Über den Autor 2