Endpoints in Behörden besser vor Cyberangriffen schützen
Bei den jüngsten größeren Cyberangriffen auf Behörden waren stets bestimmte Konstanten gegeben, wie die Sicherheitsexperten von Palo Alto Networks aufzeigen: Es gab Schwachstellen im Betriebssystem oder in einer Anwendung auf dem Endpunkt und es wurde versäumt, die neuesten Patches aufzuspielen. Die Angreifer konnten sich so die Schwachstellen auf dem Endpunkt zunutze machen, um ungehinderten Zugang ins Netzwerk zu erlangen. Palo Alto Networks rät deshalb zu einen präventiven Ansatz, der auf mehreren Verfahren basiert und Malware intelligent an deren Verhalten frühzeitig erkennt.
Endpoints in Behörden besser vor Cyberangriffen schützen –
Antivirus-Lösungen wurden jahrelang auf Endpunkten eingesetzt, haben sich mittlerweile jedoch für den Schutz vor heutigen Sicherheitsbedrohungen als unwirksam erwiesen. Als Gegenmaßnahmen empfehlen wir daher zunächst das regelmäßige Patchen, um Sicherheitslücken schließen, und eine Schwachstellenanalyse, um zu begreifen, wo die IT-Umgebung verwundbar ist.
„Um Angriffe zu stoppen oder die seitliche Bewegung der Angreifer im Netzwerk zu verhindern, ist Netzwerksegmentierung wichtig. Eine moderne Next-Generation-Sicherheitsplattform liefert eine verbesserte Transparenz zur Netzwerknutzung. Zudem ist eine solche integrierte Sicherheitslösung den heutigen Bedrohungen besser gewachsen, als punktuelle Produkte, die separat und unkoordiniert agieren“, so Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks.
Prävention mittels Multi-Methoden-Ansatz
Palo Alto Networks empfiehlt zudem eine intelligente Lösung für Endpunkte, die Malware an deren Verhalten frühzeitig erkennt. Solch ein präventiver Ansatz greift auf mehreren Verfahren zurück. Hierbei kommt eine Kombination hocheffektiver Methoden zum Schutz der Endpunkte vor bekannten und unbekannten Bedrohungen zum Einsatz.
Eine moderne Endpunkt-Schutzlösung setzt die folgenden fünf Techniken gegen Malware ein:
1. Statische Analyse über maschinelles Lernen: Diese Methode beurteilt jede unbekannte ausführbare Datei, bevor diese ausgeführt werden darf. Durch die Untersuchung Hunderter von Eigenschaften im Bruchteil einer Sekunde bestimmt diese Methode, ob die Datei bösartig oder gutartig ist, ohne die Abhängigkeit von Signaturen, Scannen oder Verhaltensanalyse.
2. Quarantäne von schädlichen exe-Dateien: Bösartige ausführbare Dateien werden in Quarantäne gestellt, um Versuche einer weiteren Ausbreitung oder Ausführung infizierter Dateien zu stoppen.
3. Inspektion und Analyse mit cloudbasiertem Dienst. Der Endpunktschutz von Palo Alto Networks arbeitet zusammen mit einer Bedrohungsanalyse-Cloud, um zu bestimmen, ob eine ausführbare Datei gutartig oder bösartig ist. Der Clouddienst kann die Gefahr einer unbekannten Bedrohung beseitigen, indem diese in etwa fünf Minuten in eine bekannte Bedrohung verwandelt wird. Die automatische Neuprogrammierung der Endpunktschutz-Lösung und Umwandlung von Bedrohungsanalyse in Prävention macht es für einen Angreifer unmöglich, unbekannte und fortschrittliche Malware zu verwenden, um ein System zu infizieren.
4. Trusted-Publisher-Identifizierung: Diese Methode ermöglicht es Behörden, „unbekannte gutartige“ Dateien, die als seriöse Softwareherstellern eingestuft worden sind, zu identifizieren.
5. Regelbasierte Einschränkung der Ausführung: Organisationen können auf einfache Weise Richtlinien definieren, um bestimmte Ausführungsszenarien zu beschränken, wodurch die Angriffsfläche jeder Umgebung reduziert wird. Ein Beispiel wäre, zu verhindern, dass eine bestimmte Datei direkt von einem USB-Laufwerk ausgeführt wird.
6. Administrator-Richtlinien: Organisationen können auch Richtlinien definieren, basierend auf dem Hash einer ausführbaren Datei, um zu kontrollieren, was in einer Umgebung ausgeführt werden darf und was nicht.
Zur Prävention gegen Exploits geht das Produkt Traps von Palo Alto Networks nach den folgenden Ansätzen vor:
1. Prävention gegen Speicherbeschädigung/-manipulation: Speicherbeschädigung ist eine Kategorie von Exploit-Techniken, bei denen der Exploit die Speicherverwaltungsmechanismen des Betriebssystems manipuliert, damit die Anwendung eine „bewaffnete“ Datendatei öffnet, die den Exploit enthält. Diese Präventionsmethode erkennt und stoppt diese Exploit-Techniken, bevor diese eine Chance haben, die Anwendung zu kompromitieren.
2. Logic-Flaw-Prävention: Logic Flaw ist eine Kategorie von Exploit-Techniken, die dem Exploit ermöglicht, im Betriebssystem die normalen Prozesse zu manipulieren, die verwendet werden, damit die Zielanwendung die bewaffnete Datendatei öffnet und ausführt. Zum Beispiel kann der Exploit die Position verändern, an der Dynamic Link Libraries (DLLs) geladen werden, so dass legitime durch schädliche DLLs ersetzt werden können. Diese Präventionsmethode erkennt diese Exploit-Techniken und stoppt sie, bevor sie erfolgreich eingesetzt werden.
3. Prävention gegen Ausführung von bösartigem Code: In den meisten Fällen ist das Endziel eines Exploits, irgendeinen Code auszuführen, also die Befehle des Angreifers, die in der Exploit-Datendatei eingebettet sind. Diese Präventionsmethode erkennt die Exploit-Techniken, die es dem Angreifer ermöglichen, Schadcode auszuführen und blockiert sie rechtzeitig.
Zudem ermöglicht ein moderner Endpunktschutz, nicht-bösartige, aber anderweitig unerwünschte Software (zum Beispiel Adware) an der Ausführung zu hindern.
Allgemeine Sicherheitsmaßnahmen für Behörden
Obwohl es Anstrengungen gibt, gängige End-of-Life-Betriebssysteme (Windows XP und Server 2003) zu aktualisieren oder zu ersetzen, sind diese oft noch im Einsatz.Bestimmte Anwendungen, nicht nur in IT-, sondern auch OT-Netzwerken kritischer Infrastrukturen, können nur auf den alten Systemen betrieben werden. Hinzu kommt, dass sich die Endpunkte verändern und deren Anzahl zunimmt im Rahmen des Aufbaus des Internets der Dinge (IoT), was natürlich auch für öffentliche Versorgungsinfrastrukturen gilt. Traps kann hier installiert werden, um die Altsysteme vor Exploitssowie bekannten und unbekannten Sicherheitslücken zu schützen.
Entscheidend für mehr Sicherheit ist die Sichtbarkeit aller Benutzer, Geräte und Anwendungen im Netzwerk. Zusätzlich zur Benutzeridentifizierung und Multi-Faktor-Authentifizierung legen einige Organisationen bereits mittels Whitelisting fest, welche Anwendungen für bestimmte Benutzer oder eine Benutzergruppe freigegeben werden. Dies geht bis hinunter zur Beschränkung einzelner Funktionen in einer Anwendung, man denke an Chat oder File-Sharing innerhalb von WebEx oder Datei-Downloads von Dropbox.
Es gibt jedoch auch die anerkannten Cybersicherheitsmodelle wie den Angriffslebenszyklus von Gartner oder die Lockheed Martin Cyber Kill Chain. Diese helfen bei der Erstellung einer aussagekräftigen Schwachstellenanalyse, um genau zu wissen, wo das Netzwerk in jeder Phase des Angriffslebenszyklus verwundbar sein könnte. Dies ist entscheidend gerade für SCADA-Systeme, die auf End-of-Life-Betriebssystemen laufen und für die keine Patches mehr verfügbar sind.
Eine weitere Maßnahme ist die virtuelle Segmentierung des Netzwerks. Dies bedeutet, Zonen anzulegen, um die Benutzer pro Zone zu reglementieren und die Datenströme zwischen den Sicherheitszonen streng zu kontrollieren. Diese Maßnahme geht zurück auf das Modell des Cyberangriffslebenszyklus. Durch Segmentierung fällt es leichter, ungewöhnliche Vorgänge an einer Stelle in der Angriffskette zu stoppen, um dadurch den gesamten Angriff zu vereiteln.
Endpunkt-zu-Netzwerk-Korrelation ist in zeitgemäßen integrierten Sicherheitsplattformen verfügbar und verbessert den Zeitvorsprung, um einen Angriff zu verhindern. Wenn im Netzwerk eine neue Malware erkannt wird, werden alle Indikatoren erfasst und relevante Informationen geteilt, um den Angriff auf dem Endpunkt zu verhindern.
Zu guter Letzt sollten Sicherheitsteams und Sicherheitsprodukte nicht in isolierten Strukturen agieren. Die Endgeräte- und Netzwerksicherheitsfunktionen sollten sich gegenseitig ergänzen und Informationen austauschen. Gleiches gilt für den globalen Austausch von Bedrohungsdaten im Rahmen von Sicherheitsallianzen und die Interaktion mit Interessengemeinschaften wie SecurityRoundtable.org oder staatlichen Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI).