Attacken: Gestiegene Kom­ple­xi­tät bei der Absicherung der Netzwerkinfrastruktur bei Banken und Versicherern

Die digitale Transformation führt für Unternehmen aller Branchen zur Kooperation mit einer stetig steigenden Zahl an externen Partnern. Attacken sind unvermeidbar. Besonders ausgeprägt dokumentiert sich dies in der Finanzbranche, die über die breitesten und komplexesten Lieferketten verfügt. 

von Edward Carolan, Senior Solutions Consultant bei LogRhythm

Heute gilt es entsprechend, nicht nur die Sicherheit für die eigenen Netzwerke gewährleisten zu können, sondern auch für die Netze der Lieferanten.

Überall dort, wo sich in einer digitalen Lieferkette Schwachstellen öffnen, können Daten abfließen oder Systeme lahmgelegt werden.”

Cyber-Kriminelle verfügen hierfür über hochmoderne Technologie, sind bestens ausgebildet und agieren in internationalen Gruppen.

APT-Attacken stellen hier eine neue Generation der IT-Attacken dar. Zum einen zielt die entsprechende Malware meist auf Zero-Day-Lücken in Anwendungen und/oder Betriebsystemen ab, für die vonseiten des Herstellers noch keine korrigierenden Patches verfügbar sind. Zudem nehmen sie häufig nicht eine breite Zielgruppe ins Visier, sondern werden eingesetzt, um bestimmte Systeme gezielt zu infizieren. In ihrer wirkungsvollsten und damit auch gefährlichsten Variante nutzen Online-Kriminelle mehrere Angriffsvektoren, um die Chancen für den erfolgreichen Einbruch in ein Netzwerk zu verbessern.

Diese vermischten, mehrstufigen Angriffe sind deshalb erfolgreich, weil sich herkömmliche Sicherheitstechnologien auf Techniken stützen, die signatur- oder listenbasierte Muster abgleichen.”

Viele Zero-Day- und gezielte Angriffe erreichen ihre Opfer, indem sie neu erstellte, polymorphe Dropper-Malware auf legitimen Webseiten und in herunterladbaren Dateien wie JPEG-Bildern und PDF-Dokumenten verstecken.

Erhebliches Potenzial birgt auch der Trend, Mitarbeitern den mobilen Zugang zum Netz zu ermöglichen, wobei häufig auch private Smartphones erlaubt sind. Oftmals sind es die auf diesen Geräten gespeicherten, scheinbar unsensiblen Informationen, die Angriffe möglich machen, denn scheinbar private Daten erlauben Rückschlüsse auf Zugangsinformationen und können damit als Basis für weiterreichende Angriffe auf Unternehmensnetze eingesetzt werden. Hier empfiehlt sich die Absicherung mittels einer Lösung für das Mobile Device Management (MDM), denn Daten dürfen nur für legitimierte Anwender auf einem abgesicherten Weg zugänglich sein. Bei remoten Übertragungen und/oder bei Zugriffen über mobile Gerätschaften müssen eine durchgängige Verschlüsselung mit starken Algorithmen und die Übertragung der Daten über sichere Protokolle selbstverständlich sein.

Nicht absolut sicher, aber so sicher wie möglich

Es ist ein weit verbreiteter Irrtum, mit entsprechendem Aufwand könne man sich vollständig vor digitalen Attacken schützen. Patentrezepte zur Abwehr von Attacken gibt es nicht. Immer wieder werden Zero-Day-Lücken bekannt oder es offenbart sich die Schwachstelle Mensch.

Zum kleinen Einmaleins der Maßnahmen, die wirkungsvoll verhindern, dass ein Unternehmensnetz durch Angreifer kompromittiert wird, zählt eine Zwei-Faktor-Authentifizierung, wie sie ja inzwischen für das Online-Banking vorgeschrieben ist.

Grundsätzlich sollte zudem sparsam mit Berechtigungen umgegangen werden – idealerweise kommen für unterschiedliche Systeme oder Einsatzszenarien verschiedene Nutzerkonten zum Einsatz.”

Der Zugriff auf Netzwerkkomponenten sollte nur von einer beschränkten IP-Adressen-Anzahl erfolgen können, wobei es sinnvoll sein kann, remote Verbindungen über ein Virtual Private Network (VPN) zu leiten, das ein Plus an Kontrolle ermöglicht.”

Unverständlicherweise analysieren die meisten Unternehmen den ausgehenden Datenverkehr nicht auf böswillige Übertragungen oder Ziele. Kommen dennoch Tools zum Schutz vor Datenkompromittierungen (Data Loss Prevention, DLP) zum Einsatz, sind sie meist darauf ausgerichtet, sensitive Daten vor einer illegitimen Übertragung zu schützen. Hierfür sind jedoch Regeln notwendig, die laufend aktualisiert und fein abgestimmt werden müssten, was oft ausbleibt. Der letztlich statische Ansatz dieser Tools widerspricht zudem der dynamischen Natur von Bedrohungen der nächsten Generation.

Firewalls der nächsten Generation umfassen zusätzlich Richtlinienregeln für Benutzer und Anwendungen. Sie verbinden herkömmliche Maßnahmen wie Virenschutz und Intrusion Prevention Systeme (IPS), bieten jedoch keinen dynamischen Schutz, der auch Bedrohungsinhalte und -verhalten der nächsten Generation erkennt. Denn die Signaturen, Paketinspektionen, DNS-Analysen und Heuristiken der IPS sind nicht in der Lage, Zero-Day-Exploits als gefährlich zu erkennen. Das gilt besonders dann, wenn der Code gründlich versteckt oder schrittweise übertragen wurde. Netzwerkfilter sollten nach einheitlichen Konfigurationsvorgaben eingerichtet werden, Wert ist dabei vor allem auf die Definition individueller Regeln für die Echtzeitanalyse von Datenpaketen zu legen. Eine höhere Transparenz bei verdächtigen Netzwerkaktivitäten, leistungsfähige Analytikfunktionen sowie die Voraussetzungen, effizient auf Zwischenfälle reagieren zu können sind notwendig, um potenzielle Gefahren zu erkennen und einzudämmen, bevor größerer Schaden entsteht.

Angesichts der Tatsache, dass insbesondere Banken und Finanzunternehmen kritische Ziele für Cyber-Kriminelle sind, ist es entscheidend, dass sie über Tools verfügen, mit denen anomale Aktivitäten und Exploits bereits beim ersten Auftreten erkannt werden.

Möglichst nahe an einen Wert von 100 Prozent Sicherheit kommen dabei Finanzdienstleister, die sich als technologische Grundlage für eine SIEM-Lösung (Security Information and Event Management) entscheiden.”

Mit ihr können sie die unterschiedlichsten Systeminformationen aus ihrer Infrastruktur über sicherheitsrelevante Aktivitäten und integrierte Prozesse hinweg zusammenführen und auswerten.

Durch verhaltensbasierte Analysen werden die gesammelten Daten aus Sicherheitsauffälligkeiten und Logs sowie von forensischen Sensoren in Korrelation zueinander gebracht, um verdächtige Ereignisse zu erfassen, zu identifizieren und entsprechend ihrer ermittelten Priorität für die weitergehende Analyse zu klassifizieren, wodurch sich die mittleren Erkennungszeiten (Mean Time To Detect, MTTD) reduzieren. Liegt eine reale Attacke vor, erfolgt umgehend nach der Erkennung deren Analyse und die Feststellung ihres Umfanges, ihrer Auswirkungen und ihrer Reichweite. Sobald Code als böswillig gekennzeichnet wurde, werden dessen Kommunikationsports, IP-Adressen und Protokolle gesperrt, um ausgehende Datenübertragungen zu blockieren. Analysten können mithilfe des Fingerabdrucks des böswilligen Codes kompromittierte Systeme erkennen und bereinigen sowie die Weiterverbreitung der Infektion verhindern. Dadurch werden die Auswirkungen einer Attacke minimiert und die mittleren Reaktionszeiten (Mean Time To Respond, MTTR) reduziert. Automatisierte Prozesse und definierte Workflows entlasten die meist überforderten Security-Teams zusätzlich.

Zusammengenommen bilden diese Vorgehensweisen und Technologien eine wirkungsvolle Basis zur Absicherung der eigenen Netzwerke. Allerdings muss auch gewährleistet sein, dass die Netzwerke und Verbindungen der Lieferanten und Partner über entsprechende Security-Lösungen verfügen. Dies gilt es vertraglich festzuhalten und möglichst auch zu verifizieren.

Last, not least: Es ist nicht die Frage, ob es zu Attacken im IT-Bereich kommt. Es ist die Frage, wann und wie. Daher ist ein Plan für das Notfallmanagement unverzichtbar, der Reaktionen und Wiederherstellungsprozesse via Business Continuity/Desaster Recovery (BC/DR) definiert.”Edward Carolan, LogRhythm