Dem potentiellen Gegner einen Schritt voraus – moderne Verteidigung gegen Cyber-Angriffe

Stefan_Mello
Autor: Stefan Mello, Cloud Solutions Expert
  • Beitrag vom: 12.10.2018
  • Views: 5.334

Vor nicht allzu langer Zeit bestand IT-Infrastruktur im Wesentlichen aus lokalen Servern, Netzwerken und Datenzentren. Eine der typischen Sicherheitsmaßnahmen war die Firewall, die den Traffic in eingehender und ausgehender Richtung kontrollierte. Ports wurden für bestimmte Applikationen geöffnet oder geschlossen. Einige intelligentere Firewalls waren zudem in der Lage, rudimentäre Funktionen eines Intrusion Detection Systems mit abzudecken. Firewalls sollten als zentraler Punkt des Sicherheitskonzepts helfen, die Gefahr von „außen“ einzudämmen und einen sicheren Perimeter zu bilden. Auf den Servern und Clients standen meist einfache Virenlösungen zur Verfügung, die das ganz große Unheil abwehren sollten. Die Kosten für eine solche überwiegend „passive“ Sicherheit konnten (und mussten) dabei stets so niedrig wie möglich gehalten werden.

Die Zeiten ändern sich – Angreifer scheinen immer einen Schritt voraus

Warum funktionieren diese Sicherheitsmodelle nicht mehr richtig in einer Welt zunehmend verbundener Dienste?

Für viele mittelständische Unternehmen war bereits in dem bisherigen Modell ein zentrales Sicherheits-Monitoring der IT-Landschaft über verteilte Systeme von verschiedenen Herstellern hinweg ebenso eine Herausforderung, wie Benutzer mit ihren USB-Sticks davon abzuhalten, Daten einzuschleusen oder bei einer eventuellen Kündigung einfach mitzunehmen. Mitarbeiter verbinden sich heute mit ihren Devices unabhängig von ihrem Standort mit dem Firmennetzwerk – von unterwegs, beim Kunden vor Ort oder vom Heimarbeitsplatz – und greifen auf Anwendungen und Daten in der Cloud zu, flexiblen Arbeitsplatzmodellen sei Dank. Die eigentliche Firewall-„Grenze“ verschwimmt also. Darüber hinaus scheinen Angreifer immer einen Schritt voraus zu sein, sie verwenden Techniken und Code, der niemals zuvor von Antiviren-/Antimalware-Systemen gesehen wurde. Es handelt sich hier um professionell geplante sogenannte „ZeroDay“-Attacken. Gut vorbereitet sucht der Angreifer sein Ziel und startet maßgeschneidert Attacken auf ganz bestimmt ausgewählte Benutzer. Hat er erst einmal einen Rechner gekapert, bleibt ihm sehr viel Zeit, um seinen Angriff auszuweiten und eventuell sogar ganze Geschäfts-Prozesse auszuspähen. Ein solcher Cyberangriff bleibt im Schnitt mehr als 200 Tage unentdeckt und normale, signaturbasierte Systeme sind diesen Attacken schutzlos ausgeliefert. Insbesondere Unternehmen werden immer häufiger Opfer von solchen gezielten Hackerangriffen, auch ein Bereich „hinter“ der Firewall kann nicht mehr per se als unbedingt vertrauenswürdig angesehen werden.

Zeitgemäße IT-Sicherheitskonzepte umfassen Nutzer, Hardware und Daten

Um heutigen Sicherheitsrisiken zu begegnen, spielen sich moderne Sicherheitsmethoden auf verschiedenen Ebenen ab. Beispielsweise stützt sich die Komplettlösung Microsoft 365 im Wesentlichen auf drei grundlegende Bereiche:

Schutz von Identitäten

Ein wichtiger Grundstein für Sicherheit beginnt beim Thema Identitätsmanagement, bei dem das Azure Active Directory eine solide Basis und interessante Zusatzmöglichkeiten bietet. Mit Hilfe von Microsoft 365 haben Unternehmen die Möglichkeit, ein ganzes Set an Tools mit Funktionen, die sich zusätzlich kombinieren lassen, einzusetzen. Als Beispiel: bei einem Zugriff auf Dokumente, die außerhalb des Unternehmensnetzwerkes geöffnet werden sollen, kann zusätzlich eine Multifaktorauthentifizierung (MFA) angefordert werden. Auch Nutzer-Zugriffe von ungewöhnlichen Aufenthaltsorten können als zu berücksichtigender „Unsicherheitsfaktor“ mit einbezogen werden.

Selbst wenn ein Angreifer durch eine geschickt ausgeführte Attacke es geschafft haben sollte, Informationen aus einem Unternehmen zu stehlen und zusätzlich auch noch die Accountdaten eines Benutzers kennt, könnte er ein Dokument nicht öffnen, da er voraussichtlich den zweiten Faktor zur Authentifizierung nicht erbringen kann. In diesem Szenario lässt sich Azure Information Protection mit kombinieren (die Funktion wird weiter unten in diesem Artikel beschrieben).

Zusätzlich gibt es noch ein weiteres Feature, um die Angriffsfläche, gerade von begehrten Accounts mit erhöhten Berechtigungen, drastisch zu reduzieren: Privileged Identity Management.

Unternehmen möchten die Anzahl von Personen mit Zugriff auf sensible Informationen oder Ressourcen möglichst geringhalten. Dadurch verringert sich das Risiko, dass ein böswilliger Benutzer oder Angreifer Zugriff darauf erhält oder dass ein autorisierter Benutzer versehentlich eine sensible Ressource kompromittiert.

Active Directory Privileged Identity Management kann für folgende Aufgaben genutzt werden:

  • Ich möchte wissen, welche privilegierten Rechte ein Administrator hat und wann er sie verwendet
  • Administratoren sollen sich zusätzlich mit MFA anmelden, um administrative Rechte zu bekommen
  • Administratoren sollen nur befristet für die Ausübung der Admin-Tätigkeit den Administratoren-Status erhalten

Mit einer zusätzlich eingezogenen Ebene von Schutzmechanismen lässt sich so der Bereich Identity-Management mit intelligenten Funktionen weiter ausdehnen.

In einem großen Teil der derzeitigen Angriffsszenarien werden die Angriffe durch das Einschleusen von Malware und Schadcode verursacht. Nutzer klicken auf einen Link innerhalb von gut aufbereiteten und präparierten Mails mit Links zu externen, verseuchten Systemen oder öffnen Anhänge mit schadhaftem Code. Nachdem der Code ausgeführt wurde, ist es für den Angreifer möglich, weitere Aktionen auszuführen und sowohl Herrschaft über einen Rechner zu erhalten, als auch weitere Tools nachzuladen. Dies bietet dann die Basis für eine weitere Ausbreitung auf andere Komponenten (Lateral Movement), Ausspähung des Unternehmens und möglicherweise der Business Prozesse. Wenn der Angreifer so in Erfahrung bringt, wer im Unternehmen für was verantwortlich ist, entstehen weitere Gefahren.

Wie kann man sich vor solchen Angriffen schützen und eine trotzdem gelungene Attacke und deren Ausbreitung eindämmen?

E-Mails, die in Office 365 eingehen, werden zunächst mit einer Reihe von verschiedenen Modulen auf Viren, Malware und Spam durch Exchange Online Protection geprüft. Danach können beispielsweise im Rahmen von Microsoft 365 Überprüfungen mit einer weiteren Stufe, der Office 365 Advanced Threat Protection (ATP), erfolgen. ATP arbeitet vereinfacht ausgedrückt mit einer Art Sandbox-Verfahren, bei dem gefährliche Anhänge zunächst in einer isolierten Umgebung „begutachtet“ werden. Während des Prozesses werden potentiell gefährliche Anhänge und Verknüpfungen in einem geschlossenen Container getestet. Wird ein schädliches Verhalten festgestellt, kann die Malware aus dem Container keinen Schaden anrichten und wird von ATP entsprechend blockiert. Zusätzlich kann ATP vor sogenannten „Lookalike Domains“ schützen, bei dem einem Nutzer vertrauenswürdige Absenderadressen durch bekannte und/oder vertraut aussehende Email-Adressen vorgegaukelt werden.

Schutz von Geräten

Sollte es ein Angreifer dennoch schaffen, den Rechner eines Mitarbeiters zu kapern, gibt es außer Windows Defender und der Windows Firewall noch andere Möglichkeiten, die Ausführung von schadhaftem Code einzugrenzen bzw. zu eliminieren. Windows 10 selbst bringt mit der Virtual Based Security auf Basis Microsofts Virtualisierungstechnologie Hyper-V einen erheblichen Sicherheitsgewinn durch die Isolation von besonders schützenswerten Bereichen zum eigentlichen System. Virtual Based Security stellt stark vereinfacht einen unsichtbaren Wachposten in Form einer geschützten virtuellen Maschine dar. Damit wird nicht nur die Integrität und Sicherheit dieser isolierten Prozesse gewährleistet, sondern es werden auch undokumentierte und nicht authentifiziert Zugriffe direkt auf die Speicherbereiche der Prozesse verhindert. Selbst wenn der Rechner von Malware befallen ist, können die geschützten Bereich nicht modifiziert werden. Mit dieser Grundlage schützt der „Device Guard“ die Ausführung von nicht vertrauenswürdigem Code und der „Credential Guard“ Zugangsdaten/Accountdaten für Netzwerkzugriffe. Beide Features zusammen eingesetzt erhöhen massiv die Sicherheit eines Windows-Systems und legen die Hürde für einen Hacker zusätzlich zwei Stufen höher.

Sollten die bisher eingesetzten Mechanismen zum Beispiel durch menschliches Versagen fehlschlagen, kann ein weiteres Element nützlich sein: Windows Defender Advanced Threat Protection (WATP). WATP ist ein Dienst, der es Unternehmen ermöglicht, Bedrohungen in ihrem Netzwerk zu erkennen, zu untersuchen und darauf zu reagieren. Windows Defender ATP erkennt, wenn sich Windows-Rechner verdächtig verhalten und kann Administratoren darüber informieren, wie der Schadcode entstand. Unabhängig davon, ob es sich um einen Download über das Internet oder einen USB-Stick eines Benutzers handelt. Der Administrator kann nachvollziehen, auf welchen Maschinen im Netzwerk bereits eine Ausbreitung entstanden ist und die Quelle der Ausbreitung identifizieren. Der Dienst basiert nicht auf Definitionsdateien, sondern überwacht die Windows-Geräte und zeigt verdächtiges Verhalten in einem Dashboard an. WATP erkennt also Angriffe, bei denen Firewall und Virenscanner nicht anschlagen. WATP arbeitet mit Mechanismen und Algorithmen auf Basis von Machine Learning und erkennt, ob sich Rechner im Netzwerk anders verhalten, als es sozusagen dem „Standard“ entspricht. WATP analysiert dazu nicht nur einzelne Rechner im Netzwerk, sondern greift auf einen weiteren Dienst zu, den Secure Graph. So erkennt die Software auch zusammenhängende Angriffe und kann entsprechende Gegenmaßnahmen einleiten. Wichtig ist an dieser Stelle zu betonen, dass WATP keine Ablösung für den Einsatz etwa von Virenscanner oder Firewall darstellt. Es handelt sich dabei um einen weiteren Baustein in der Sicherheitsarchitektur, um das Risiko und die Auswirkungen zu verkleinern.

Schutz von Daten

Die bisherigen beschriebenen Elemente lassen sich zusätzlich noch auf der Informations- bzw. Datenebene weiter ausbauen.

Mit Azure Information Protection (AIP) können Dokumente und Emails mit Metadaten erweitert, identifiziert und verschlüsselt werden. Berechtigungen auf Dokumente können für Personen in der eigenen Organisation oder für Externe freigeben oder auch bei Bedarf remote wieder zurückgerufen werden – unabhängig davon, ob das Dokument das Unternehmen bereits verlassen hat. Auch hier schließt sich der Kreis zu anderen Mechanismen: Denkbar wäre beispielsweise beim Öffnen von Dokumenten unter besonderen Bedingungen eines identifizierten Risikos, eine Multifaktor-Authentifizierung anzufordern. Zudem lässt sich mit den zentralen und umfassenden Möglichkeiten des Reportings und der Protokollierung dabei die Verbreitung und Nutzung von Daten zielgerichtet überwachen.

Um zu verhindern, dass Daten ungewollt (oder mutwillig unautorisiert) das Unternehmen verlassen, empfiehlt sich in diesem Zusammenhang auch die Nutzung von Data Loss Prevention (DLP). Mit DLP werden sensible oder kritische Informationen vor Veröffentlichung geschützt. Beispielsweise könnte durch Azure Information Protection eine Kategorie „Streng vertraulich“ für bestimmte Dokumente definiert werden. Wird nun versucht, solche Dokumente zu versenden, kann eine vorgegebene Schutzmaßnahme für eine solche Aktion konfiguriert werden. Es stehen außerdem weitere vorgefertigte Templates zum Schutz von Personalausweis-, Kreditkarte- und Sozialversicherungsnummern sowie andere sicherheitsrelevante Informationen zur Verfügung.

Natürlich kann es trotz aller gut umgesetzten technischen Maßnahmen zu Sicherheitsvorfällen kommen, es gibt keinen hundertprozentigen Schutz. Mit Microsoft 365 haben Unternehmen aber die Möglichkeit, auf vielen Ebenen umfassend Vorsorgemaßnahmen zu treffen und die Hürden für einen Angreifer entsprechend hoch zu setzen. Microsoft 365 stellt dabei gerade für kleine und mittelständige Unternehmen, insbesondere mit begrenzten Ressourcen für eigene interne IT-Sicherheit, eine professionelle und vergleichsweise kostengünstige Lösung dar. Ein paar Anwendungs-Beispiele wurden hier erläutert, die gesamte Palette des Funktionsumfangs von Microsoft 365 reicht noch wesentlich weiter.

Wichtig ist auch, Mitarbeiter mit entsprechender Sensibilisierung und Trainings im Bereich Sicherheit in das Sicherheitskonzept mit einzubeziehen. Unter anderem sollten kritische Prozesse im Unternehmen dahingehend analysiert werden, ob potentielle Schwachstellen vorhanden sind.

Sollten Sie Interesse am Einsatz von Microsoft 365 zur Umsetzung Ihres eigenen IT-Sicherheitskonzeptes im Unternehmen haben, stehen Ihnen die Experten der Telekom gerne für ein kostenloses Beratungsgespräch zu Verfügung. Darüber hinaus bietet ein Team an mehrfach zertifizierten Mitarbeiten eine Bestandsaufnahme/Analyse im Unternehmen an und begleitet Sie bei Bedarf auch bei der Implementierung und Migration Ihrer Bestandssysteme. Mehr Informationen dazu finden Sie hier.

Beiträge empfohlen von der Deutschen Telekom


https://www.heise.de/brandworlds/cloud-services/moderne-verteidigung-gegen-cyber-angriffe/https://www.heise.de/brandworlds/cloud-services/moderne-verteidigung-gegen-cyber-angriffe/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.