Netzwerksicherheit

Moderne Ransomware erfordert neue Security-Ansätze

| Autor / Redakteur: Mathias Widler / Peter Schmitz

Die Bedrohungslandschaft ist im Wandel, die Unternehmenssicherheit muss nachziehen, um den neuen Angriffsformen neue Sicherheitsansätze entgegenzustellen.
Die Bedrohungslandschaft ist im Wandel, die Unternehmenssicherheit muss nachziehen, um den neuen Angriffsformen neue Sicherheitsansätze entgegenzustellen. (Bild: Pixabay / CC0)

Die Ransomware-Angriffe der letzten Monate sollten Unternehmen vor Augen geführt haben, dass ihre Sicherheitsinfrastruktur modernen Angriffen nicht mehr standhält. Ungepatchte Systeme dienten als Angriffsvektor für globale Infektionswellen durch Erpressungstrojaner und auch bestehende Sicherheits-Tools können nur dann greifen, wenn sie auf dem aktuellen Stand sind. Nach der Schadensbeseitigung durch die jüngsten Angriffe müssen Unternehmen überdenken, wie sie ihre behäbige Netzwerksicherheit erhöhen können.

Im Mittelpunkt steht die Frage, ob ein starker Perimeterschutz um das Rechenzentrum heute noch für angemessene Netzwerksicherheit sorgt. Jeder Sicherheitsexperte sollte in einem ersten Schritt definieren, wo sich sein Unternehmensperimeter aktuell befindet. In einer Cloud-basierten Welt mit mobilen Mitarbeitern und dem Internet der Dinge stellt jedes Gerät seinen eigenen Internet-Perimeter dar. Damit wird die traditionelle Netzwerkinfrastruktur aufgeweicht. Heute muss für jede Niederlassung und für jeden einzelnen Mitarbeiter unabhängig von seinem Arbeitsplatz innerhalb oder außerhalb des Unternehmens sichergestellt werden, dass Sicherheits-Policies konsistent, auf dem aktuellsten Stand und in Echtzeit umgesetzt werden, wenn auf Anwendungen im Netzwerk oder in der Cloud zugegriffen wird. Das Unternehmensnetz wird durch die Wolke dabei zunehmend irrelevant.

Bei der Überarbeitung seiner Sicherheitsinfrastruktur kann sich ein Unternehmen an folgenden Anforderungen orientieren: Das Security-Konzept muss in der Lage sein, sich an die schnell wandelnde Bedrohungslandschaft anzupassen, denn die Angriffsvektoren und Abläufe der Angriffe verändern sich stetig. Auch wenn es nie eine hundertprozentige Sicherheit geben wird, sollte ein Unternehmen bestrebt sein, der heutigen Malware ein maximal mögliches Sicherheitsniveau entgegenzustellen. In der heutigen Bedrohungslandschaft sind Automatismen gefordert, die Organisationen dabei unterstützen,

  • ihre Mitarbeiter, Infrastrukturen und Daten durch moderne Sicherheitstechnologien zu schützen und damit die Anzahl erfolgreicher Attacken zu minimieren,
  • Angriffe und damit einhergehende, erfolgreiche Malware-Infektionen schnell mittels Echtzeitanalyse zu erkennen
  • und ebenso schnell durch Echtzeit-Policy-Enforcement eine weitere Ausbreitung zu verhindern.

Mikrosegmentierung für höhere Sicherheit

Ein Ansatzpunkt für eine Erhöhung des Sicherheitspostulats im Netzwerk ist die Mikrosegmentierung. Wie WannaCry zeigte, kann Malware in einem Servernetz rasch von einem Rechner zum nächsten überspringen und sich so schnell ausbreiten, wenn keine Abschottung in Form von Segmenten erfolgt. Ein infizierter Rechner sorgt über File Sharing Protokolle somit auch für den Austausch von Schadcode. Zu bedenken ist, dass die Segmentierung eines Netzwerks, um beispielsweise eine solch unkontrollierte Kommunikation zu unterbinden, mit erheblichem Aufwand verbunden ist. Denn in einem Layer 2 Netzwerk gilt es, die Segmente der Server untereinander mit Hilfe von Firewalls zu trennen. Die Komplexität entsteht durch die Definition der Zugriffsrechte von PCs auf die entsprechenden Server auf jeder Firewall und dem damit einhergehenden Management-Aufwand. Ein hoher Sicherheitsstandard wird im Fall der klassischen Mikrosegmentierung also durch einen ebenso hohen Wartungsaufwand erkauft.

Ein modernerer Ansatz sorgt für die Reduktion der Komplexität der Segmentierung. Dieser Ansatz geht mit einer völlig neuen Überlegung einher, den einzelnen Anwender vom Netzwerk zu entkoppeln. Der Grundgedanke eines Netzwerks geht davon aus, dass die Clients zur Verbindung mit dem Server in der Lage sein sollen bzw. der Anwender mit seinen Applikationen. Unbegrenzter Zugriff und die Kommunikation im gesamten Netzwerk fördert allerdings die aktuellen Ransomware-Angriffe.

Ein potentieller Lösungsansatz aus diesem Dilemma lautet, die Authentifizierung und Zugriffskontrolle dem Zugang zum gewünschten Asset voranzustellen. Die Bewegung des Anwenders innerhalb eines Netzwerks kann nur bei erfolgreicher Authentifizierung erfolgen. In einem solchen Szenario erfolgt die Initiierung des Datenaustausches von einem Client zum Server und nicht anders herum wie im traditionellen Modell. Ein solcher Mechanismus der Authentifizierung vor der Erkennung eines Assets kann also dafür sorgen, dass der ungehinderte Austausch von Malware im Netzwerk unterbunden wird. Bei dieser Art der Segmentierung ist es egal, wo die Server oder Anwendungen im Netzwerk oder der Cloud vorgehalten werden. An einem zentralen Punkt müssen lediglich die gesamten Policies der Zugriffs- und Kommunikationsrechte für den Anwender definiert sein. Die Komplexität der Firewall-Administration entfällt für das IT-Team und damit der Aufwand auf Netzwerkebene. Bei diesem Ansatz spielt es darüber hinaus keine Rolle mehr, ob sich der Anwender in oder außerhalb des Netzwerks bewegt.

Konkret bedeutet ein solches Szenario, dass das Unternehmensnetz für den Anwender die Bedeutung verliert. Der Road Warrior muss sich nicht mehr aufwändig via VPN mit dem Netzwerk verbinden. Der User hat jederzeit und von jedem Standort aus Zugriff auf die internen Applikationen oder Anwendungen in der Cloud, die ihm per Policy erlaubt werden – ohne dass er selbst bemerkt, wo seine Daten und Anwendungen vorgehalten werden.

Echtzeitinformationen erhöhen die Reaktionsfähigkeit

Auch wenn in Unternehmen das Bewusstsein vorhanden ist, dass alle Systeme wie Server, Browser, Browser Plug-Ins, Betriebssysteme, etc. auf dem aktuellsten Stand sein sollten, hinkt das Patch-Management in der Realität oftmals hinterher. Ein traditioneller Sicherheitsansatz mit Best-of-Breed Technologien unterschiedlicher Hersteller ist aufwändig in der Verwaltung. Proxy, Firewall, Sandbox, Antivirus, DLP oder SIEM-Systeme verschiedenster Anbieter müssen mit allen Packs in allen Racks up-to-date gehalten werden, um Systeme umfassend zu schützen und alle Anwender an allen Standorten abzudecken.

Um Angriffe und damit einhergehende Infektionen zeitnah zu erkennen, hilft ein hoher Integrationsgrad des Sicherheitskonzepts. Eine Plattform mit Modulen für Web Security, Next Generation Firewall, Sandboxing, DLP, usw. ermöglicht den schnellen Live-Abgleich der Log-Information. Eine Sandbox steuert beispielsweise über die Verhaltensanalyse entscheidende Informationen über die Sicherheitslage bei. Wird der Datenverkehr dabei inline gescannt, kann im Bedarfsfall die Malware blockiert und der Schadcode von seiner Ausführung abgehalten werden. Im Unterschied zum Ansatz mit verschiedenen Hardware-Herstellern kommunizieren die Module einer integrierten Lösung miteinander, wodurch ein besseres Risk-Scoring erfolgt; Big Data Analytics zur Erkennung von Schadcode findet innerhalb der Plattform statt und ersetzt den externen, zeitintensiven Aufwand der Datenanalyse in einem SIEM-System. Als Ergebnis der intelligenten Verarbeitung der Log-Informationen in einem Plattformansatz zeigt ein Risk-Score den Gefährdungsgrad automatisch in Echtzeit an.

Liegt die Information über einen Angriff vor, kann die weitere Ausbreitung blockiert werden. Real-Time-Informationen zu Angriffen ermöglichen also die schnelle Reaktion im Fall einer Malware-Infektion. Am Beispiel von WannaCry und (Not)Petya kann dieser Zeitvorteil verdeutlicht werden: Hier war das Blocken von Port 135, 139 und 445 auf den Firewalls zum Verhindern der weiteren Ausbreitung erforderlich. Die manuelle Aktualisierung von Firewall-Regeln über viele Niederlassungen hinweg in Echtzeit stellt viele Unternehmen vor ein Problem. Zudem fehlt die Echtzeit-Analyse der Logs, die diesem Schritt oft vorangeht. In einem Cloud-basierten Security-Modell sind Echtzeit-Policy-Updates und deren Umsetzung über eine Management-Konsole machbar, sodass alle Anwender und Lokationen von der Aktualisierung innerhalb kürzester Zeit profitieren.

Gut gerüstet gegen Ransomware und für die DSGVO

Die Echtzeit-Reporting-Funktionalität eines solchen Plattformansatzes stellt darüber hinaus auch die Grundlage für die anstehenden gesetzlichen Neuerungen dar, die mit der DSGVO einhergehen. Denn um der festgelegten Meldungspflicht von Datenschutzverstößen innerhalb von 72 Stunden nachkommen zu können, sollten Unternehmen ihre Datenflüsse besser verstehen und sich einen Überblick über die aktuelle Bedrohungslage verschaffen. Dazu sind strukturierte Notfallpläne im Falle eines Verstoßes erforderlich, der zuerst einmal erkannt werden muss.

Die Bedrohungslandschaft ist im Wandel - die Unternehmenssicherheit muss nachziehen, um den neuen Angriffsformen neue Sicherheitsansätze entgegenzustellen. Gerade im Cloud-Zeitalter wird Realtime Alerting und Policy Enforcement (über)lebensnotwendig für Unternehmen.

Über den Autor: Mathias Widler ist Regional Director Central & Eastern Europe bei Zscaler

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44951740 / Zugriffsschutz)