Sonntag, 25. Februar 2018
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

„Infinity Total Protection“ erleichtert den Sicherheitsexperten in den Unternehmen die Arbeit

Check Point stellt das aktuelle Security-Konzept „Infinity Total Protection“ auf dem CPX360-Event in Barcelona vor. Dabei zielt die Sicherheitslösung auf die Angriffe und Sicherheitslücken der „Fünften Generation“, hierbei soll es laut Checkpoint möglich sein, Angriffe (in annähernd) Echtzeit zu erkennen, um augenblicklich entsprechende Gegenmaßnahmen einzuleiten.

Die Systembetreuer und Sicherheits-Operatoren behalten dank der zentralen Management-Konsole den Überblick – und zwar über Gerätegrenzen hinweg.

Um die aktuellen Angriffsvektoren zu erkennen, ist es zunächst wichtig die Angriffe aus der Vergangenheit zu identifizieren und klassifizieren, sowie die jeweiligen Gegenmaßnahmen genauer zu beleuchten:

Generation 1 - Erste „Computer-Viren“: Die ersten Schadsoftwarekomponenten verbreiteten sich auf externen Medien (Disketten), die von Benutzer zu Benutzer weitergereicht wurden. Oftmals befanden sich auf diesen „Floppys“ raubkopierte Software, Spiele oder selbsterstelle Skripte (etwa Batch-Dateien). Nachdem diese Schadsoftware-Generation eine größere Verbreitung erreichte, wurde mit den entsprechenden Antiviren-Scannern die (zunächst) passende Antwort gefunden: Wird ein (bereits bekannter) Virus auf dem System entdeckt, reagiert die Antiviren-Software – und löscht beispielsweise die infizierten Dateien (oder versucht diese zu bereinigen).

Generation 2 – Schadsoftware im Netzwerk: Mit der Verbreitung des Internets und der lokalen Netzwerke (LAN) standen den Angreifern weitere Methoden zur Verfügung, um „ihre“ Malware auf den Systemen der Opfer einzuschleusen. Plötzlich konnte eine deutlich größere Anzahl an IT-Systemen angegriffen werden, als mit der bisherigen Methode (Angriffe von PC zu PC mit Hilfe von infizierten Disketten). Als Gegenmaßname wurden entsprechende Firewall-Systeme (Als Hard- und Software) entwickelt, diese sollten Angriffe aus dem internen oder externen Netzwerk erkennen, beziehungsweise die entsprechenden Einfallstore (etwa „offene Ports“ schließen respektive vor unberechtigten Zugriffen abschotten.

Generation 3 – Schwachstellen in Applikationen ausnutzen: Nachdem die meisten Firmen Antivirensysteme und entsprechende Firewalls als IT-Security-Konzept durchgesetzt hatten, attackierten die Hersteller von Schadsoftware bestimmte Anwendungen oder die Betriebssysteme über vorhandenen Sicherheitslücken. Typische Beispiele dabei sind etwa Browser, Office-Programme oder (ungepatchte und veraltete Betriebssysteme). Als Gegenmaßnahme setzten die Verantwortlichen hierbei auf eine Kombination aus den bereits bekannten Systemen (Antiviren-Schutz und Firewall) in Kombination mit Patch-Management und entsprechenden Überwachungsfunktionen.

Generation 4 – Trojanische Pferde: Erpressungstrojaner, Würmer, Viren und weitere Schadsoftware wird als vermeintlich harmloser Dateianhang getarnt, und von arglosen Mitarbeitern der Unternehmen aus den jeweiligen Clients geöffnet (und damit im Hintergrund ausgeführt). „Normale“ Security-Konzepte scheitern oftmals daran, dass diese Angriffe auf „Zero-Day-Sicherheitslücken“ abzielen. Sprich die Sicherheitslücken (etwa wie bestimmte Word-Makros es ermöglichen, weiteren Schadcode aus dem Internet „nachzuladen“) sind momentan den Security-Experten noch nicht bekannt – wohl aber den Hackern.

Oder die Lücken wurden – etwa per Patch oder Hotfix – noch nicht in allen Systemen geschlossen. Oftmals werden diese Gen-4-attacken auch auf das jeweilige Unternehmen „feinabgestimmt“. Hierbei ist oftmals die Personalabteilung im Visier der Angreifer, die etwa mit fingierten Bewerbungen im PDF-Format auf „echte“ Stellenausschreibungen in den jeweiligen Unternehmen antworten. Öffnen die Mitarbeiter der Personalabteilungen nun das „Bewerbungs-PDF“, wird im Hintergrund beispielsweise die Festplatte verschlüsselt, und im Anschluss daran ein „Erpresserbrief“ angezeigt. Die Firmen sollen nun einen bestimmten Betrag (oftmals in Crypto-Währung oder bestimmte anonyme Cash-Dienste) bezahlen, damit die Daten wieder „freigegeben“ werden.

Als Schutz bietet sich hier im Prinzip nur eine „Sandboxing-Sicherheitslösung“ an. Dabei werden für jeden Benutzer, oder jede Anwendung, Softaware-Instanz oder sogar jedes Browser-Tab ein spezieller Speicherbereich erstellt. Öffnet nun beispielsweise ein Mitarbeiter ein verseuchtes Dokument, kann die Schadsoftware (hoffentlich) nicht aus dem abgeschotteten Bereich „ausbrechen“. Oftmas werden hier auch spezielle Berechtigungskonzepte verfolgt, so bekommen die jeweiligen Anwendungen beispielsweise gerade so viel Rechte zugewiesen, damit dieses funktionieren. Die Benutzer selbst erhalten dabei ebenfalls möglichst geringe Berechtigungen, damit eine versehentlich ausgeführte Malware nicht gestartet werden kann. In der Regel wird dies mit einem Appliaktion-Whitelisting verknüpft – sprich nur im Vorfeld genehmigte Software kann auf den Systemen ausgeführt werden.

Generation 5 - Mega-Angriffe: Bei den Angriffen der fünften Generation werden die bisherigen Angriffskonzepte kombiniert, und der Zielbereich auf das globale Internet und unterschiedliche Firmen und Industriezweige erweitert. Zudem werden die Schadsoftwarekomponenten derart modifiziert, dass diese über den bisherigen Weg (Identifizierung von entsprechenden Signaturen) nicht mehr so leicht aufgespürt werden können. Die jeweilige Schadsoftware „mutiert“ dabei von Version zu Version, auf diese Weise erschweren Sie den Antiviren-Scannern die Arbeit. Zudem nutzen die Angreifer bei „Mega-Angriffen“ unterschiedliche Einfallstore (externe Datenträger, Internet-Verbindungen, infizierte Dateianhänge) und nutzen verschiedenen Sicherheitslücken in Applikationen und Betriebssystemen – vergleiche etwa „WannaCry“ oder „NotPetja“.

Zudem rücken auch immer wieder DDoS-Angriffe in den Fokus der Angreifer. Genügend Bandbreite vorausgesetzt, können die Hacker bestimmte Dienste (etwa Cloud-Ressourcen, Webseiten oder Datenbanken) blockieren, indem Millionen oder Milliarden von Anfragen die Netzwerkinfrastruktur und die Server des Ziels überlasten. Nach einer derartigen Machtdemonstration treten die Angreifer dann meist an ihre Opfer heran (mittlere bis größere Firmen bis hin zu den „global players“) und fordern Schutzgeld ein. Auch verbreitet ist es, derartige Angriffe im Darknet an die Mitbewerber und Konkurrenten anzubieten – nach dem Motto: Wenn die Webseite des Anbieters XY für einen Tag nicht erreichbar ist, kaufen die Kunden eben beim Anbieter Z ein.

Als Gegenmaßnahmen stehen den IT-Verantwortlichen unterschiedliche Lösungen bereit. Allerdings bereitet dabei das Management der einzelnen Sicherheitsstrukturen den System Betreuern immer öfter „Kopfzerbrechen“. Denn die unterschiedlichen Sicherheits-Perimeter (Virenschutz, Firewall, Anomalie-Analysesoftware, Sandboxing und Berechtigungs-Applikationen, oder Offline-Backups) lassen sich (meistens) nicht aus einer zentralen Stelle aus verwalten. Zudem müssen die Security-Experten auch noch die DDoS-Schutzsysteme nicht aus dem Auge lassen, um etwa bei Angriffen schnell zu reagieren, und den Traffic entsprechend zu blockieren oder umzuleiten. Auch wichtig bei der Prävention ist es, alle Netzwerkgeräte in den Unternehmen auf Anomalien hin zu überwachen, Sendet der Printserver, die Überwachungskamera oder die Kaffeemaschine plötzlich größere Mengen an Daten in das Internet, deutet dies beispielsweise auf eine Infektion mit einer entsprechend angepassten Schadsoftware (etwa modifizierte Firmware) hin, und sollte genauer untersucht werden.

Ansonsten werden Millionen von IoT-Kleingeräten im schlimmsten Fall zu einem Bot-Netzwerk zusammengeschaltet, und die Angreifer nutzen auf diese Weise die gestohlene Bandbreite sowie die Vielzahl der nun verfügbaren IP-Adressen, um die bereits erwähnten DDoS-Attacken zu „fahren“.

Zentrale Sicherheitsfunktionen gegen Angriffe der Kategorie 5

Checkpoint antwortet auf die aktuellen Angriffsszenarien mit der Sicherheitslösung „Infinity Total Protection“. Dabei werden unterschiedliche Abwehrmaßnahmen kombiniert, um Angriffe zu erkennen, und (beinahe) in Echtzeit die entsprechenden Gegenmaßnahmen zu treffen. Dabei stehen den menschlichen Security-Experten auch spezielle Software-Komponenten zur Seite. Diese sollen sich anbahnende gefahren erkennen, und entweder den Systembetreuer informieren, oder selbstständig die im Vorfeld definierten Aktionen in die Wege leiten - Check Point spricht dabei von „shared intelligence“.

Zudem werden sämtliche Sicherheitsfeatures von einer zentralen Stelle aus verwaltet. Dabei erstreckt sich „Infinity Total Protection“ dabei von den „klassischen“ Desktop- und Notebook-Systemen über die Checkpoint-Netzwerkkomponenten (Firewalls, Gateways) bis hin zu den Cloud-Ressourcen und den Mobilgeräten der Mitarbeiter. Dabei lässt sich die Checkpoint-Lösung (beinahe) beliebig skalieren. Zudem wird die Lizensierung vereinfacht, und auf einzelne User heruntergerochen, für die jeweils Ein-Jahres-Lizenzen bereitgestellt werden. Die Kernkomponenten der Security-Lösung:

Real-time Threat Prevention: Schutz gegen (noch) unentdeckte Sicherheitslücken (Zero Day Malware) und Ransomware. Das wird durch den Einsatz aktueller Sandboxing-Lösungen erreicht. Zudem sollen unbekannte Angriffsszenarien oder Bot-Netzwerke dank einer selbstständig lernenden Software (Cloud-basiert) leichter erkannt, und Angriffsvektoren schneller ausgemacht werden.

Advanced Network Security: Hochentwickelte Firewall-Systeme verhindern das Eindringen von Hackern und Schadcode, dabei werden auch die einzelnen Applikatioenn auf den Unternehmens-Systemen überwacht. Zudem unterstützt die Checkpoint-Lösung alle Netzwerkgrößen, und kontrolliert den Netzwerkzugriff auf On-Premise-Systeme, Hybrid-Cloud und reine Cloud-Lösungen, die sich im Unternehmenseinsatz befinden.

Cloud Security: Zudem legt Checkpoint „noch eine Schippe“ drauf, und ermöglicht es den Unternehmen „ihre“ Cloud-Native-Applikationen oder Microservices, Software defindes networks jederzeit unter Kontrolle zu behalten

Mobile Security: Auf die Mobilgeräte werden nicht außer Acht gelassen. Smartphnes oder Tablets mit Android oder iOS werden entsprechend abgesichert. So ermöglichen entsprechende Container ein zuverlässiges Dokumentenmanagement auf den Mobilgeräten, und wenn nötig lassen sich die daten auf den Geräten mit einem Knopfdruck unbrauchbar machen (etwa wichtig bei Verlust oder Diebstahl eines Smartphones), da sich die wichtigen Dokumente standardmäßig verschlüsseln lassen.

Data Protection:  Auch (unbekannte) Ransomware soll dank der integrierten Erkennung- und Vorhersage-Algorithmen davon abhelaten werden, sich auf den Systemen auszubreiten. Zudem sorgen entsprechende Sandboxing-Funktionen dafür, dass sich die Verschlüsselungstrojaner nicht ausbreiten können, beziehungsweise nur Zugriff auf „unwichtige“ daten (innerhalb der jeweiligen Sandbox) erhalten.

Integrated Security & Threat Management:  Das Management der Checkpoint-Lösung kann von einer zentralen Oberfläche aus vorgenommen werden. Dabei werden unterschiedliche Geräteklassen unterstützt, und das System ist darauf ausgerichtet den Administratoren (innerhalb unterschiedlicher Zweigstellen, Domänen und (Sub-) Netzwerken den Zugang zu sämtlichen relevanten Daten (beispielsweise Analysen, Logfiles, Hacking-versuchen oder Netzwerkzugriffen) zu ermöglichen. Weitere Informationen sind auf der Herstellerseite zu finden.

Florian Huttenloher

Diesen Artikel bewerten
  
 4.37 (11 Bewertungen)
Kommentare
Anmelden
Anmelden