cnt

Flexibler Schutz vor modernen Internetattacken

Angriffe aus dem Internet werden immer ausgeklügelter. Entsprechend trickreich muss ein Unternehmen auf diese Bedrohungen reagieren.

Artikel erschienen in Swiss IT Magazine 2008/12

     

Attacken und deren Abwehr sind nicht nur Themen im Internet, sondern auch im Sport. Zum Beispiel im Kampfsport: Neben dem Willen zum Sieg, Talent und hartem Training ist es ausschlaggebend, so vielseitig und flexibel wie möglich zu sein, seinen Gegner zu studieren und seine Stärken und Schwächen zu kennen. Ein Sportler, der sich zu stark auf sich selber konzentriert, kann auf Dauer nicht bestehen. Er wird früher oder später auf einen Gegner treffen, der genau diese Schwäche auszunutzen weiss.


Um den Bogen vom Sport wieder zurück zum Thema zu spannen: Die Stärke der Flexibilität ist auch in der IT-Sicherheit von hoher, angesichts der modernen Art von Angriffen vielleicht sogar von entscheidender Bedeutung. Nötig ist dabei eine hohe Flexibilität, die einen auf die sich laufend ändernden Bedrohungen und Risiken optimierten, wirksamen Schutz zu realisieren erlaubt.



Neben den üblichen Schutzmassnahmen, zu denen etwa starke Authentisierung, Firewalls, Intrusion Detection, Virenschutz und so weiter zählen, wird flexiblen Komponenten oft zu wenig Aufmerksamkeit geschenkt. Diese erlauben proaktiven Schutz, auch gegen bisher unbekannte Angriffe oder Varianten von Angriffsarten. Die Abwehrfähigkeit wird schon präventiv hergestellt und nicht erst als Reaktion auf eine erfolgreiche Attacke.


Adaptiver Schutz mit vier Stufen

Eine mögliche erfolgreiche Methodik zum adaptiven Schutz besteht im wesentlichen aus vier Elementen:



1. Kenntnis der Angreifer, deren Stärken und Schwächen. Analyse der Bedrohung und des relevanten Risikos;



2. Kenntnis der eigenen Systeme (inklusive derjenigen der Kunden und Partner) und der zulässigen Aktivitäten auf den Applikationen und Daten. Analyse der eigenen Stärken und Schwächen;



3. Definition von Regeln zur Beurteilung des Missbrauchsrisikos von Abläufen und Aktivitäten auf den Systemen. Bestimmen von Schutzaktionen bei hohem Risiko und damit zur Abwehr von Angriffen;



4. Überwachung des produktiven Betriebs. Echtzeit-Beurteilung des Risikogrades und Auslösen von Aktionen bei hohen Risiken.



Der Erfolg basiert auf der Qualität der Regeln und der Wirksamkeit der Schutzaktionen. Diese sind individuell, und im Gegensatz zu wenig flexiblen Sicherheitssystemen ist daher für den Angreifer die Art und Effektivität des Schutzes nicht abschätzbar. Das erschwert dem Angreifer ein Ausnutzen etwelcher Schwächen sehr stark, da er diese in der Regel gar nicht kennen kann.


Die Beurteilung der Bedrohung und der Risiken für ein Unternehmen, dessen Kunden und Partner bestimmt den Aufwand, der in die einzelnen, voneinander abhängigen Schritte investiert wird. Ein Start mittels einigen einfachen Grundregeln und Aktionen kann nach geringem Aufwand erfolgen. Danach wird das Regelwerk je nach Bedarf sukzessive verfeinert und verbessert.



Adaptiver Schutz in vier Stufen


Kenntnis des Angreifers

Strategie, Taktik, Stärken und Schwächen des Gegners: Je mehr man darüber erfahren und je besser man sich darauf einstellen kann, desto besser. Moderne Internetattacken haben heute hauptsächlich folgende Ursprünge:



- Organisiertes Verbrechen: Ziel ist die eigene Bereicherung durch zum Beispiel Kreditkartenbetrug, Wiederverkauf gestohlener Informationen oder verfälschte Bank­transaktionen.




- Private Unternehmen: Ziel ist es, Vorteile gegenüber der Konkurrenz zu erlangen, beispielsweise durch Industriespionage oder Lahmlegung der Infrastruktur eines Konkurrenten.



- Staatliche Organisationen: Ziel ist es, andere Staaten zu schädigen, der eigenen Wirtschaft zu helfen oder Informationen für Geheimdienste zu erhalten, auch hier zum Beispiel mittels Industriespionage, Lahmlegung oder Datendiebstahl.



- Terrorismus: Ziel ist es, eine bestimme Gesellschaft zu verunsichern und zu schwächen, indem beispielsweise die Kommunika­tionsinfrastruktur lahmgelegt wird.



Das alte Hollywood-Bild des Hackers als eher asozialer Computer-Freak, der umgeben von Dutzenden Bildschirmen und einem Stapel gebrauchter Pizzakartons mal ausprobiert, ob er in den FBI-Computer eindringen kann, ist komplett überholt. Moderne Angreifer sind sehr gut organisiert und verfügen über beträchtliche Ressourcen. Sie gehen gezielt vor und teilen ihre Angriffe in mehrere Phasen auf. Den genannten Computer-Freak gibt es zwar immer noch, er arbeitet typischerweise aber für einen oder mehrere Provider von Software und Dienstleistungen, die durch Angreifer eingekauft werden.



Diesen steht ein wachsendes Arsenal von Methoden, Diensten und Werkzeugen zur Verfügung. Beliebt sind etwa nach wie vor Malware, Spyware, Trojaner und Keylogger, die gerne per Drive-by-Infection verteilt werden. Mit Social-Engineering-Methode, Phishing und Pharming werden vertrauliche Informationen gesammelt. Mit Bots lässt sich die Informationsgewinnung und Identifikation von Zielen auch automatisieren. Session-Hijacking wird zum Zugriff auf Systeme und Daten unter Verwendung einer validierten Session genutzt, während mit einem Man-in-the-Middle-Angriff die Kommunikation zweier Parteien kontrolliert und verfälscht werden kann.



Eine erfolgreiche Attacke kombiniert oft mehrere dieser Elemente und setzt sie in verschiedenen Phasen ein. Verwendete Software wird in immer neuen Versionen an vorhandene Schutzmassnahmen wie zum Beispiel Anti-Spyware-Programme und an die Spezialitäten des Angriffsziels (etwa das E-Banking-System einer bestimmten Bank) angepasst. Das Ziel wird genau studiert, um die Erfolgswahrscheinlichkeit der Attacke zu optimieren.



Bei Angriffen auf B2C-Applika­tionen wird typischerweise zunächst der PC des Kunden infiziert. Der eigentliche Missbrauch erfolgt dann, indem sich der Angreifer erfolgreich als legitimer Benutzer ausgibt und mit dessen Rechten missbräuchliche Transaktionen ausübt oder Informationen stiehlt.


Kenntnis der eigenen Systeme und Aktivitäten

Möglichst gute Kenntnisse der eigenen Stärken und Schwächen erlauben eine gezielte Betonung der Stärken und eine Maskierung der Schwächen.



Im Falle von E-Business-Applikationen geht es darum, die verwendeten legitimen Systeme und Verhaltensweisen zu kennen. Zum Schutz einer B2C-Applikation werden zum Beispiel folgende Profile und Informationen erstellt und gepflegt:




- Geräteprofil: verwendete Hardware und Software eines Benutzers

- Standortprofil: typische Standorte und Verbindungskanäle eines Benutzers

- Verhaltensprofil: typische Arbeitsabläufe, Transaktionen, Verweildauern und so weiter eines Benutzers

- Historische Daten: alle Aktivitäten werden historisiert, um die Profile ständig zu verbessern, miteinander zu vergleichen und die Nachvollziehbarkeit der Aktivitäten zu gewährleisten.


Definition von Grundsätzen, Regeln und Aktionen

Allgemeine Sicherheitsgrundsätze und spezifische Regeln werden formuliert, damit sie automatisch angewendet werden können. Sie beruhen stark auf den verfügbaren Informationen über Angreifer und eigene Systeme und Aktivitäten und erlauben, normale Aktivitäten von Attacken zu unterscheiden.



Zum Beispiel kann man im Fall einer B2C-Applikation nicht davon ausgehen, dass ein Benutzer nach Eingabe einer korrekten Benutzernamen/Passwort-Kombination auch wirklich der legitime Benutzer ist. Ein Angreifer kann mittels einer erfolgreichen Social-Engineering- oder Pharming-Aktion diese Informationen gestohlen haben.




Eine einfache Regel kann nun lauten, dass wenn ein Benutzer ein bisher von ihm nicht verwendetes Gerät benutzt, der Risikograd einer Attacke erhöht wird. Mittels weiteren Regeln (einfache Beispiele: Verwendung eines neuen Providers, eines neuen Browsers und so weiter) wird der Risikograd weiter angepasst. Versucht besagter Benutzer plötzlich untypische Aktionen auszulösen, wird das Risiko weiter erhöht, und bei Überschreitung definierter Schwellwerte werden automatisch Aktionen ausgelöst.



Aktionen können zum Beispiel Transaktionen stoppen oder eine zusätzliche, stärkere Authentisierung verlangen. So kann der Benutzer beispielsweise zur Angabe weiterer Informationen wie Antworten auf vordefinierte Fragen oder der Eingabe eines One-time-Passworts (das über einen anderen Kanal wie zum Beispiel SMS übermittelt wird) aufgefordert werden. Bei noch höheren Risikograden können Sessionen unterbrochen, Konten gesperrt und zusätzliche Regeln, die spezifisch auf das neue Angreiferprofil zuge­-schnitten sind, erstellt werden.


Überwachung des produktiven Betriebs

Neben der Analyse der historisierten Daten und der reaktiven Anpassung von Regeln und Aktionen ist natürlich die proaktive Verhinderung von Attacken ausschlaggebend.



Für jede Session wird aufgrund der Profile und Regeln ein laufend aktualisierter Risikograd geführt, der sich möglicherweise mit jeder Aktion des Benutzers verändert. Ist das Risiko schon beim Zugangsversuch zu hoch, wird der Angriff bereits dort gestoppt. Hat ein Angreifer sich erfolgreich als legitimer Benutzer ausgeben können, werden insbesondere vor Ausführung von Transaktionen oder vor Einsicht in sensitive Daten der aktualisierte Risikograd mit den Schwellwerten verglichen und allenfalls entsprechende Aktionen ausgelöst.




Wird zum Beispiel während einer Session eine zusätzliche Authentisierung verlangt und ist diese erfolgreich, kann der Risikograd herabgesetzt und die vom Benutzer verlangte Transaktion oder Einsicht möglicherweise freigegeben werden. Schlägt die zusätzliche Identifikation fehl, können stärkere Aktionen, im Extremfall die Sperrung des Kontos, die Sperrung des Benutzers und die Benachrichtigung des echten Benutzers über einen anderen Kanal ausgeführt werden.



Überwachung des Betriebs am Beispiel des Adaptive Access Manager


Performante Werkzeuge als Voraussetzung

Die beschriebene Methodik ist ohne eine entsprechende Unterstützung durch geeignete Werkzeuge nicht umsetzbar. Die Überwachung des Betriebs muss sehr performant erfolgen, Aktionen müssen mit anderen Systemen, wie etwa einem CRM-System für Rückrufe, integriert werden. Die Analyse der Daten und die Definition und Pflege der Regeln muss möglichst einfach verständlich und benutzerfreundlich sein. Über Analysefunktionen und informative Reports sollen die Methodik und deren Umsetzung jederzeit verbesser-, überprüf- und belegbar sein.



Die Einführung eines entsprechenden Werkzeugs erfolgt am besten stufenweise. Ein guter Einstieg kann durch die Einführung einer virtuellen, starken Authentisierung erfolgen. Diese ist Server-basiert und kommt ohne die aufwendige und teure Verteilung von Software oder Hardware an die Benutzer aus.




Pharming-Attacken können zum Beispiel durch die Verwendung individueller Eingabemasken verhindert werden. Der Benutzer erkennt anhand eines von ihm gewählten Hintergrundbildes sofort, ob er mit dem gewünschten Server verbunden ist oder nicht. Die Eingabe von Benutzernamen, Passwörtern und Antworten auf vordefinierte Fragen kann über eine virtuelle Tastatur erfolgen, was den Diebstahl von Log-in-Informationen durch Keylogger verunmöglicht.



Zusammen mit der Verwendung von grundlegenden Profildaten des Benutzers kann eine effektive und doch kosteneffiziente Multi-Faktor-Authentisierung verwirklicht werden. Die folgenden Faktoren werden verwendet:
1. Wissen: Passwort, Antworten auf Probefragen

2. Haben: Geräteprofil

3. Sein: Standortprofil, Verhaltens­profil



Geräte- und Standortprofil können sehr rasch gebildet und verwendet werden. Das Verhaltens­profil wird über die Zeit verfeinert, und alle Profile werden dann für die laufende Risikobeurteilung herangezogen. Falls für bestimmte Applikationen und Benutzer bereits starke Authentisierung über Tokens, Smartcards oder andere Methoden vorhanden sind, können diese natürlich integriert und weiterverwendet werden.


Fazit

Durch die Anwendung der beschriebenen Methode kann ein flexibler und wirksamer Schutz gegen moderne Internetattacken realisiert und aufrechterhalten werden. Der Einstieg erfolgt über schnelle Erfolgserlebnisse, wie zum Beispiel eine virtuelle, starke Authentisierung, und wird dann schrittweise weiterentwickelt, bis zum optimierten adaptiven Schutz.
Ähnlich wie im anfangs erwähnten Kampfsport führen auch in der Internet-Security Flexibilität, die Fähigkeit, sich wechselnden Verhältnissen anzupassen, und der Wille, sich ständig zu verbessern, letztlich zum Erfolg.


Der Autor

Andreas Pfenninger ist Senior Manager GRC and IAM Solutions bei Oracle Schweiz.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER