Computerpartner

  
Sie befinden sich hier: HOMENachrichtenServiceIm Gespräch
02.06.2017

Verteidigung gegen Ransomware ist möglich

Allen Cyber-Attacken zum Trotz: Es gibt keinen Grund, den Kopf in den Sand zu stecken; im Gespräch Paul Davis *)

M. Hein

Zur Vergrößerung anklicken

Paul Davis

WannaCry und verschiedenste andere Cyber-Hacking-Vorfälle geben dem Eindruck Nahrung, dass es kaum eine Möglichkeit gibt, Institutionen oder Individuen gegen ausgefeilte Attacken zu schützen. ComputerPartner hat Pauld Davis, VP Sales EMEA bei Menlo Security, nach möglichen Lösungsvorschlägen gefragt.

Paul, die jüngsten Ransomware-Attacken wie WannaCry haben wieder einmal die Verwundbarkeit ganzer Branchen einschließlich sensibler Bereiche wie dem Gesundheitswesen gezeigt. Es macht den Eindruck, als hätten die Sicherheitsindustrie, die IT-Abteilungen und die Strafverfolgungsbehörden gleichermaßen versagt.

Paul Davis: Das sieht tatsächlich so aus. Aber es wäre zu einfach zu konstatieren, dass es keinen Schutz gegen Hacker, internationale Cyber-Crime-Organisationen oder selbst Script-Kiddies gäbe. Es ist absolut unerlässlich, sich detailliert damit zu beschäftigen, was gerade passiert und was getan werden kann. Ich gebe zu: das Thema ist komplex, aber mit gemeinsamer Anstrengung gibt es selbstverständlich Wege, Organisationen und selbst Individuen gegen Angriffe zu schützen – vielleicht nicht total, aber doch weitgehend. Aber wir müssen das Thema ernst nehmen und Zeit und Geld investieren, um es hinzubekommen.

Lassen Sie uns das Problem von vorne aufrollen und mit den Hackern starten: Gibt es eine Möglichkeit, die bösen Buben darin zu hindern, ihren Aktivitäten nachzugehen?

Sehr unwahrscheinlich. Es gibt nicht ein Profil oder eine Herkunft, und es existieren verschiedenste Motivationen. Hacker mögen lediglich die Ambition haben zu beweisen, dass sie professionelle Sicherheitssysteme umgehen können, um anschließend die Aufmerksamkeit zu genießen. Andere probieren lediglich vorhandene Toolkits aus dem Internet aus, ohne eine Idee davon zu haben, was sie an finanziellem Schaden oder persönlichen Problemen verursachen. Die wirkliche Gefahr geht von der organisierten Cyber-Kriminalität aus, die sehr gezielte und ausgefeilte Angriffe fährt, gegenwärtig aus dem Grunde, Geld zu erpressen, aber zunehmend auch um politischen Einfluss zu gewinnen oder ganze Länder zu destabilisieren. Wir können vielleicht die naiven Jugendlichen fassen, aber es wäre fatal zu glauben, dass wir dem organisierten Cyber-Crime ein Ende setzten könnten, zumal wenn es auch noch durch nationale Geheimdienste gedeckt wird.

Also, wenn wir an die Bad-Guys nicht herankommen, dann geht es am Ende um Selbstverteidigung?

Ja, mehr oder weniger. Unternehmen tragen die Verantwortung für die Sicherung ihrer Mitarbeiter und Firmenwerte, und Individuen sind für sich selbst verantwortlich. Es ist wichtig, dass sie die Risiken kennen und proaktiv handeln. Behörden und andere Institutionen können Ratschläge erteilen, aber sie können nicht die Verantwortung übernehmen. Auch ist die wichtige Rolle der Medien nicht zu verkennen, die ihre Leser informieren kontinuierlich müssen.

Angesichts der Tatsache, dass offensichtlich Unternehmen wie Privatpersonen unter mangelnder Information oder dem notwendigen technischen Wissen leiden, was wäre ihrer Ansicht nach ein praktikabler Weg, zumindest den größten Bedrohungen zu entgehen?

Nochmals. Es gibt Wege, sich selbst und die Werte einer Organisation zu schützen. Es gibt keine Notwendigkeit, den Kopf in den Sand zu stecken. Es ist natürlich ein langweiliger Ratschlag, aber der erste Schritt ist immer sich der Bedrohung bewusst zu sein und entsprechend zu handeln, weil die meisten Schäden durch menschliches Fehlverhalten entstehen. Gegenwärtige Angriffe nutzen Phishing- oder die mehr zielgerichteten Spear-Phishing-Techniken, um Zugang zu persönlichen Zugangsdaten zu erlangen. Diese werden anschließend verwendet, um ganze Netzwerke zu infiltrieren. Selbstverständlich nutzen viele dieser Attacken auch die Schwachstellen der existierenden Software aus, oftmals als Zero-Day-Attacken, aber am Ende ist es der Mitarbeiter, der auf den bösartigen Link in der E-Mail klickt oder die falsche Website besucht. Deshalb bleibt die Aufklärung ein wesentlicher Teil der Verteidigungsstrategie. Mitarbeit müssen sich dessen bewusst sein, dass Websites Malware enthalten können und sie müssen darüber aufgeklärt werden, keine verdächtigen Anhänge herunterzuladen, selbst wenn sie ziemlich legal aussehen. Einige IT-Abteilungen senden gefälschte E-Mails an ihre eigenen Mitarbeiter, lediglich um das Verhalten zu testen und die daraus resultierenden Ergebnisse zur Aufklärung zu nutzen.

Das hört sich ein wenig danach an, als wäre der Mitarbeiter das wirkliche Problem. Warum ist es so schwer, den Anwender davon abzuhalten, in die Falle zu tappen?

Die Zeiten da Phishing-Mails auf den ersten Blick aufgrund ihrer schlechten Grafik oder grammatischer Fehler erkennbar waren, sind vorbei. Phishing hat eine ausgesprochen ausgereifte Form angenommen. Das gilt nicht nur für das Design, sondern auch für das Einstreuen persönlicher Daten, die Vertraulichkeit vorgaukeln. Weil die E-Mails tausendfach versandt werden, gibt es immer wieder jemanden, der darauf hereinfällt. Es ist die schiere Zahl der Phishing-E-Mails, die diesen Ansatz lukrativ macht. Spear-Phishing funktioniert anders. Angreifer investieren viel Zeit, um persönliche Daten im Internet zu recherchieren und sehr individuell aussehende E-Mails zu gestalten, die vorgeben, vom Chef oder dem Steuerberater zu stammen. Es sind Attacken zu beobachten, bei denen selbst Führungskräfte oder Sicherheitsspezialisten Schwierigkeiten haben zu unterscheiden, ob sie von der vorgegebenen oder einer bösartigen Quelle stammen. Die Anrede, die ganze Story und die Machart sind absolut realistisch; in manchen Fällen basieren sie sogar auf Informationen aus dem Social-Engineering.. Wir sollten darüber hinaus nicht den Schamfaktor vernachlässigen. Viele Menschen und selbst Unternehmen sind nicht gewillt zuzugeben, dass sie einem Betrug aufgesessen sind. Sie neigen eher dazu zu bezahlen als nach einer Lösung zu suchen.

Was können die IT-Abteilungen tun bzw. was bietet die Sicherheitsindustrie an, um dem Problem zu begegnen?

Natürlich gibt es Lösungen. Wenn klar geworden ist, dass der Download schädlichen Codes der häufigste Einfallspunkt ist, dann muss dieser Weg geschlossen werden. Der erste Ratschlag ist noch immer, die eingesetzte Software kontinuierlich zu aktualisieren. WCry hat wieder einmal gezeigt, dass Herstellerupdates wesentlich sind, weil sie für gewöhnlich viele Angriffsvektoren schließen. Auch wenn dies eine vorrangige Aufgabe ist, so kann sie vormals unbekannte Schwachstellen nicht beseitigen. Und natürlich können Mitarbeiter kaum dafür verantwortlich gemacht werden, leichtgläubig zu sein. Unglücklicherweise können gewöhnliche Anti-Virus-Programme dieserart von Attacken nicht stoppen, weil sie lediglich auf bekannte Signaturen reagieren. Ein alternativer und logischer Weg liegt also darin, den schädlichen Code vom Mitarbeiter oder Endanwender durch Isolation entfernt zu halten. Dieses Konzept geht davon aus, dass jeder Code potenziell gefährlich sein kann und fügt deshalb eine Isolationsschicht zwischen dem User und dem Internet ein, die sicherstellt, dass kein aktiver Code auf das Endgerät heruntergeladen oder ausgeführt werden kann. Das Web ist voll von aktivem Code, bei dem es unmöglich ist vorauszusagen, ob es sich um sichere oder riskante Software handelt. Als Ergebnis tauchen jeden Tag neue Infektionen auf.

Das bedeutet, dass konventionelle Sicherheitslösungen, wie sie heute in Unternehmen oder zu Hause eingesetzt werden, nicht in der Lage sind, die geforderte Sicherheit zu bieten?

Es ist notwendig zu verstehen, dass gängige Lösungen meist versuchen, zwischen gutem und schlechtem Code zu unterscheiden, um anschließend den guten passieren zu lassen und den schlechten zu blockieren. Das hat verschiedene Nachteile. Erstens kann die AV-Anwendung lediglich bekannte Schwachstellen oder Signaturen erkennen. Sie bietet keinen Schutz gegenüber Zero-Day-Attacken und benötigt kontinuierliche Updates. Zweitens stellt sich immer das Problem der ‚false postives' und ‚false negatives', was bedeutet, dass mancher legitime Code blockiert wird und auf der anderen Seite mancher schädliche Code unentdeckt bleibt. Und drittens können diese Lösungen nicht verhindern, dass Mitarbeiter sensible Daten veröffentlichen, wenn sie Seiten besuchen, die sie besser nicht besuchen sollten oder ihre Passwörter in Formulare eingeben, die bekannt aussehen. Eine effektive Lösung muss in der Lage sein, dies zu verhindern. Isolation ist dazu in der Lage, weil sie jedwede ausführbare Software und maliziöse Links vom Endgerät trennt.

Hört sich nach einer interessanten Alternative an. Wie funktioniert das in der Praxis?

Das Isolationsmodell vermeidet die Unterscheidung zwischen gut und böse, aber geht davon aus, dass jedweder Traffic potenziell riskant ist. Es implementiert eine neue Instanz in die Sicherheitsumgebung, die sicherstellt, dass jede Session entfernt vom Endgerät ausgeführt wird. Isolation sendet lediglich schadfreien Browser-Code an den Enpoint und eben nicht den originalen. Dies stellt den Schutz vor Malware sicher. Jeder aktive Code wie Java, Flash oder ähnliches verlässt nicht die Isolationsplattform. Die Plattform wird zwischen dem Endgerät wie Desktop-PC, Tablet oder Smartphones und dem Internet installiert. User-Anfragen werden über einen Proxy weitergeleitet. Die Plattform kann als Public-Cloud-Service oder als virtuelle Appliance für den Einsatz in Rechenzentren bereitgestellt werden. Sie arbeitet entweder als Stand-Alone-Lösung oder in Verbindung mit anderen Sicherheitssystemen, um unterschiedlichste Sicherheitsproblem zu lösen.

Die Erfahrung zeigt, dass Sicherheitslösungen, die einen besseren Schutz versprechen, oftmals eine komplexere Prozedur erfordern oder mit Komfort- oder Leistungseinbußen einhergehen. Gilt das auch für die Isolationsarchitektur?

Ein sehr wichtiger Punkt. Selbstverständlich würde eine derartige Lösung versagen, wenn sie die Quailty-of-Experience vermindert oder den Geschäftsprozess kompliziert. Weil es verschiedenen Isolationslösungen am Markt gibt, ist es wichtig, die richtige Wahl zu treffen. Es gilt, dass der Anwender nicht dazu gezwungen sein sollte, etwa einen neuen Browser zu installieren. Zudem sollte er keine Änderungen im Verhalten des Browsers bemerken. Tastaturfunktionen sowie Copy & Paste sollten wie gewöhnlich arbeiten. Die Lösung sollte zudem als Managed-Service verfügbar sein und Rich-Media wie Youtube ohne Leistungseinbußen unterstützen. Zudem sollte Whitelisting für Anwendungen verfügbar sein, die Video und Mikrofone benötigen, um Konferenzwerkzeuge wie Web-Ex etc zu unterstützen. Empfohlen ist eine Strategie zum Download von Office-Dokumenten wie PDFs in einer sicheren Art und Weise. Und schließlich sollten die virtuellen Container nach jeder Session gelöscht werden, so dass keine Malware auf der Isolationsplattform verbleibt.

Realistischerweise: Können Isolationsplattformen den Schutz vor kürzlichen und zukünftigen Angriffen garantieren?

Tatsächlich war beispielsweise die Isolationsplattform von Menlo Security in der Lage, vor WCry zu schützen, und unsere Erfahrung ist, dass Isolation in Verbindung mit Aufklärung und Ausbildung ein sicherer Weg ist, den wachsenden Bedrohungen zu begegnen.

Danke für das Gespräch.

*) Paul Davis ist VP Sales EMEA bei Menlo Security
 +