Mit Kryptografie-freien Zonen Advanced Persistent Threats (APT) abwehren

Auch wenn es ungewöhnlich klingt: Bei der Abwehr von Advanced Persistent Threats kann es manchmal helfen, auf Verschlüsselung zu verzichten.

Sieht man sich die neuesten Datensicherheitsverletzungen an, ist es erstaunlich, wie lange Unternehmen manchmal brauchen, um Wind von einer möglichen Kompromittierung ihrer Netzwerke zu bekommen.

Ein kurzer Blick auf den Verizon Data Breach Report oder die Mandiant M Trends genügt, um zu sehen, dass ein Unternehmen mehr als 14 Monate kompromittiert sein kann, bevor es den Einbruch überhaupt erst bemerkt. Somit lässt sich schlussfolgern, dass diverse Unternehmen unzureichende Intrusion Detection Systeme im Einsatz haben oder die entsprechenden Technologien und Prozesse nicht angemessen funktionieren.

Heutzutage müssen wir uns damit abfinden, dass solche Einbrüche passieren. Das ist kein Zeichen von Schwäche, sondern in einer Zeit fortgeschrittener Angriffstechniken (Advanced Persistent Threat) einfach Realität. Klar ist aber auch, dass Firmen auf bessere Erkennungsmethoden setzen müssen. 

Die Erkennung eines Einbruchs innerhalb von einigen Stunden oder sogar Tagen ist in den meisten Fällen wohl noch akzeptabel. Sollte so ein Umstand allerdings länger dauern, im Speziellen mehr als 12 Monate, ist das eine grenzwertige Fahrlässigkeit.

Statt Frust zu schieben sollte man sich aber lieber die grundlegende Frage nach dem Warum stellen. Warum entdecken Unternehmen die Kompromittierung ihrer Systeme nicht? Ein Grund dafür ist sicherlich in den immer besseren Verschleierungsmethoden zu suchen, die Angreifer verwenden und sich dabei einer der besten strategischen Verteidigungsmechanismen bedienen: der Kryptografie oder Verschlüsselung.

Verschlüsselte C&C-Kanäle (Command & Control) verstehen

Kryptografie soll Gegenspieler daran hindern, die Informationen eines Unternehmens lesen zu können. Das stimmt natürlich zum Teil auch. Kryptografie hindert allerdings jeden, auf die Informationen eines anderen zuzugreifen. Somit können Firmen natürlich auch nicht auf die Informationen der Gegenspieler zugreifen.

Sobald ein System kompromittiert wird, setzt der Angreifer auf einen verschlüsselten C&C-Kanal (Command and Control) nach außen. Somit umgeht er fast alle Verteidigungsmechanismen des Unternehmens. 

Der Grund dafür liegt auf der Hand: Die meisten der von Unternehmen eingesetzten Sicherheitsmaßnahmen können von sich aus keinen verschlüsselten Traffic lesen. Genau deswegen kann sich ein Angreifer mit verschlüsseltem C&C-Traffic auch unentdeckt im Netzwerk bewegen.

Lange waren Proxy-Server eine effiziente Methode, um C&C-Traffic zu entschlüsseln und unter die Lupe zu nehmen. Allerdings haben die Angreifer Mittel und Wege gefunden, diesen Schutzmechanismus zu umgehen. Ausgehende Netzwerk-Proxy-Server sind zwar weiterhin zu empfehlen, weil sie Traffic effizient filtern und einige Angriffe stoppen können. 

Immer mehr Unternehmen öffnen allerdings zu viele Wege nach außen, wodurch sich nur noch schlecht der gesamte Traffic über den Proxy leiten lässt. Abgesehen davon wird dies fortschrittliche und persistente Angriffe nicht aufhalten, die meist einen Weg durch die Proxy-Server finden. Aus diesem Grund ist eine andere Lösung notwendig: Kryptografie-freie Zonen.

Was ist mit Kryptografie-freien Zonen gemeint

Bevor wir das Konzept der Kryptografie-freien Zonen vorstellen, ist es wichtig zu verstehen, dass dieses Konzept nicht in allen Situationen funktionieren mag und sicherlich nicht für alle Netzwerksegmente die richtige Lösung ist. Einen Versuch ist es aber sicherlich wert.

Das System Kryptografie-freier Zonen, das ich bei diversen Kunden in Betrieb genommen habe, setzt voraus, dass das letzte Stück der Kommunikation unverschlüsselt sein muss. Die Idee dahinter sieht vor, ein besonderes geswitchtes LAN zu erstellen, das nicht nur Kryptografie-Erkennung beinhaltet, sondern verschlüsselte Kommunikation komplett verbietet. 

Das dürfte nur minimale oder gar keine Auswirkungen auf derzeitige Netzwerkdesigns haben. Tatsächlich muss eine Firma hier lediglich zusätzlich Data Loss Prevention (DLP) oder eine ähnliche Technologie einsetzen, die verschlüsselte Kommunikation erkennen und blockieren kann.

Mit diesem Konzept lassen sich von Angreifern keine verschlüsselten C&C-Kanäle aufbauen bzw. nur kurzfristig aufrechterhalten. So ist ein System vielleicht nur 14 Sekunden, aber nicht 14 Monate kompromittiert.

Mit der Erstellung einer Proxy-freien Zone haben wir der größten Stärke möglicher Angreifer, der C&C-Verschlüsselung, Wind aus den Segeln genommen. Genau genommen ist es nun die größte Schwäche. Diese Veränderung erstellt eine Umgebung, in der man fortschrittliche Angriffe einfach erkennen und kontrollieren kann.

Wie anfangs bereits erwähnt, funktioniert diese Technik nicht in allen Umgebungen. Zum Beispiel sollte es Anwendern in dieser Situation per Standard nicht mehr gestattet sein, mit persönlichen Daten im Internet zu surfen oder Online-Zahlungen zu tätigen, weil dann natürlich keine Verschlüsselung mehr vorliegt. 

Allerdings könnte man dieses Problem adressieren, indem man Anwendern hierfür einen separaten Computer zur Verfügung stellt, der für die persönliche Nutzung zuständig ist. Weiterhin ist anzumerken, dass man zum Beispiel auch Kryptografie-Gateways mit SSL-Verschlüsselung am Gateway zum Netzwerk einsetzen könnte. Lediglich das letzte Stück oder das lokale LAN bliebe unverschlüsselt. Was auch immer das Netzwerk verlässt, könnte weiterhin verschlüsselt und geschützt sein.

Ich möchte noch einmal darauf hinweisen, dass ich den Einsatz von Kryptografie-freien Zonen nicht für ein gesamtes Unternehmen empfehle. Sie sollten diese Methode mehr als ein Opt-In-Programm sehen. Wenn bestimmte Anwender oder Anwendergruppen Systeme oder Daten nicht schützen können oder dazu neigen, von Malware betroffene E-Mail-Anhänge zu öffnen, dann könnte man diese Anwender beispielsweise in das Programm der Kryptografie-freien Zone aufnehmen.

Mit diesem Blick über den Tellerrand kann man es Angreifern deutlich schwerer machen. Allgemein gilt die Verschlüsselung des Netzwerk-Traffics als ideale Security-Maßnahme für Unternehmensnetzwerke. Wie Sie aber in diesem Beitrag sehen, kann genau das Gegenteil der Fall sein. Auf Kryptografie zu verzichten kann die Security sogar nachhaltig verbessern.

Über den Autor:
Eric Cole, Ph.D., ist ein anerkannter Security-Experte mit mehr als 20 Jahren praktischer Erfahrung. Dr. Cole ist Gründer und Geschäftsführer von Secure Anchor Consulting. Dort bietet er Consulting-Services im Bereich Cybersecurity und Gutachten an. Außerdem ist er in der Erforschung und der Entwicklung von modernen Security-Systemen tätig. Dr. Cole war der einzige Neuzugang in der InfoSec European Hall of Fame im Jahre 2014. Er arbeitet aktiv mit dem SANS Technology Institute (STI) zusammen und ist ein SANS Senior Fellow.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close