Ein Projekt vom

Institut für Internet-Sicherheit

Jetzt für den Master bewerben!

Förderer

Partner

Live-Hacking

   

securityNews

Aktuelle Sicherheitsupdates

Aktuelle IT-Sicherheitslage

info    Gefahr durch Schwachstellen
info    Malware-Aktivität
info    Spam-Aktivität
Stand: 21.07.2017, 03:07Uhr

Expertenkommentar

Prof. Norbert Pohlmann

Institut für Internet-Sicherheit – if(is)

„Professionelle Hacker sind immernoch in der Lage, unsere Systeme anzugreifen. Wir haben zu viele Fehler in der Software, worüber man erfolgreich hacken kann. Außerdem ist Malware eines der größten Probleme, das wir haben. Der Schutz vor Malware ist nach wie vor ungenügend. (...)“ [mehr]

Isolationsplattformen graben den Phishern das Wasser ab

Der Diebstahl von sensiblen Daten mit darauffolgenden Erpressungsversuchen hat sich zu einer regelrechten Plage für Privatpersonen und zu einer ernstzunehmenden Bedrohung für Unternehmen entwickelt. Phishing ist ein leidiges Massenphänomen, Spear-Phishing, die Variante für Fortgeschrittene und Ransomware das Medium, um aus gewonnenen Daten Profit zu ziehen. Konventionelle Sicherheitskonzepte stehen dem oftmals machtlos gegenüber. Isolation verspricht Abhilfe.
©Bertold Werkmann

Kein Tag, an dem nicht Mitarbeiter von Unternehmen oder private Nutzer Aufforderungen erhalten, auf diesen oder jenen Link zu klicken oder die eine oder andere Datei herunterzuladen. In der Summe sind dieserart Mitteilungen glücklicherweise derart plump, dass sie aufgrund der Sprache oder der Grafik zumindest für geübte Anwender auf den ersten Blick als Fälschungen zu identifizieren sind. Allerdings haben sich dieserart von Angriffen in den letzten Jahren kontinuierlich verändert, sind sprachlich ausgereifter geworden und nutzen grafische Elemente, die kaum von den Originalen der Banken, Telecom-Provider oder Social-Media-Plattformen zu unterscheiden sind. Angereichert mit halbwegs plausiblen persönlichen Informationen, die sich im Web oder aus anderen Quellen recherchieren lassen, stellen Attacken der Spear-Phishing-Generation selbst für geübte Anwender eine Herausforderung dar.

Die Dreistigkeit macht auch vor Institutionen nicht Halt, die sich dem Kampf gegen derartige Auswüchse verschrieben haben. Selbst das Bundesamt für Sicherheit in der Informationstechnik warnt vor E-Mails im eigenen Namen, die darauf abzielen, an die Credentials der Nutzer zu gelangen.

Während das Bundeskriminalamt kürzlich in einer Statistik 83.000 Fälle von Cybercrime mit einem Schaden von 51 Millionen Euro in Deutschland für das Jahr 2016 gemeldet hat, liegen die tatsächlichen Auswirkungen um ein Vielfaches höher. Die Gründe liegen auf der Hand: Im privaten Umfeld meldet kaum jemand derartige Vorfälle, in der Wirtschaft herrscht möglicherweise der Gedanke vor, entsprechende Attacken eher zu verschweigen, als die Verletzbarkeit der eigenen Infrastruktur zuzugeben, und generell ist das Vertrauen auf Hilfe durch staatliche Organisationen eher gering. Wohl aus gutem Grunde, wenn selbst die Behörden derzeit zugeben, dass sie den Tätern „zu Fuß“ hinterherlaufen und eine Änderung des Strafgesetzbuches fordern.

Konventionelle Sicherheitsprodukte basieren auf der Unterscheidung zwischen „gutem“ und „bösem“ Traffic – mit den damit verbundenen Nachteilen.
Quelle Menlo Security


Vielfältige Ansätze
In ihren Bemühungen, der Flut von Angriffen Herr zu werden, sehen sich Unternehmen und Organisationen einer Vielzahl technischer Ansätze gegenüber, die mit der Wanderung der Daten und Verarbeitungsprozesse in die Cloud beileibe nicht einfacher werden. Sie sollen sich entscheiden, ob sie die IT-Security lieber auf dem eigenen Campus bewerkstelligen oder möglicherweise als Service aus der Cloud beziehen, ob sie präferieren, den Netzzugang abzusichern oder besser die einzelnen Endgeräte oder ob sie dies auf vielfältige Weise vermischen und dabei ungewollte Redundanzen in Kauf nehmen.

Dabei hat sich die Idee der Prävention  von Malware im Laufe der Zeit als mehr oder weniger obsolet erwiesen, weil konventionelle Sicherheitsprodukte im Allgemeinen auf der Unterscheidung zwischen „Gut“ und „Böse“ beruhen. Sie untersuchen den Code eindringender Software auf bekannte Angriffsmuster, um entsprechenden Entscheidungen zu treffen. Nicht nur, dass dieserart Technologien das erstmalige Auftreten neuer Angriffsmuster nicht verhindern können, sind sie auf der anderen Seite oftmals fehlerbehaftet, so dass ‚False Positives‘ schon mal legitime Inhalte blockieren und die Produktivität einschränken und ‚False Negatives‘ demgegenüber Malware-Attacken das Eindringen in das Firmennetz ermöglichen.

Alles birgt ein Risiko
Einen gänzlich anderen Weg geht der Isolationsansatz. Er geht davon aus, dass jeder Datenverkehr ein potentielles Risiko birgt, indem er eine Zwischenschicht in die Sicherheitsumgebung einführt, innerhalb derer alle Kommunikation des Anwenders mit dem Internet in sicherer Distanz zu seinem Endgerät ausgeführt wird.

Isolationsplattformen werden zwischen den Anwendergeräten wie Desktop-PC, Tablet oder Smartphone und dem Internet installiert. Jegliche Kommunikationsanfragen  an das Internet werden durch die Plattform an einen Proxy weitergeleitet. Die Plattform führt die Session im Namen des Anwenders aus und leitet im Rückkanal lediglich sicheren Traffic an den Nutzer weiter. Die Plattform isoliert sowohl Clear-Text (http) als auch SSL-verschlüsselten Web-Content (https). Sie kann als Public-Cloud-Service oder als virtuelle Appliance für die Installation im Rechenzentrum der Organisation verfügbar sein und beeinträchtigt nicht das Antwortverhalten der aufgerufenen Sides.

Isolationsplattformen basieren technologisch gesehen auf zwei Methoden - der Verwendung von virtuellen Containern sowie dem „Rendering“ der Informationen. Die virtuellen Container sind in sich abgeschlossene Bereiche innerhalb der Plattform, in denen jedweder aktive Content bearbeitet wird. Beim Öffnen einer neuen Browser-Destination durch den User wird ein neuer virtueller Container gestartet. Dieser Container wird geschlossen, sobald die User-Session beendet oder eine nicht-autorisierte Aktivität erkannt wird. Auf diese Weise wird verhindert, dass Malware sich einnistet oder sich verbreitet. Die Plattform kann einen Pool aktiver Container verwalten, so dass keine Verzögerungen beim Starten einer Session entstehen.

Das „Rendering“ der Sides nutzt die Tatsache, dass alle kommerziellen Browser ein gemeinsames Framework für die Beschreibung von Elementen einer Web-Site einsetzen, einschließlich Text, Bildern, Video etc. Wenn Web-Content in einem Browser ausgeführt wird, so generiert dieser Elemente nach dem Document Object Model (DOM) sowie einen zugeordneten „Rendering-Tree“, der dem Browser die Darstellung der Seite erlaubt. Das funktioniert in gleicher Weise auch bei der Ausführung der Seite innerhalb der Isolations-Plattform. Die Darstellungsinformation wird anschließend optimiert an den Browser des Nutzers weitergeleitet. Er generiert hieraus die Darstellung, als wäre der Content im lokalen Browser ausgeführt worden. Der Browser des Anwenders erhält lediglich nicht-ausführbare und schadfreie Inhalte, die in der Darstellung in jedem Falle den Erwartungen des Nutzers entsprechen. Das Protokoll leitet gleichzeitig die User-Aktivitäten wie Tastaturbefehle oder Mouse-Klicks zur Isolations-Plattform weiter.

Keine zusätzliche Client-Software
Ausgereifte Plattformen bieten durch die Optimierung der Ausführung und die Bereitstellung beliebiger Inhaltstypen eine bessere Nutzungserfahrung als frühere Ansätze des Remote-Rendering. Dazu zählt etwa die Zusammenarbeit mit nativen Browsern wie IE, Chrome, Safari oder Firefox ohne die Notwendigkeit für zusätzliche Software auf dem Endgerät, also keine Thin-Clients, Ersatzbrowser, Plug-Ins etc. Zudem gibt es keine Verpixelung, abgehacktes Scrolling oder andere visuelle Beeinträchtigungen, wie sie etwa aus Screen-Scraping-Technologien wie VDI bekannt sind. Native Browser-Funktionen wie Cut-and-Paste, Print etc. werden beibehalten, ebenso wie der Support für Browser-Erweiterungen.



Isolationsplattformen bieten Schutz gegenüber infizierten Web-Seiten, Dokumenten und E-Mails.

Quelle Menlo Security

Moderne Isolations-Plattformen können als Stand-Alone-Lösung oder in Verbindung mit anderen Security-Systemen für vielfältige Sicherheitsanforderungen zum Einsatz kommen. Etwa dem sicheren Zugang zu nicht-kategorisierten Websites, der sicheren Betrachtung von Web-Dokumenten wie pdf, doc, xls oder ppt, der sicheren Nutzung von potenziell bösartigem Content aus Java oder Flash, ohne dass der Anwender auf die gewohnte Darstellung verzichten muss, sicheren E-Mails und Anti-Phishing sowie dem Schutz von Anwendungen gegenüber Bots und anderer Malware durch infizierte Endgeräte.

Von Analysten und Marktexperten wird die Isolationstechnologie derzeit als ausgesprochen attraktiv empfohlen. Allerdings gilt selbstverständlich auch hier, dass alle angebotenen Lösungen ihre jeweiligen konzeptionellen Ansätze verfolgen und im Einsatz mehr oder weniger praktikabel sind. Das Analystenhaus Gartner hat zum Beispiel eine Reihe von Kriterien aufgestellt, die bei der Entscheidung für eine entsprechende Lösung betrachtet werden sollten. Verzögerungen beim Scrollen und bei der Performance, abgehacktes Streaming, das Abschalten von Copy-and-Paste-Funktionen oder eine schwierige Installation mit der Notwendigkeit für Endgeräte-Software stellen demnach Ausschlusskriterien ersten Ranges dar.

Daneben können andere Kriterien für die Auswahl entscheidend sein. So sollte der Anwender keine Veränderungen im Verhalten seines Web-Browsers festellen oder gezwungen sein, einen speziellen Browser zu nutzen. Darüber hinaus sollte die Lösung Cloud-basiert als Managed-Service zur Verfügung stehen. Zusätzliche Agents sollten nicht erforderlich sein, Rich-Media wie YouTube sollte unterstützt werden, ohne Einbußen hinsichtlich der Performance hinzunehmen.  Es sollte die Möglichkeit bestehen, Seiten auf eine White-List zu setzen, die Video und Mikrofon benötigen, um den Zugang zu Conferencing-Tools wie Web-Ex zu ermöglichen. Auch sollte eine Methode verfügbar sein, ausführbaren Content wie PDFs oder Präsentationen sicher herunterzuladen. Und schließlich sollten die Container der Isolationsplattform nach jeder Session gelöscht und in den sicheren Ausgangszustand zurückgesetzt werden, so dass Malware keine Chance hat, auf der Isolationsplattform zu überleben.

Die Technologie der Isolation ist vergleichsweise jung. Tatsächlich sind aber ausgereifte Lösungen verfügbar, die den steigenden Druck durch willkürliches Phishing oder auch ausgereifte Methoden des Social-Engineering den Wind aus den Segeln nehmen.


Alexander Bünning, Regional Director DACH, Menlo Security

Datum: 13.07.2017
Die News wird bereitgestellt von: itsicherheit-online.com