Donnerstag, 22. November 2018

Netzwerksegmentation – der heilige Gral unternehmerischer IT-Security

Bereits im 13. Jahrhundert entstanden in Europa die ersten Einrichtungen, die auf ein Konzept zur Verteidigung setzten, das uns auch heute helfen könnte unsere heutigen IT-Sicherheitsprobleme nachhaltiger zu lösen. Die Rede ist hier von den Mauern und Gräben, die eine Burg oder Stadt schützen, indem es Angreifer abgeschirmt und schützenswertes vor diesen abschottet.


Dieser Artikel erschien in identischer Form in der TeleTrusT-Plublikation zur itsa 2018 sowie im CryptoBlog.

 
Wer sich die Verteidigungsstrategien der heutige IT-Sicherheit mit einer Stadt vergleicht, die sich
gegen mittelalterliche Armeen verteidigen muss, so kann man durch die oft fehlende Isolation
(übertragen: Mauern) den Eindruck einer Stadtwache haben, die versucht im Akutfall innerhalb der
eigenen Stadt sich jeden feindlichen Soldaten einzeln vorzunehmen, aber ein ums andere Mal
überrannt wird ohne hieraus zu lernen.

Isolation 1.0

In den ersten Firewalls stand die Idee der Abschottung im Mittelpunkt. Der Grundsatz lautete: was nicht erreicht werden kann, das kann auch nicht angegriffen werden. Die Angriffsfläche wurde beispielsweise signifikant durch die Nutzung von Paketfiltern verringert, indem über eindeutige Kriterien (z.B. Port und IP) erwünschte von nicht erwünschter Kommunikation getrennt wurde. Das auch heute noch dieser isolatorische Ansatz, der in den Anfängen der 1990 einzog hielt, in so gut wie allen IT-Sicherheitskonzepten auch heute noch enthalten ist zeigt, wie sehr sich dieser bewährt hat und auch heute noch aktuell ist.

Isolation 2.0

Es haben sich über die Jahre weitere Varianten isolatorischer Ansätze etabliert. Beispielsweise schotten Virtual private networks (VPNs) generalisiert den Datenverkehr ab, so dass hiermit auch über nicht vertrauenswürdige Netze durch den Einsatz von Verschlüsselung selbst sensible Daten transportiert werden können. Ähnliches leistet spezialisiert HTTPS für Webseiten oder SSH für Konsolenverbindungen. Die Virtualisierung von Betriebssystemen und Containern ermöglicht die gleichzeitige aber isolierte Nutzung einer Serverhardware einschließlich Betriebssystem. Auf Clientseite wird seit langem über Sandboxing ein isolatorischer Ansatz verfolgt, beispielsweise indem ein Browser über Scriptsprache Javascript auch potentiell bösartige Software in einer kontrollierten und isolierten Umgebung ohne Gefahr ausführen kann. In vielen Firmennetzwerken wird zudem die Isolation in Form einer demilitarisierten Zone (DMZ) an Firewalls genutzt oder VLANs, die hardwareseitige Isolation zwischen Port-Gruppen, auch über mehrere Switches hinweg.

Isolation 4.0

Auch wenn das Prinzip einer DMZ allgemein bekannt ist, so wird dieses kaum systematisch im internen Netzwerk angewandt sondern meist nur bei Servern, die am Übergang der Firewall zu nicht vertrauenswürdigen Netzwerken lokalisiert sind. Andere weitergehende Formen der Netzwerktrennung sind nur selten zu finden, wie beispielsweise die Port-Security, die es unterbindet dass unbekannte Geräte durch einfaches Anstecken an einem Switchport ins Netzwerk eingebracht werden können. Die Frage stellt sich, warum hier nicht mehr passiert.

Der nächste logisch Schritt ist es, die Kommunikation zwischen den Netzwerkgeräten im internen Netzwerk grundsätzlich nur verschlüsselt und authentisiert zuzulassen. Dieser Schritt wird in vielen Firmennetzwerk nicht gegangen, da er mit enormen Aufwand verbunden ist. Der Aufwand besteht darin, das gewünschte Kommunikation in einem derart isolierten Netzwerk zwischen den Geräten gezielt nur zugelassen werden kann, wenn Technologien wie Virtual Private Network (VPN) genutzt werden, die es ermöglichen verschlüsselte und getrennte Verbindungen über ein bestehendes Netzwerk herzustellen.

Wenn dies über die Technologie VPN umgesetzt wird, so muss pro Verbindung jedem Teilnehmer eine IP-Adresse zuordnen werden und zudem zur verschlüsselten Kommunikation kryptografisches Material verteilen und regelmäßig aktualisieren werden. Zudem sind pro Verbindung ein Satz an Filterregeln zu pflegen, da ansonsten alle Dienste der Teilnehmer gegenseitig erreichbar sind. Da die für Filterregeln notwendigen Protokolldetails oft nicht bekannt sind, und der Aufwand diese für jede Verbindung nachzuvollziehen und zu pflegen wirtschaftlich nicht vertretbar ist, erscheint diese Herangehensweise als unrealistisch. Um diesen Aufwand zu reduzieren und handhabbar zu gestalten ist eine Technologie notwendig, die dies praktikabler ermöglicht, indem unabhängig von den Protokolldetails der jeweiligen Verbindung die Isolation stattfindet. Dies ist gegeben, wenn nicht wie im VPN die Parameter des verwendeten Protokolls, Port und IP-Adresse ausschlaggebend sind, sondern wenn anhand andere Parameter die Isolation hergestellt werden kann. Die hierfür bestmögliche Parameter sind welche Anwendung welchen Benutzers mit welcher anderen Anwendung welchen Servers kommuniziert. Wenn zudem zur Kommunikation bereits vergebene
IP-Adressen trotzdem getrennt genutzt werden können, so führt erst diese zu einer wesentlich einfachen und handhabbaren Verwaltung. Der Einsatz einer solchen Technologie im Gegensatz zum VPN verbessert die Kosten-Nutzen Rechnung in grundlegenden Aspekten wesentlich.

Durch die Sicherstellung, dass eine bestimmte Software auf einem Client nur mit einer anderen bestimmten Software auf einem Server kommunizieren kann, wird die Angriffsfläche, die von bösartiger Software angegriffen werden kann, auf die vermittelnde Software reduziert. Wenn bei dieser Trennung zudem unterschieden wird, welche Komponente in einer Software genau am Zugriff beteiligt ist, sprechen wir von einem gänzlich neuen Sicherheitsniveau.

Isolierte Verbindungen zwischen Software ergeben einen Stabilitätsgewinn, da andere Verbindungen oder der allgemeine Netzwerkverkehr keinen störenden Einfluss nehmen kann. Wenn die Protokolldetails von Kommunikationsbeziehungen nicht mehr relevant sind, kann jegliche aufwendige und fehleranfällige Bestimmung dieser entfallen. Dies kann Aufwand und Kosten sparen, und bringt neben einem Sicherheitsgewinn große Vereinfachungen im Betrieb mit sich.

Detektion als Alternative

Als Alternative zur Isolation und Abschottung ist der Ansatz der Detektion weit verbreitet, meist sogar als primäre Verteidigungslinie gegenüber Angriffen auf IT-Systeme. Dieser Ansatz basiert auf der Erkennung von bösartigen oder gefährlichen Mustern, anstatt auf der Isolation von Software und Systemen. Diese Muster werden von erfolgreichen Angriffen abgeleitet, und beim Feststellen von Lücken nach und nach verbessert.

Der größte Nachteil dieses Ansatzes ist, dass sich hier mindestens bis zum Bekanntwerden eines erfolgreichen Angriffes unvermeidlich Schutzlücken ergeben, und zudem neuartige sowie ausreichend veränderte Angriffe prinzipbedingt nicht erkannt werden können. Spätestens wenn der menschliche Geist diese Muster auf Lücken gezielt durchforstet, so findet sich fast immer eine Umgehungsmöglichkeit. Dies möchte ich an zwei konkreten Beispielen erläutern:

Stellen Sie sich einen Virenscanner vor, der ein unbekanntes Programm erschöpfend bewerten soll, so dass eine belastbare Aussage getroffen werden kann. Da dies oft nur mit Erfahrungswerten oder dem Vorliegen des Schädlings selbst möglich ist, geschieht es auch heute immer wieder dass Crypto-Trojaner durch die Systeme schlüpfen [1]. Fast schon trivial kann dies von ein Angreifer erreicht werden, indem er einfach seine Software im Vorfeld gegen Virenscanner testet und diese entsprechend so lange verändern bis der Virenscanner nicht mehr anschlägt – dies ist sogar bei der viel gelobten Verhaltenserkennung ein funktionierender Ansatz.

Ein zweites Beispiel sind Firewalls, hier spezifisch Web Application Firewalls, deren Aufgabe es ist Webserver zu schützen. Diese haben lange Zeit 0-Bytes im Datenstrom unbehandelt übertragen, so dass trotz des Einsatzes eines solchen Systems lang Zeit hierüber geschützte Webserver erfolgreich angegriffen werden konnten. Erst nachdem diese Problematik breite Bekanntheit erlangte, wurden 0-Bytes als Gefahr erkannt und entsprechend behandelt [2]. Da über verschiedene Umwege, beispielsweise über Encodings, von findigen Angreifern immer wieder 0-Bytes eingeschleust werden konnten, waren diese Angriffe in Variationen über lange Zeit trotz des Einsatzes derartiger Firewalls erfolgreich durchführbar [3].

Insbesondere Next-Generation-Firewalls oder Intrustion-Detection/Prevention-Systemen verwenden immer weniger nachvollziehbare und unüberschaubare komplexe Muster sowie heuristische Modelle, um jeden neuen wie alten Angriff weiterhin einzeln erkennen und abzuwehren zu können. Auf diesem Wege wird bis heute versucht, die Angriffsszenarien der Zukunft beherrschen zu können. Während dieses Vorgehen von mäßigem Erfolg geprägt ist, solange Angriffe nach einem bekannten Schema ablaufen, sind neuartige Angriffe in der Regel auf diesem Weg nicht aufzuhalten. Die Suche nach den Ursachen bei diffusen Fehlern, die unvermeidbare Nebenwirkungen beim fehlerhaften Greifen dieser Muster darstellen, sind meist langwierig und für alle beteiligten frustrierend.

Es ist somit nicht verwunderlich dass die Erfahrung zeigt, dass aus den beschrieben Gründen ein gezielter und aufwändiger Angriff gegen diesen Ansatz im Normalfall erfolgreich sein kann, und oft nur am Aufwand scheitert. Trotz verbesserter Verfahren und dem Einsatz von künstlicher Intelligenz, die für wirklich gar niemanden mehr nachvollziehbar ist, waren 70% der deutschen Unternehmen in den Jahren 2016 und 2017 von erfolgreichen Angriffen betroffen. Diese Zahlen sind einer Umfrage des Bundesamt für Sicherheit in der Informationstechnik von Anfang 2018 [4] entnommen. In der gesamten letzten Dekade konnte kein Rückgang erfolgreicher CyberAngriffe erreicht werden und es ist davon auszugehen – hier sei eine Extrapolation in die Zukunft erlaubt – dass dies mit der Detektion als primäre Verteidigungslinie so bleiben wird.

 

[1] https://www.heise.de/security/meldung/Erpressungstrojaner-Gandcrab-verbreitet-sich-ueber-gefaelschte-Bewerbungsmails-4154167.html

[2] http://projects.webappsec.org/w/page/13246949/Null%20Byte%20Injection

[3] http://www.unicode.org/reports/tr36/

[4] https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/Cyber- Angriffe_haben_erhebliche_Konsequenzen_fuer_die_Wirtschaft_31012018.html