Wie Sie Ihr Netzwerk zu Feindesland für Angreifer machen

Nehmen wir an, Sie wurden angegriffen. Jetzt geht es darum, den Angreifern das Leben schwer zu machen und sie nicht unentdeckt agieren zu lassen.

Verfasser: F-Secure Business Security Insider
Datum: 20. März 2017
Lesedauer: 9 Minuten

In seinen früheren Artikeln hat unser Cyber Security Experte Erka Koivunen bereits angesprochen, dass man sich das so genannte Dilemma des Angreifenden zunutze machen sollte, um im Endeffekt den Angriff noch gegen den Angreifer drehen zu können. Aber, was bedeutet das in der Praxis?

Lassen Sie uns annehmen, dass einige der präventiven Sicherheitsmechanismen, die Sie schützen sollten, bereits versagt haben.

Will er damit andeuten, dass Ihre Abwehr versagen wird?

In einem Wort zusammengefasst: Ja. Irgendwann wird es soweit sein, sollten sie es noch nicht getan haben. Es gibt viele Gründe dafür, dass Sie es wahrscheinlich niemals schaffen werden, Systeme zu implementieren, die allen Attacken widerstehen können. Zum Beispiel kann es durchaus sein, dass Sie noch ältere Systeme nutzen, die für Ihr Unternehmen sehr wichtig sind. Diese bieten Angriffsflächen, die man schwer kontrollieren kann, und die leicht von Angreifern auszunutzen sind. Wenn Ihr System größer und komplexer ist, und nicht von einem Team alleine betreut werden kann, ist es absolut möglich (und wahrscheinlich), dass Sie gar nicht überblicken können, welche Assets in Ihrem Netzwerk insgesamt vorhanden sind. Und wahrscheinlich haben Sie noch gar nicht getestet, wie gefährdet Sie und wie gut Ihre Fähigkeiten zur Eindämmung von Schäden sind.

Erka kennt alle Ausflüchte, warum nicht mehr Arbeit in die Sicherung von Systemen gesteckt wird. Das ist eigentlich ganz einfach nachzuvollziehen: diese Schritte sind schwierig, langweilig und undankbar.

Es ist nur menschlich, solche langweiligen, schwierigen und arbeitsintensiven Aufgaben im eigenen Unternehmen auf die lange Bank zu schieben. In den meisten Fällen klingen Sie höchstens wie ein Nörgler und solche Menschen sind bei Kollegen im Normalfall nicht beliebt. Wenn es Erka passiert, dass er nach Ausflüchten suche, nennen das seine Freunde Erkuses („Erka’s excuses for inaction“).

Auf der USENIX Konferenz im letzten Jahr war der Chef der TAO zu Gast (dem Angriffsteam der NSA). Rob Joyce lässt sich nur sehr selten in der Öffentlichkeit sehen und erklärte, dass der Grund, warum sein Team so erfolgreich beim Knacken von gegnerischen Systemen ist, darin liegt, dass sich das Team die Zeit nimmt, jedes Detail des gegnerischen Systems auszukundschaften und die Netzwerke in- und auswendig zu lernen. Am Ende kennen sie die Systeme besser, als die Verteidiger selbst ihre Systeme kennen.

„Wir machen uns die Mühe, Systeme besser zu kennen, als die Personen, die es entwickelt haben und diejenigen, die versuchen, sie zu sichern“, so Joyce. „Sie kennen vielleicht die Technologien, die Sie in Ihrem Netzwerk nutzen wollten. Wir kennen die Technologien, die wirklich in dem Netzwerk genutzt werden. Ein kleiner, aber feiner Unterschied. Fällt Ihnen etwas auf?“

Wenn diese Aussage von Herrn Joyce es nicht schafft, dass sich weltweit die CISOs schuldig fühlen und damit beginnen, Scans auf Verwundbarkeit ihrer Systeme laufen zu lassen und Angriffspläne von Red Teams durchzuführen, dann wird nichts das erreichen. Können Sie es sich leisten, nicht sofort damit zu beginnen?

Also, stellen wir fest, dass es eigentlich sehr wahrscheinlich ist, dass ein Einbruch bei Ihnen schon stattgefunden hat.

Sogar die Angreifer selbst gehen davon aus, dass sie bereits angegriffen worden sind

In einem anderen Artikel hat Erka bereits ausgeführt, dass sogar opportunistische Angreifer heutzutage einen unternehmerischen Ansatz dazu, dass sie entdeckt werden, verfolgen. Professionellere Einbrecher reagieren allerdings sehr allergisch auf die Option erwischt zu werden. Sobald sie in dem Netzwerk des Opfers sind, achten sie ständig auf Anzeichen, dass sie erkannt worden sind und vielleicht gefangen werden könnten. Sie achten sehr penibel darauf, keine Fehler zu machen und bewegen sich sehr vorsichtig durch die von ihnen angegriffenen Systeme, um bloß keine Aufmerksamkeit zu erwecken. Sie gehen ebenfalls davon aus, dass irgendjemand irgendwann ihre Machenschaften stören wird. Das, was Sie als Verteidiger als erfolgreiche Erkennung und effektive Reaktion bezeichnen, ist in den Augen der Angreifer das Scheitern der eigenen Mission.

Deshalb haben solche Angreifer immer einen Plan B, der ausgelöst wird, wenn sie davon ausgehen müssen, dass ihre Machenschaften kompromittiert wurden. Sollten sie noch die volle Kontrolle über die Situation haben, packen sie schlicht zusammen, verwischen ihre Spuren und verschwinden – nur um später mit Hilfe einer Backdoor zurückzukehren, die sie installiert haben, als sie noch unentdeckt waren.

Die Backdoor kann in Form eines so genannten Goldenen Tickets vorliegen. Oder es handelt sich um etwas so simples wie ein gestohlenes Passwort. Eigentlich muss man doch davon ausgehen, dass es für die Verteidiger einfach sein müsste, gestohlene Passwörter schlicht zu löschen, sodass die Passwörter wertlos für Angreifer sind. Aber die Realität ist, dass Nutzer oft zögern, Passwörter zu ändern und den Schritt auf den Zeitpunkt verschieben, an denen bewiesen ist, dass genau sie angegriffen worden sind. Im Hinblick auf die organisatorische Ebene werden technische, strukturelle, kulturelle und individuelle Widerstände oft so eine hitzige Diskussion entfachen, dass sich die meisten CISOs eher die Finger verbrennen, als dass sie es schaffen, dieses Problem in den Griff zu bekommen. Die grundsätzliche Nutzung von gemeinsamen und „vererbten“ Standardpasswörtern sind genau die Dinge, die es Joyce und seinen Leuten erlauben, schnell und erfolgreich überall einzubrechen. Sollten gestohlene Passwörter nicht funktionieren, hilft ein Goldenes Ticket mit einem Freifahrtschein weiter, und zwar bis zu zehn Jahre nach der ersten Attacke.

Die Backdoor könnte aber auch Code sein, der an einem Netzwerkknoten installiert wurde und sich als Verwundbarkeit nützlich zu einem späteren Zeitpunkt erweisen kann (wir müssen nicht einmal darüber sprechen, wie einfach es doch ist, Unternehmen davon zu überzeugen oft und vorsorglich zu patchen). Die Angreifer könnten auch mit Malware infizierte Dokumente in Ihrem Dokumentensystem hinterlassen haben, um Ihre Computer zu einem späteren Zeitpunkt nochmals infizieren zu können. Vielleicht starten sie aber auch neue Phishing-Versuche oder nutzen den guten alten „Technikertrick“, um dafür zu sorgen, dass Ihre arglosen Nutzer die Angreifer nochmals einladen.

Diese Angreifer sind natürlich nicht nur uneingeladene Gäste, es besteht sogar die Chance, dass sie Stammgäste werden. Also lohnt es sich, sofort gegen sie vorzugehen.

SOLLTEN präventive Sicherheitsmechanismen versagen, müssen Sie sich auf Ihre Fähigkeiten zur Erkennung und Reaktion auf diese Vorfälle verlassen können.

Wenn Sie sie nicht aufhalten können, decken Sie ihre Tarnung auf

Sie müssen Angriffe erkennen können, bevor Sie sich überhaupt ernsthaft darüber Gedanken machen können, an der Entschärfung des Schadens zu arbeiten. Klingt simpel? Und doch ist genau das der Punkt, an dem die meisten Unternehmen scheitern.

Es mag auf den ersten Blick so aussehen, als würden die Angreifer im Vorteil sein, aber eigentlich ist es so, dass die Verteidiger viele Möglichkeiten haben, den Angriff zu ihren Gunsten zu drehen. Alles, was die Angreifer tun, wird in nachvollziehbaren Logfiles landen und Änderungen in den Konfigurationen verursachen.

Es ist natürlich erst einmal so, dass ein kompromittiertes System nicht unbedingt selbst erkennen kann, dass es kompromittiert worden ist. Eine gut programmierte Backdoor hat gut geölte Scharniere, aber es gibt immer die Chance, dass eine Firewall, ein Web Proxy, IDS, Antivirus-Software oder ein Login-Server zumindest irgendwas in den Logfiles hat. Stellen Sie sicher, dass dieses irgendwas konserviert und einer Analyse unterzogen wird. Das gibt Ihnen nicht nur die Chance, etwas zu finden, sondern ermöglicht es Ihnen, in der Zeit zurückzureisen, um die Vorkommnisse zu rekonstruieren, wenn Sie die Art der Bedrohung erkannt haben.

Zu dem Zeitpunkt, an dem Angreifer aufhören, Malware und Exploits zu nutzen und sich von „dem ernähren, was das Land ihnen bietet“ sowie anfangen, authorisierte Benutzer zu imitieren, arbeiten sie innerhalb des Systems. Das bedeutet, sie loggen sich als echte Benutzer ein und tauchen in Logfiles als authentifizierte Vorkommnisse und Einträge auf.

Es gibt keine Geister in der Matrix. Der Trick ist es, nicht weiter darauf zu hoffen, dass Systeme ein Notsignal absetzen, wenn sie von Angreifern übernommen werden. Stattdessen sollte man sich die Zeit nehmen und Muster erkennen und eindeutige Vorkommnisse, die darauf deuten, dass ein Angreifer im System ist. Ungewöhnliche Aktivitäten nach Logins, Benutzer, die sich ständig an- und abmelden (unter Umständen auf Computern, die normalerweise nicht genutzt werden) und anormale Netzwerkaktivitäten – all das können Anzeichen für Angreifer sein, die sich an echte Nutzer der Systeme ranhängen.

Vertreiben Sie die Angreifer nicht nur – reagieren Sie durchdacht

Wie wir in einem unserer Blogposts nach dem Hack der Demokraten angemerkt haben, hassen es Angreifer, wenn sie in einem Umfeld operieren müssen, in dem sie ohne ihr Wissen überwacht werden. Stellen Sie sich nur die Frustration vor, wenn den Angreifern langsam bewusst wird, dass jeder ihrer Schritte vorausgesagt wurde, ihre Tools kopiert wurden und dass sie einen ganzen Monat damit verbracht haben, in Sackgassen hineinzulaufen und falsche „Beute“ zu sammeln.

Wenn Sie in Echtzeit wissen, wo die Angreifer sind, können Sie Ihre Bemühungen darauf verwenden, Beweise zu finden und den Schaden einzugrenzen, was die Angreifer frustrieren wird. Wenn man die Angreifer auf dem falschen Fuß erwischt, kann man sie vielleicht dazu bringen kopflos zu fliehen – ohne die Zeit zu haben, Spuren zu verwischen. Damit bekommen Sie selbst wertvolle Informationen über die Mission der Angreifer und ihren Fähigkeiten.

Im Tagesbetrieb ist es allerdings in der Regel so, dass die Verteidiger beim Erkennen eines Einbruchs sofort in eine Art „Reinigungsmodus“ verfallen und das Problem so schnell wie möglich bereinigen wollen. Diese Maßnahmen sind auffällig und zeigen den Einbrechern, dass sie entdeckt worden sind. Was noch schlimmer ist, ist dass dieser Prozess auch die nächsten Schritte der Verteidiger aufzeigt und darauf schließen lässt, ob die Verteidiger den vollen Umfang des Einbruchs erkannt haben. Versuche, den Umfang des Einbruchs zu erkennen, das Verstehen der Maßnahmen der Einbrecher, und die Identifikation des ursprünglichen Angriffsvektors treten bei dem Versuch, das Unternehmen schnellstmöglich wieder online zu bringen, oftmals in den Hintergrund.

Denken Sie voraus und werden Sie besser

Wenn Sie wissen, was der Angriffsvektor war, welche Tools bei dem Angriff genutzt wurden und welche weiteren Attacken mit dem Einbruch in Verbindung gebracht werden können, können Sie Ihre eigenen Fähigkeiten verbessern. Patchen Sie Schwachstellen, tauschen Sie kompromittierte Systeme aus, leuchten Sie dunkle Ecken des Netzwerks aus, schließen Sie Angriffsvektoren und begrenzen Sie die Angriffsfläche. Und genauso, wie normale Nutzer ihre Passwörter oftmals erst ändern, wenn ihnen eindeutige Beweise für einen Hack präsentiert werden, brauchen auch die meisten Unternehmen konkrete Beweise in Form eines Vorfalls oder eines Fast-Vorfalls, bevor sie anfangen, Ihre Sicherheitsmaßnahmen zu verbessern.

Als besonderen Bonus erhalten Sie solide Beweise darüber, wie gut Ihre bestehenden Sicherheitsmaßnahmen funktionieren und wie sehr sie den Schaden begrenzt und das Leben der Angreifer schwer gemacht haben. Kein weiteres Rätselraten oder hypothetische Annahmen, sondern messbare Verluste und verifizierte Siege.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s