Analyse von Angriffswegen

Transkript

1 Analyse von Angriffswegen Ein strategischer Ansatz zur Korrektur von Schwachstellen

2 Inhaltsverzeichnis Überblick 3 Im Lärm untergegangen 3 Nutzen Sie Attack Path Analytics 3 Schritt Eins: Datenermittlung 4 Schritt Zwei: Analyse der Angriffswege 4 Schritt drei: Reaktion auf Angriffswege und Schadensminderung 4 Fazit 5 Über Tenable Network Security 5 2

3 Überblick Für Sicherheitsanbieter ist es kein Problem, Schwachstellen in unternehmensweiten Netzwerken zu finden täglich kommen mehr Security- Daten hinzu. Die größere Herausforderung ist es, diese Daten zu durchsuchen, die größten Risiken zu identifizieren und die dringendsten korrigierenden Maßnahmen zu definieren. Die Analyse der Angriffswege (Attack Path Analytics) ist ein strategischer, risikoorientierter Ansatz zur Verbesserung der IT-Sicherheit. Die meisten Risikobewertungen kombinieren großflächige Schwachstellen-Scans mit detaillierten Konfigurations-Audits geschäftskritischer Geräte. Dieser Ansatz hinterlässt viele Lücken, durch die Angriffe eingeleitet werden können. Attack Path Analytics filtern diese Daten mit Informationen über Host-Rollen, Aktivitäten und Vertrauensbeziehungen zu anderen Systemen, um die Pfade zu identifizieren, über die Malware und Angreifer Zugriff auf wertvolle Daten und Ressourcen erlangen können. Im Lärm untergegangen Angreifer starten normalerweise damit, einen mit dem Internet verbundenen Rechner mit schwachem Schutzniveau zu kompromittieren. Ist dies gelungen, verwenden sie diesen zur Ausnutzung von Vertrauensbeziehungen. Sie kompromittieren im Anschluss andere, geschäftskritischere Systeme, bis sie die sensiblen Daten gefunden haben, nach denen sie suchen. Ein System ist nur so sicher wie die Systeme, denen es vertraut. Vulnerability Scanner identifizieren einzelne Schwachstellen, die Angreifer nutzen, um sich Zugriff auf interne, sensible Ressourcen zu verschaffen. Jedoch können sie vertrauensvolle Beziehungen generell nicht identifizieren. Da Scanner diesen essentiellen Kontext nicht zu den Schwachstelleninformationen hinzufügen, können sie das tatsächliche Risiko einer Schwachstelle nicht präzise darstellen. Das Problem hat zwei Seiten: 1. Schwachstellen-Scanner haben normalerweise keinen Zugriff auf die richtigen Daten. Obwohl sie einzelne Schwachstellen identifizieren können, fehlt es ihnen an einem grundlegenden Einblick in: Host-Aktivitäten, wie die Bereitstellung oder Nutzung von Inhalten im Internet; Vertrauensverhältnisse zwischen verschiedenen Hosts; verfügbare Kommunikationswege zwischen verschiedenen Hosts. 2. Wenige dieser Tools haben die Mittel, die vorhandenen Daten adäquat zu analysieren. Ihnen fehlen flexible und effiziente Filtermöglichkeiten, die Unterstützung dynamischer Asset-Listen, robuste Datenvisualisierung und die Fähigkeit, über das gesamte Spektrum von Security-Events zu korrelieren. Ohne diese analytischen Fähigkeiten ist es unmöglich, alle Bestandteile eines Angriffs wie ein Puzzle zusammenzufügen. Das Resultat ist eine fehlerhafte Auswertung der Risiken, falsche Prioritäten bei Schadensminderung und -Behebung und eine größere Bedrohung durch Malware, Gelegenheits- und gezielte Angriffe. Um diese Mängel zu überwinden, verwenden die meisten Unternehmen zusätzliche, eigenständige Tools zur Analyse von Angriffswegen und für Penetrationstests. Dieser Ansatz hat jedoch Grenzen. Solche Analyse-Tools verlassen sich auf das so genannte Modeling, welches ungenauer ist als Penetrationstests. Die Tools nehmen üblicherweise die Konfiguration wichtiger Infrastrukturkomponenten wie Router, Switches oder Firewalls einer Organisation zu einem bestimmten Zeitpunkt als Grundlage. Sie überlagern diese mit den Schwachstellendaten dieses Zeitpunkts und ermöglichen eine manuelle und/oder automatisierte Analyse des entstehenden Netzwerkmodells, um mögliche Angriffswege offenzulegen. Auf der anderen Seite skalieren Penetrationstests nicht gut. Es ist in der Regel nicht praktikabel (oder möglich), jede mögliche Kombination von Angriffswegen zu testen. Ein anderes Problem des multiplen Tool-Ansatzes ist die Herausforderung, die Tools in ein zusammenhängendes Programm zum Risikomanagement zu integrieren. Jedes einzelne Tool produziert eine große Anzahl potenziell nützlicher Daten. Aber es braucht menschliche Intelligenz, um die aus diesen Datenerhebungen basierenden Bedrohungen zu identifizieren und zu priorisieren. Selbst wenn die kritischen Systeme alle auf vollständig gepatchten Servern laufen, die durch Firewalls und andere Sicherheitslösungen geschützt sind, können sie immer noch anfällig für Malware oder gezielte Angriffe über verbundene Systeme sein. Systemadministratoren nutzen beispielsweise oft ihre eigenen Desktop-Systeme, um auf wichtige Server zuzugreifen. Sie neigen auch dazu, die gleichen Desktop-Systeme beim normalen Surfen im Internet oder für andere Aktivitäten, die zu einer Malware-Infektion führen können, zu verwenden. Das Desktop-System des Administrators wird so zur Startrampe für einen Angriff auf kritische Server. Wenn Sie nur auf Schwachstellendaten und Konfigurationsprobleme der kritischen Server achten, übersehen Sie Gefahren wie diese, die verheerende Auswirkungen haben können. Nutzen Sie Attack Path Analytics Attack Path Analytics vereinen Echtzeitdaten von Schwachstellen, Ereignissen und Compliance Monitoring für Administratoren, Auditoren und Risikomanager. Sie helfen diesen bei der Bewertung, Kommunikation und Weitergabe der Informationen, die für effektive Entscheidungen und das System-Management notwendig sind. 3

4 Mit Attack Path Analytics können Security Manager: ungewollte und/oder unautorisierte Kommunikationswege, die durch falsch konfigurierte Security- und Boundary-Geräte entstehen, identifizieren. unerwünschte Vertrauensbeziehungen zwischen verschiedenen Systemen entdecken. unerwünschte und unproduktive Aktivitäten, die die Gefahr von Angriffen erhöht, identifizieren. legitime Kommunikationswege und vertrauliche Beziehungen, die mehr Aufmerksamkeit und besseren Schutz erfordern, identifizieren. Reaktionen auf Schwachstellen mit offenbar geringen Auswirkungen priorisieren, die in Wirklichkeit Teil eines Angriffswegs mit starken Auswirkungen sind. Eine umfassende Analyse von Angriffswegen umfasst drei Schritte, die im Einklang mit dem grundlegenden Zyklus im Schwachstellen- Management sind: entdecken/bewerten, analysieren und reagieren. Schritt Eins: Datenermittlung Traditionellen Tools zur Analyse von Schwachstellen fehlen die erforderlichen Daten, um offene Angriffswege zu erkennen. Sie können kritische Informationen, wie etwa eine Bestandsaufnahme der installierten Software oder Patch-Daten nur erlangen, indem sie sich in die Systeme einloggen. Normalerweise betrachten Schwachstellen-Scanner externe Services, die auf einem Port gelistet sind und übersehen damit Client- Software wie Chrome, Firefox und Internet Explorer, um nur einige zu nennen. Traditionelle Schwachstellen-Scanner untersuchen keine Datenübermittlungen im Netzwerk, um spezielle Host-Aktivitäten zu identifizieren. Zudem untersuchen sie nicht, welche Hosts miteinander kommunizieren und über welche Ports und Protokolle sie dies tun. Doch gerade diese Informationen können überaus wichtig sein. Der Ermittlungsprozess sollte mögliche Angriffswege aufdecken, wie z.b.: eine Maschine, die sich zunächst mit Facebook oder Twitter und später mit einem High-Value-Host verbindet einen internen Server, der eine ausgehende Verbindung zum Internet aufbaut einen Rechner, der sich mit einem bekannten Botnet verbindet Malware auf einem Rechner falsch konfigurierte oder fehlende Anti-Virus Software. Schritt Zwei: Analyse der Angriffswege Analysen sind der Kern bei der Erkennung von Angriffswegen. Effektive Analysen kombinieren manuelle und automatisierte Techniken, um die Daten, die im vorherigen Schritt erfasst wurden, auf gängige Angriffswege zu überprüfen, z.b.: Internet-Dienste, die für ihre Gefährdung bekannt sind Internet-Browser-Clients, die eine Gefährdung sind Server, die gefährdeten Clients vertrauen Zuerst empfiehlt es sich, mit einer Reihe von Asset-Listen schrittweise auf die gewünschten Resultate zu kommen. Zum Beispiel sollte sich zu Beginn diese Frage gestellt werden: Welche Server im Unternehmensnetzwerk akzeptieren direkte Verbindungen aus dem Internet und wo befinden sich diese? Die Beantwortung dieser Frage erfordert eine Kombination von externem Scannen, interner Systemanalyse sowie der Überwachung des Netzwerkverkehrs auf Systeme, die externe Verbindungen erlauben. Stellen Sie dann weitere Fragen bezüglich des realen Risikos: Welche internen Systeme verbinden sich mit dem Internet? (Sie können diese Frage auch verfeinern und nach speziellen Internet-Zielen wie YouTube, Facebook etc. fragen.) Welche der obigen Systeme verwenden Client-Software, die leicht ausgenutzt werden kann? Welche Internet Server haben Client-Applikationen mit gefährlichen Schwachstellen? (Diese Frage zielt auf viele moderne, komplexe Web- Applikationen mit externen Kommunikationsfähigkeiten ab, z.b. für den Erhalt von Content-Updates.) Welche internen Systeme sind bzw. nutzen Clients, denen wichtige Server vertrauen? Welche der obigen Systeme haben Sicherheitsprobleme, die einfach ausgenutzt werden können? Welche der obigen Systeme sind zudem mit dem Internet verbunden? Diese Fragen sind nur ein Ausgangspunkt. Detaillierte Analysen können nicht unterstützte oder illegale Software sowie andere Geschäftsrisiken identifizieren. Schritt drei: Reaktion auf Angriffswege und Schadensminderung Der letzte Schritt beschäftigt sich mit der Schließung der entdeckten Angriffswege. Verwenden Sie die Informationen aus der vorangegangenen Analyse, um Ihre Reaktionen entsprechend der zu Grunde liegenden Schwachstellen zu priorisieren. Ohne den Kontext des Angriffsweges ist die Erkennung einer Schwachstelle für ein einzelnes System ein Low-Level-Event. Sie können die Klassifizierung verfeinern, indem Sie Faktoren wie den Wert eines zugehörigen Systems, die Schwere der Sicherheitslücke und Existenz eines entsprechenden Exploits mit in Betracht ziehen. Die Analyse von Angriffswegen fügt einen weiteren geschäftskritischen Faktor für die Klassifizierung von Schwachstellen und die Priorisierung der Remediation-Maßnahmen hinzu: das Potenzial eines gefährdeten Systems, möglicherweise als Sprungbrett genutzt zu werden, um an hochwertige Ressourcen zu kommen. 4

5 Fazit Die Analyse der Angriffswege kann Unternehmen helfen, den Bedrohungen durch moderne Malware und der zunehmenden Verbreitung gezielter Attacken effizienter entgegenzutreten. Mit Attack Path Analytics können Security-Teams: Infrastruktur und Betrieb vereinfachen. Eine umfassende Datenanalyse kann alle Schwachstellen, Sicherheitsvorfälle und Compliance- Management-Aktivitäten vereinheitlichen und nicht nur diejenigen, die mit der Erkennung und Eindämmung von Angriffswegen verbunden sind. Auf das operative Tagesgeschäft konzentrieren und es rationalisieren. Überlastete Netzwerkadministratoren können unerlaubte/ unbeabsichtigte Kommunikationswege einfach identifizieren, falsch konfigurierte Boundary-Geräte erkennen und ihre Remediation- Maßnahmen bezüglich der Schwachstellen besser priorisieren. Helfen, zusätzliche Gegenmaßnahmen einzuführen. Erkenntnisse zum Angriffsweg können helfen, die Notwendigkeit für zusätzliche Tools und Prozesse zu verdeutlichen, z.b. Next Generation Firewalls, die eine granulare Zugriffskontrolle bieten, Host Intrusion Prevention sowie verbesserte Lösungen zum Security Information and Event Management (SIEM). Die unternehmerischen Vorteile sind gleichermaßen überzeugend: Reduziertes Risiko. Identifizikation und Blockierung der üblichen Angriffswege, die von moderner Malware und zielgerichteten Angriffen genutzt werden. Durch verstärkte Remediation-Maßnahmen für das, was sonst als Schwachstelle mit niedrigem Risiko eingestuft wird, können die Angriffsfenster für Hacker, Spione und Diebe verkleinert werden. Nachweis der Compliance. Administratoren können die Einhaltung von Richtlinien, Vorschriften und Anforderungen bezüglich der Zugriffskontrolle, Boundary-Abwehr, kontinuierlichem Monitoring und Schwachstellen-Management sicherstellen und dokumentieren. Über Tenable Network Security Tenable Network Security ist ein führender Anbieter für Unified Security Monitoring und der Erfinder des Nessus-Schwachstellen-Scanners. Tenable Network Security entwickelt agentenlose Enterprise-Class-Lösungen für ein ganzheitliches Monitoring von Schwachstellen, Konfigurationsschwächen, Datenlecks, Log-Management und Kompromittierungserkennung, um Netzwerk-Sicherheit und FDCC, FISMA, SANS CAG und PCI Compliance zu gewährleisten. Die preisgekrönten Produkte von Tenable werden von vielen Global 2000-Organisationen und Regierungsbehörden genutzt, die dadurch Risiken für das Netzwerk proaktiv minimieren können. Weitere Informationen unter GLOBALE HAUPTQUARTIERE Tenable Network Security 7021 Columbia Gateway Drive, Suite 500 Columbia, MD