Security Advisor epublication. Information. Security. Cyberwar 2.0. Wie Datenspionage funktioniert

Transkript

1 Information Security Cyberwar 2.0 Wie Datenspionage funktioniert

2 2 Cyberwar 2.0 Wie Datenspionage funktioniert Datenspionage ist heute vor allem durch finanzielle Interessen motiviert. Nicht zuletzt deshalb ist diese Bedrohung größer und professioneller denn je. ll Autor: René Reutter, T-Systems Vor dem Hintergrund der Globalisierung der Märkte steigt auch die Wirtschaftsspionage im Web 2.0 deutlich an. Was bislang öffentlich geworden ist, ist vielfach nur die Spitze des Eisbergs, denn meist werden Angriffe und Datenklau nicht bemerkt und wenn, dann werden solche Angriffe meist von den Führungsetagen der Unternehmen schamvoll verschwiegen. Der Handel mit gestohlenen firmenvertraulichen Daten aus dem Internet blüht wie sonst fast kein anderer Wirtschaftszweig. Die Motivation virtueller Eindringlinge ist dabei immer stärker an finanzielle Interessen gekoppelt Daten sind bares Geld, illegale Zugriffe ein Millionengeschäft. Waren früher Finanzinstitute ein begehrtes Ziel der Angreifer, trifft es mittlerweile alle Branchen. Der Trend geht zu gezielten Angriffen und tatsächlich sind immer häufiger kapitalkräftige und gut organisierte Angreifer für Unternehmen ein stark wachsendes Risiko. IT-Verantwortliche machen deshalb für jeden Cyberangriff erst einmal China verantwortlich. Das klingt plausibler, als wenn sie dem Chef und der Öffentlichkeit erklären müssen, dass ein minderjähriger Schüler die millionenschwere IT des Unternehmens kompromittiert hat. Kategorisierung von Angreifern In der Hacker-Gemeinde gibt es sehr viele professionelle Kriminelle, die Schadprogramme und Exploits für Angriffe nutzen, um damit Geld zu verdienen. Meist geht die Aktivität mit einem Identitätsdiebstahl einher. Privat motivierte

3 3 Hacker arbeiten zumeist für die eigene Publicity. Sie wollen ihre Fähigkeiten demonstrieren und dabei Unternehmen bloßstellen. Sogenannte Hacker-Communities kämpfen für eine angeblich gute Sache mit zweifelhaften Methoden. Das Lahmlegen der IT und der Diebstahl von Daten werden genutzt, um an anderer Stelle Druck auszuüben. Dass das oft über legale Schranken hinaus geht ist unzweifelhaft.»freie«unternehmensspione interessieren sich in der Regel für Betriebsgeheimnisse und wettbewerbsrelevante Informationen. Daten, durch kompromittierte ICT-Systeme gewonnen, werden meistbietend verkauft und dienen nur dem Ziel, die eigene Geldbörse zu füllen. Eine kapitalkräftige und meist sehr gut organisierte Gruppe sind die APT-motivierten Angreifer. APT steht für Advanced Persistant Threat. Diese Angreifer haben das strategische Ziel, vertrauliche Informationen eines Unternehmens zu stehlen. Damit wollen sie die eigene Firma stärken und deren Gewinne bei gleichzeitig niedrigen Kosten für die Forschung steigern. Der Stuxnet-Wurm ist ein Paradebeispiel für einen Cyberwar zwischen Staaten. Stuxnet sollte ganz offensichtlich Atomanlagen nachhaltig schädigen. Oft stehen bei solchen Maßnahmen politische, strategische oder volkswirtschaftliche Interessen im Vordergrund. Angriffsinitialisierung In den letzten Wochen haben sich Meldungen über Einbrüche in Unternehmen gehäuft. Bei Unternehmen wie HBGary, RSA, Epsilon, Barracuda Networks oder PSN Sony haben Hacker teils brisante aber auch Unmengen private Daten ausgespäht. Sogar einschlägige Sicherheitsfirmen wurden Opfer von gezielten Attacken. Die Angreifer nutzten ganz gezielt Schwachstellen aus und gingen teilweise sogar über einzelne Mitarbeiter, die vorher lange und sorgfältig ausgekundschaftet wurden. Professionelle Angreifer gehen, wie auch klassische Einbrecher, meist den Weg des geringsten Widerstands. Sie spähen Angriffsziele vorher aus und tragen Informationen nach dem»jäger-und-sammler- Prinzip«zusammen. Soziale Netzwerke wie Facebook, Xing oder»wer kennt Wen«liefern wertvolle Informationen über Angriffsziel und Umfeld. Zu guter Letzt werden die Informationen kombiniert um die beste Angriffsstrategie auszuwählen. Klopft man beispielsweise die Business-Kontakte des IT- Leiters und seines Umfeldes im Web 2.0 ab, können die ermittelten Kontakte Rückschlüsse auf die eingesetzten Produkte bieten und damit Hinweise für die zu wählende Angriffsstrategie liefern. Eine klassische mit individu-

4 4 ellem Zuschnitt reicht meistens schon aus, damit die Zielperson entsprechend präparierte Anlagen öffnet. Gerade wenn es um die Hobbys und Themen zur Freizeitgestaltung geht, werden viele unvorsichtig. Bei gezielten Angriffen auf einzelne Mitarbeiter eines ausgewählten Unternehmens, so genanntem Spear-Phishing, an, ihren Browser und Windows zu aktualisieren, vergessen aber vielfach, auch Programme für Bild-, Text- und Videodateien auf dem neuesten Stand zu halten. So kann auch die Fernsteuerung von PC-Funktionen wie das Anschalten von Mikrofon und Kamera weitere interessante Informationen liefern.»freie«unternehmensspione interessieren sich für Betriebsgeheimnisse und wettbewerbsrelevante Informationen. Sie spähen Angriffsziele vorher aus und tragen Informationen zusammen, z.b. aus Social Networks. werden zumeist präparierte s versendet. Die Intention ist präparierte Anlagen in der oder auf einer entsprechend modifizierten Webseite durch Nutzer installieren zu lassen. Meist handelt es sich dabei um Remote-Administrations-Tools beziehungsweise Stealth-Rootkits, die die Zielperson, unbewusst dessen was wirklich passiert, installiert. Sollte keine User-Interaktion möglich sein, ist die Ausnutzung von Exploits eine weitere Möglichkeit, um privilegierte Rechte auf einem Rechnersystem zu erlangen. Eine Infektion kann aber auch bereits durch den bloßen Besuch einer Internet-Seite passieren, also eine sogenannte»drive-byinfection«. Beispielsweise denken viele Unternehmen dar- Aber auch einfaches Phishing kann große Datenmengen einbringen. Die Volkzählung»Zensus 2011«bietet Cyberkriminellen als Trittbrettfahrer große Chancen, an einen Datenschatz zu gelangen. Phishing-Opfer, die auf eine falsche Webseite gelockt werden, geben nicht nur Name, Adresse und Telefonnummer an, sondern beantworten auch noch intime Fragen zu Bildung, Ausbildung, Berufstätigkeit, Staatsherkunft sowie Wohn- und Immobilienbesitz-Verhältnissen. Der Phishing-Betrüger kann seinem Opfer auch noch Fragen unterjubeln, die ihn interessieren und seinem Ziel, Geld zu verdienen, näher bringen. Sicherlich ist auch die IT des Betreibers gegen Ende der Umfrage Angriffen ausgesetzt. Dann liegen Unmengen Daten vor, die auf dem Schwarz-

5 5 Links RRT-Systems CEO R. Clemens über Cyber-Attacken RRT-Systems CEO R. Clemens über sichere ICT made in Europe RRIT-Sicherheit in Cloud (Kundenmagazin Best Practice) RRBanca Popolare di Sondrio sichert Kundendaten mit T-Systems RRSecurity & Governance bei T-Systems markt größere Summen einbringen würden. Um so wichtiger sind umfassende Sicherheitsmaßnahmen, um dem Datenklau einen Riegel vorzuschieben. Social-Hacking aber auch Insiderwissen sind in Vorbereitung der Angriffsphase oftmals von Bedeutung gerade wenn es um Datenspionage geht. Angreifer nutzen vielfach aus, dass Passwörter von Benutzern im Kern meist identisch sind, in vielen Fällen sogar vollständig übereinstimmen. Ein weiteres Puzzleteil für den Angriff auf die eigentliche Zielinfrastruktur, die kompromittiert werden soll. Informationen zur Netzwerktopologie von Unternehmen können dem Angreifer durch legitime Abfragen von IP-Adressbereichen beim RIPE Network Coordination Center, das unter anderem IP-Adressen vergibt, weitere Anhaltspunkte für Angriffe auf Systeme in einer Service-Area geben, um sich dann beim eigentlichen Angriff von außen nach innen durch die ICT-Infrastruktur»durchzuhangeln«. Die Angriffsphase Um Zugriff auf ICT-Ressourcen eines Unternehmens zu bekommen werden in der ersten Phase oftmals ICT-Systeme in der Service-Area angegriffen. Die Ausnutzung von Schwachstellen wie SQL-Injection auf Extranet-Servern ist eine häufig praktizierte Angriffsmethode. Hat der Angreifer erst einmal administrative Rechte, ist es ein Leichtes, einen bestehenden Virenschutz bedarfsgerecht auszuschalten, um weitere Tools für den Angriff zu installieren. Eine Überwachung von Systemdiensten mittels Systemmanagement ist meist nicht realisiert, so dass Angreifer dann leichtes Spiel haben. Ausgehend von diesen kompromittierten Systemen wird versucht, auf die Intranet-Client-Server-Infrastruktur zuzugreifen. Die Wege ins Intranet können beispielsweise über falsch designte VPN-Lösungen oder durch Schwachstellen in der Perimeter-Security erfolgen. Vielfach sind Angreifer interessiert, zentrale Dienste wie das Active-Directory unter ihre Kontrolle zu bringen. Auch Schwachstellen in verwendeten Legacy-Protokollen wie im Lan-Manager werden ausgenutzt. Der Einsatz von Rainbow- Tables oder Hash-Injection-Verfahren können selbst heutzutage immer noch zum Erfolg führen. Ein kompromittiertes ADS, aber auch gezielter Identitätsdiebstahl, erschweren die aktive Erkennung missbräuchlicher Nutzung im Unternehmensnetz dann zusätzlich.

6 6 Eine Infektion kann bereits durch den bloßen Besuch einer Internet-Seite passieren eine sogenannte»drive-by-infection«. Angreifer nutzen auch aus, dass Server-Systeme von Unternehmen mittels umkonfigurierter Proxy-Settings plötzlich mit dem Internet verbunden sind. Hat der Angreifer erst einmal Back-Channels aufgebaut, dann kann er quasi die bestehende Netzwerkinfrastruktur unbemerkt benutzen. Mit steigender Vernetzung ist auch mit einer Zunahme von Angriffen zu rechnen.»intelligente Schadsoftware«, entwickelt für ganz bestimmte ICT-Umgebungen und Zielpersonen, wird zum individuellen Hackerwerkzeug. Fünf Hauptversäumnisse machen Cyber-Security-Attacken überhaupt erst möglich: Sicherheitseinrichtungen im Unternehmen sind nicht ausreichend dynamisch an neue Angriffsmethoden angepasst. Es fehlt eine Gesamtsicht, um vorhandene, sicherheitsrelevante Informationen zusammenzuführen. Der ausschließliche Blick auf das Kerngeschäft lässt Datenschutz und ICT-Sicherheit in den Hintergrund rücken. Die Umsetzung bestehender Sicherheitsvorgaben nach dem Prinzip»Technik folgt der Policy«ist unvollständig. Die Ausnahmeregelungen für das Top-Management sind unsicher. Alle Stärken bündeln Wer also Schaden von seiner Informations- und Kommunikationstechnologie abwenden möchte, der muss wie ein Angreifer denken und handeln. Nichts offenbart Systemschwachstellen schneller und zuverlässiger als ein regelmäßiger Wechsel der Perspektive. Dabei ist die dargestellte Bedrohungslage längst keine Science-Fiction mehr. Die Häufigkeit der Angriffe auf Applikationsebene steigt exponentiell und Hacker nutzen Schwachstellen in so genannten»zero day attacks«immer schneller aus. Meist getrieben von wirtschaftlichen Interessen. Schadsoftware geht verstärkt dazu über, Hintertüren in ICT-Systeme einzubauen. Durch kriminelle Sekundäraktivitäten entstehen in der eigentlichen Angriffsphase oft hohe finanzielle Schäden. Und vermehrt sind Botnetze die Erfüllungsgehilfen bei Attacken und der Verbreitung von Malware. Sie dienen den Angreifern dazu, ihre Herkunft zu verschleiern. Viele Firmen verfügen weder über das notwendige technische Know-how noch über die personellen Ressourcen, um ihre Netzwerke und ICT-Ressourcen Tag und Nacht von Grund auf zu durchleuchten. Vielfach bemerken sie Angriffe

7 7 und Datendiebstähle gleichermaßen von innen wie von außen gar nicht. Und falls doch, fehlen effiziente Notfallpläne und ausreichend geschulte Sicherheitsexperten. Viele Unternehmen konzentrieren sich stark auf Perimeter- Sicherheit und haben (zu) wenig Kontrolle innerhalb ihrer IT. Dieses latent gefühlte Sicherheitsdefizit erklärt die anhaltend kräftigen Investitionen in Firewalls, Virenscanner, Intrusion- Prevention-Systeme und neuerdings immer häufiger Unified-Threat-Management-Appliances. In der Hoffnung, dass starke Außengrenzen schützen, entstehen immer dickere Komponentenwälle. Richtig konfiguriert, leistet jede Technologie punktuell einen guten Job. Bedarfsgerechter Schutz

8 8 entsteht aber nur, wenn die einzelnen Bausteine optimal verteilt sind, intelligent zusammenarbeiten und die wirklich sicherheitsrelevanten Vorfälle automatisch aus dem Information-Overload herauskristallisieren. Dann wird aus Informationen Wissen und damit die beste Verteidigungsgrundlage. Gerade bei den immer komplexeren APT-Angriffsmethoden ist dies erfolgskritisch. Echtzeitsicht auf die Sicherheitsereignisse Frühwarnung ist also nicht nur bei der Klimaforschung wichtig. Damit ein Security-Officer rechtzeitig geeignete Maßnahmen ergreifen kann, muss er einen detaillierten Überblick über die aktuelle Bedrohungslage haben. Leistungsstarke Security-Information-and-Event-Management-Systeme, kurz SIEM, helfen dabei, der immensen Datenflut Herr zu werden. Sie verarbeiten eine Vielzahl von Ereignissen, die verschiedene Security-Komponenten melden, und führen alle Sicherheits-Informationen aus dem IT-Betrieb zusammen. Echtzeitforensik, künstliche Intelligenz und modernste Data-Mining-Techniken strukturieren und korrelieren die Daten und machen kausale Zusammenhänge sichtbar. Wie in einem Puzzle fügt SIEM automatisiert und ohne menschliches Eingreifen Stück für Stück zu einem Gesamtbild zusammen und liefert aussagekräftige Reports, die die Grundlage für vorbeugende Maßnahmen und wirksame Gegenschritte bilden. Priorisierte Sicherheitsmeldungen unter bestmöglichem Ausschluss von»false positives«ermöglichen ein gezieltes Handeln am Brandherd. SIEM ist somit Ein SIEM führt alle Sicherheitsinformationen aus dem IT-Betrieb zusammen. ein wichtiger Service für jedes größere Firmennetzwerk, insbesondere vor dem Hintergrund, dass Informations- und Kommunikationsservices zunehmend zu integrierten Lösungen verschmelzen. SIEM verbessert die Security-Incident- Response-Möglichkeiten und verarbeitet quasi in Echtzeit Daten von Security-Devices, Network-Devices und sonstigen ICT-Systemen um ein leistungsfähiges Real-Time- Event-Management zu etablieren. Security-Operation-Center (SOC) von ICT-Dienstleistern wie T-Systems überwachen auf Basis dieser Technologie sämtliche Systeme und Netzwerkkomponenten, die in einer unternehmensweiten Infrastruktur zum Einsatz kommen. Rund um die Uhr suchen sie nach auffälligen Abweichungen. Das können beispielsweise digitale Spuren sein, die bei Identitätsdiebstählen und bei Industriespionage zurück bleiben. Genauso aber Langzeitattacken, mit denen Angreifer oftmals versuchen, an Unternehmensinformationen zu gelangen, die ihnen eigentlich verschlossen bleiben sollen. Eine zentrale Lagestelle unterstützt die Aktivitäten des CERT im Notfall.

9 9 Einbettung in die Business-Prozesse Entwicklung, Produktion, Vertrieb und Administration im Backoffice sind heute zwingend auf kontinuierlich funktionierende ICT-Systeme angewiesen. SIEM fügt den sicherheitsrelevanten Meldungen aus allen Bereichen Verwundbarkeits-Informationen hinzu und bewertet sie direkt in Hinblick auf die möglicherweise betroffenen Abläufe im Unternehmen. Die Datenkorrelation ist sozusagen dreidimensional und vermittelt ein Gespür für den Grad der Bedrohung. Diese Verschränkung zwischen Security-Architektur und Geschäftsprozessen ist nicht nur vor dem Hintergrund international verschärfter Compliance-Anforderungen immer notwendiger, sondern dient auch dazu, das Gefahrenpotenzial von Bedrohungen realistisch einzuschätzen. Der Bedarf an Threat-Monitoring und Incident-Response wird in Zukunft weiter stark zunehmen. Soll Gefahr erkannt auch Gefahr gebannt heißen, müssen Sicherheits-Administratoren nachweislich betroffene ICT-Systeme so isolieren, dass keine SLA-Verletzungen auftreten und keine Kollateralschäden entstehen. Je größer der Verbund ist, desto anspruchsvoller ist diese Aufgabe vor allem, wenn die normale Kommunikation weiterlaufen, die schadhafte aber unterbunden werden soll. Technisch bewährt haben sich modulare Security-Services mit einem Cross-Device-and-Cross-Vendor-Ansatz als inhärenter Bestandteil bereitgestellter Business-Lösungen. Neben dem rein hardwarebasierten Ansatz gewinnen daher insbesondere innovative, softwarebasierte und bedarfsgerechte Sicherheitslösungen an Bedeutung. Eines haben die komplexen Angriffe auf Unternehmen in diesem Jahr bereits gezeigt: Wer bei der Prävention morgen noch zur Avantgarde gehören will muss an vorderster technologischer Front forschen und lernfähige sowie zukunftssichere Security-Services entwickeln, um gegen die Angriffe von morgen gewappnet zu sein. K Dipl.-Ing. René Reutter CISSP, T-Systems Abteilungsleiter Seamless ICT Security Infrastructure & Management

10 Impressum Security Advisor epublication Eine Publikation der Mitteilung gemäß bayerischem Pressegesetz Verantwortlich für den redaktionellen Teil: Davor Kolaric, Alte Münchner Straße 12, Wielenbach, Tel: , Verantwortlich für Anzeigen: Davor Kolaric, Adresse wie oben Schlussredaktion: Dirk Glogau Layout / Satz: Uwe Klenner, Layout und Gestaltung, Passau, Rittsteiger Str. 104, info@layout-und-gestaltung.de Besitzverhältnisse: Alte Münchner Straße 12, Wielenbach Alleingesellschafter: Davor Kolaric Urheberrecht: Alle in diesem Heft erschienenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen und Zweitverwertung, vorbehalten. Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Verlags. Aus der Veröffentlichung darf nicht geschlossen werden, dass die beschriebenen Lösungen oder Bezeichnungen frei von gewerblichen Schutzrechten sind. Haftungshinweis: Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für die Inhalte externer Links. Für den Inhalt verlinkter Seiten sind ausschließlich deren Betreiber verantwortlich.