Die IT-Security muss offensiv betrachtet werden – Interview mit Mathias Gut

Zurzeit sind offensiv denkende Sicherheitsspezialisten gefragter denn je. In unserer Kursreihe IT-Sicherheitsverantwortlicher – Security Professional werden aktuelle offensive Angriffstechniken und wirksame Sicherheitsmassnahmen eingehend besprochen. Gerade deshalb ist der Tageskurs Hacking-Grundlagen integraler Bestandteil der Kursreihe. Die Teilnehmer lernen so die Vorgehensweisen und Techniken, die aktuell von kriminellen Hackern genutzt werden, besser zu verstehen. Nur so wird das Sicherheitskonzept auf die effektiven Bedrohungen ausgerichtet.

Unser Product Manager Markus Broder sprach mit Mathias Gut, dem Initiator und Trainer der Kursreihe «IT-Sicherheitsverantwortlichen – Security Professional», über die Wichtigkeit offensiver Denkweisen in der IT-Security.

Markus Broder: Warum sollte gerade die offensive Denkweise im IT- Sicherheitsbereich trainiert werden?

Mathias Gut: Weil aus meiner Sicht nur so die defensiven Sicherheitsmassnahmen entsprechend der effektiven Bedrohungen, die von Cyberkriminellen ausgehen, auf ihre Wirksamkeit hin beurteilt werden können. So werden bereits bei der Konzeption Sicherheitsmassnahmen implementiert, die durch ihre ausgewiesene Wirksamkeit auch wirtschaftlich betrachtet einen hohen Nutzen schaffen.

Halten denn bewährte Massnahmen wie professionelle Antivirensoftware und Firewall Systeme nicht mehr, was sie versprechen?

Dies ist genau die richtige Frage und die Antwort darauf kann eben nur die offensive Betrachtung der eingesetzten Massnahmen unter Einsatz von aktuellen Hackingtechniken liefern. Im Fachjargon wird hier auch von Penetrationtesting oder eben Ethical Hacking gesprochen.

Was verstehst du unter einer offensiven Betrachtungsweise?

Grundsätzlich gibt es in meiner Arbeit als Sicherheitsexperte immer zwei wichtige Fragen. Erstens, welche Abwehrmassnahmen werden genau eingesetzt und zweitens, wie verhalten sich diese unter offensiven Betrachtungsweisen. Nehmen wir als Beispiel die erwähnte Antivirensoftware. Da interessiert mich zunächst, ob überhaupt geeignete Abwehrmechanismen für aktuell genutzte Malwareformen in der Software implementiert sind. Danach betrachte ich die Wirksamkeit dieser Abwehrmechanismen unter Verwendung eigener simulierter Marlwareangriffe. Mit der offensiven Betrachtung kann ich die effektive Wirksamkeit der vom Kunden verwendeten Antivirenlösungen einschätzen.

Kannst du mir hier ein konkretes Beispiel nennen?

Viele Antivirenprogramme sind heute leider nicht in der Lage, aktuell modifizierte Malware mit bewährten Methoden zuverlässig zu erkennen. Damit die Malware nicht vom Virenwächter erkannt wird, werden Antiviren-Evasion-Techniken eingesetzt. Der Schadcode wird z.B. laufend so modifiziert, dass ihn die Antivirensignaturen nicht mehr erkennen können. Eine moderne Schadsoftware verhält sich bei der Ausführung normal und damit natürlich äusserst unauffällig. Um der Erkennung möglichst zu entgehen, wird zusätzlich benötigter Schadcode direkt in den flüchtigen Arbeitsspeicher nachgeladen. So wird kein zusätzlicher Schadcode auf der Festplatte abgelegt. Dadurch ist bei einem vollständigen Virenscan nur das unauffällige Startprogramm auf dem Computer abgespeichert und wird dementsprechend vielfach nicht als Schadcode erkannt. Für die Kommunikation mit der Steuerungseinheit des kriminellen Hackers werden meist konforme Internetverbindungen eingesetzt. Wird die Kommunikation dabei noch zusätzlich verschlüsselt, ist die Erkennung auch durch netzbasierte Intrusion Prevention Systeme, wie diese vielfach auf modernen UTM-Firewalls eingesetzt werden, nur sehr schwer zu bewerkstelligen. All diese Tatsachen sind äusserst brisant. Denn diese Techniken in aktuellen Malware-Kits (Crimeware) sind ein zentraler Bestandteil für den Erfolg von Malware-Kampagnen durch Cyberkriminelle.

Wie sehen aktuelle Bedrohungen durch Schadsoftware aus?

Ich möchte mich bei der Beantwortung dieser Frage auf die Bedrohungen beschränken, die beim Endpunkt, also beim direkt genutzten Computersystem bestehen. Dabei hat der Endpunkt als Hauptziel für Cyberkriminelle eine besondere Bedeutung. Grundsätzlich besteht die grösste Gefahr in der enormen Menge der täglich in Umlauf gebrachten Malwarevarianten. Ein weiterer Punkt ist natürlich die Unachtsamkeit der Nutzer. Es wird in der Fachpresse von mehr als 300’000 neuen Malwarevarianten pro Tag gesprochen. Entsprechend wird die erfolgreiche Erkennung aller täglich neu auftauchenden Varianten äusserst komplex. Ich erachte es daher als sinnvoller, die Problematik im Kern zu lösen.

Wie sehen solche konkreten Lösungsansätze zur Abwehr von Schadsoftware genau aus?

Dazu muss ich unser Betrachtungsfeld noch um zwei grundlegend verschiedene Angriffsformen erweitern. Erstens gibt es Schadcode, der zum erfolgreichen Angriff Schwachstellen in bekannten Programmen ausnutzt. Zweitens gibt es Schadsoftware, die ohne Schwachstellen als rein ausführbare Datei zum Einsatz kommt, zum Beispiel als EXE. Daher stehen bei einer offensiven Betrachtung verschiedene Abwehrmassnahmen im Fokus.

Um Schadsoftware zu bekämpfen, versprechen aus meiner Sicht zwei Lösungsansätze eine hohe Erfolgschance. Erstens müssen Exploits aktiv an der Schwachstellenausnutzung gehindert werden. Dies kann einerseits durch zeitnahes Installieren der nötigen Updates, andererseits durch den Einsatz eines spezialisierten Exploitschutzes erreicht werden. Zweitens steht der Gedanke des expliziten Whitelisting im Zentrum der Sicherheitsbetrachtung. Gut sind dabei nur noch Anwendungen, die als gutartig gekennzeichnet werden. Dies kann durch manuelles Hinzufügen bekannter Software zur Whitelist, aber auch automatisch durch Kontrolle von Codesignaturen, Reputationslösungen und streng vorgegebenen Installationsquellen erfolgen. Alle anderen Anwendungen sind durch das System zunächst generell als böse zu betrachten und können weder installiert noch in irgendeiner Form ausgeführt werden. So kann sich eine per Mail-Anhang gesandte Malware nicht mehr aktivieren, selbst wenn der Nutzer den Anhang bewusst ausführt. Diesen Ansatz kennen viele im täglichen Leben bereits von verschiedenen Smartphone- und Tablet-Herstellern, die installierbare Anwendungen auf die offiziellen Installationsquellen einschränken.

Diese beiden Ansätze reichen bereits aus, um sich vor Cyberkriminellen zu schützen?

Nein natürlich nicht. Es gibt ja nicht nur Schadsoftware-Bedrohungen. Zudem kann ich mir offensive Szenarien vorstellen, die auch die oben genannten Whitelisting-Methoden umgehen. Der Aufwand steigt allerdings auf der Seite der Angreifer entsprechend an. So können Massnahmen auch als Hürden bezeichnet werden, die möglichst hoch angesetzt werden sollten, damit der Angreifer viel Zeit und Geld zur Überwindung einsetzen muss. In einem sauberen Sicherheitskonzept sollten die gewählten Sicherheitsmassnahmen ganzheitlich und nach dem «Defense in depth»-Ansatz umgesetzt werden. Zusätzlich werden durch die offensive Betrachtungsweise die zur Verfügung stehenden, meist begrenzten finanziellen Mittel zielgerichtet eingesetzt. Beispielsweise erreichen gerade Awareness-Schulungen gute Sicherheitsresultate. Hier besteht immer noch ein riesiges Potenzial. Als konkrete Lösung für die sogenannte Security-Awareness hat Digicomp den Kurs IT-Sicherheit am Firmen-PC-Arbeitsplatz im Angebot. Allerdings ist es eben auch menschlich, Fehler zu machen, selbst wenn gut geschult wird. Daher setze ich bei offensiver Betrachtung zum Schutz vor Schadsoftware-Angriffen priorisiert den oben erwähnten Ansatz mit erweitertem Exploitschutz und Applikations-Whitelisting ein.

Wie profitieren Teilnehmende deiner Kursreihe «IT Security in der Praxis» von diesen Erkenntnissen?

Alle meine offensiven Erkenntnisse aus Nachforschungen, eigenen Sicherheitstests und vor allem aus realen Praxisprojekten fliessen fortlaufend in die Kursreihe ein. Es ist mir besonders wichtig, dass wir den Cyberkriminellen gut ausgebildetes IT-Sicherheitspersonal entgegensetzen. Dieses soll mit gleichem Einfallsreichtum und offensiver Denkweise ausgeklügelte Sicherheitslösungen entwickeln und dadurch das Eindringen in unsere wertvollen digitalen Netze verhindern. Ich und viele weitere meiner Berufskollegen setzen sich täglich dafür ein, unsere digitale Welt sicherer zu machen. Diese wichtigen Werte und die Aussicht auf eine wirklich spannende Tätigkeit sollen Ansporn für Teilnehmende der Kursreihe zum «IT-Sicherheitsverantwortlichen – Security Professional» bei Digicomp sein.

Herzlichen Dank, Mathias, für dieses Interview!