Cyber Security – gestern und heute
«Früher war alles besser.» Dieser Aussage begegnet man immer wieder. Stimmt sie auch für die technische Cyber Security? Wie war es früher, was kommt auf uns zu und wie begegnen wir der Zukunft? Eine kleine Zeitreise.
«Früher war alles besser.» Dieser Aussage begegnet man immer wieder. Stimmt sie auch für die technische Cyber Security? Wie war es früher, was kommt auf uns zu und wie begegnen wir der Zukunft? Eine kleine Zeitreise.
Quelle: Netzwoche 17 / 2017, 01.11.2017
Die erste «Generation» von Firewalls – wenn der Name hier schon gebraucht werden darf – waren simple Paketfilter. Paketfilter schauen sich die einzelnen Pakete genau an und entscheiden, basierend auf einem Regelwerk, ob das Paket weitergeleitet werden darf oder eben nicht. Das Regelwerk musste für beide Richtungen die korrekten Einstellungen haben. In den meisten Fällen wurden hier die Portnummern – User Datagram Protocol (UDP) oder Transmission Control Protocol (TCP) – als Referenz genommen. Portnummern über 1024 galten damals noch als Quell-Ports und darunter waren die Services wie etwa HTTP auf Port 80/tcp. So konnte, zumindest für UDP, die Verbindung fast erkannt werden.
Ende der Neunzigerjahre kamen die Stateful Firewalls auf. Es war nun möglich, einen Regelsatz für eine Firewall zu kreieren, in dem nur der Verbindungsaufbau relevant war. Die Antwortpakete erkannte die Firewall selbstständig.Die Firewall hielt sich dabei an die Spezifikationen der Layer-4-Protokolle (TCP, UDP).
Früher wurden also hauptsächlich spezifische Dienste zugelassen beziehungsweise die restlichen Dienste geblockt. Heute ist es kaum mehr möglich, Dienste an ihrem TCP-Port zu erkennen. Tunneling oder Multiplexing via HTTPS ist heute für alle Dienste möglich. Der HTTPS-Port (443/tcp) wird beispielsweise auch für das E-Banking benötigt, aber natürlich auch für alle anderen Protokolle, die darüber getunnelt werden. Demzufolge muss die Firewall die Applikation auf OSI-Layer 7 verstehen, um entscheiden zu können, ob der Traffic nun zugelassen oder verhindert werden soll.
Der Beginn von Viren und Antiviren-Software und die heutige Realität
In den Neunzigern gab es verschiedene Viren (Malware), aber den «Durchbruch» schaffte «ILOVEYOU». Versteckt als Visualbasic-SkriptIn den Neunzigern gab es verschiedene Viren (Malware), aber den «Durchbruch» schaffte «ILOVEYOU». Versteckt als Visualbasic-Skript «LOVE-LETTER-FOR-YOU.txt.vbs» verbreitete er sich selbstständig und wurde dadurch als Wurm klassifiziert. Die Funktion der Malware war das Infizieren (und Zerstören) von Dateien auf dem Computer des Nutzers.
Antiviren-Hersteller erfuhren einen grossen Boom – jeder wollte seinen Computer schützen. Erkannt wurden die Viren durch ihre Signatur, quasi eine Funktion oder einen Hashwert. Diese Erkennung konnte umgangen werden, wenn die Virenprogrammierer ihren Quellcode anpassten oder diesen zur Laufzeit ändern liessen (polymorphische oder metamorphische Malware). Demzufolge wuchsen die Signaturdatenbanken der Antivirenhersteller äusserst schnell.
Die Zukunft birgt unbekannte Bedrohungen. Aber auch noch nicht bekannte Lösungen.
Durch die Komplexität von Malware ist es einer signaturbasierten Malware-Erkennung kaum mehr möglich, gezielte Angriffe zu erkennen. Heute greifen wir zusätzlich auf heuristische und verhaltensbasierte Methoden zurück, bei der die Antimalware-Lösung versucht zu erkennen, was die Software tun will. Wird ein bösartiges Verhalten festgestellt, wird die Software daran gehindert, die Aktion durchzuführen.
War es nun früher besser? Und was bringt die Zukunft?
Früher tummelten sich wenige Nutzer im Internet. Statistisch gesehen gab es natürlich auch weniger Angreifer. Aber auch die Möglichkeiten im Internet waren früher bescheidener. Heute kann man via Internet sein Licht zuhause steuern und gleichzeitig einen neuen Film online schauen. Dies wäre in den Neunzigerjahren – schon wegen der mangelnden Bandbreite – nicht möglich gewesen.
Das Rennen zwischen Gut und Böse – Cyber-Spezialisten gegen Hacker – wird nie enden. Es ist eine stete Aufholjagd – auf allen Ebenen. Automatisierung hat beiden Seiten zu ungeahnten Möglichkeiten verholfen. Wo Technologien wie Virtualisierung und Containerization (Docker) agile Infrastrukturen für Unternehmen bieten, gilt dasselbe auch für die Angreifer. Schauen wir uns zwei aktuelle Themen an: Cloud und Mobile Computing.
Cloud – Respekt ist geboten
«The cloud is just someone else’s computer» (Quelle unbekannt), bringt es auf den Punkt. Klar, gibt es mit der Cloud die Möglichkeit, besser auf Engpässe reagieren zu können, da in der Cloud fast unbegrenzt Ressourcen zur Verfügung stehen. Trotzdem gilt es genau abzuklären, in welche Cloud man migrieren möchte. Ich kann mir vorstellen, dass künftig noch mehr aus der Cloud bezogen werden wird. Wir haben permanenten, schnellen Internetzugang zu Fixkosten und merken nicht einmal mehr, wenn sich selbstständig und wurde dadurch als etwas aus der Cloud kommt.
Sicherheitstechnisch sind die Angriffspunkte natürlich wesentlich grösser. Wird der Zugangsschlüssel zur Cloud «gestohlen», sind auch die Daten in der Cloud gestohlen. Cloud- Anbieter jedoch sind sich ihrer Rolle meistens
bewusst und überwachen ihre Cloud sehr genau – ich behaupte, wesentlich besser als manch ein KMU seine eigene IT-Infrastruktur. Angst zu haben vor der Cloud wäre falsch – aber den nötigen Respekt sollten wir ihr durchaus zollen.
Mobile Computing – auf die Verwaltung kommt es an
Ausser der Cloud ist auch Mobile Computing ein grosses Thema. Schon jetzt sind Unternehmensdaten auf Smartphones, Tablets und Privat-PCs verteilt – ein Graus für jeden Sicherheitsverantwortlichen. Aber die Nutzung der Daten von überallher, speziell im Zusammenhang mit der Cloud, ist gewünscht und bringt natürlich auch Vorteile. Die aktuelle Lösung ist die Integration der Geräte in ein Enterprise Mobile Management (EMM) zur sicheren Verwaltung.
Vielleicht verwalten wir in Zukunft keine mehr Geräte, sondern lediglich noch Informationen und den Zugang dazu. Die Geräte sind noch da, um die Informationen anzuzeigen und zu speichern – aber die eigentliche Essenz ist die Information selbst. Und diese muss geschützt werden.
Der Zukunft begegnen
Die Zukunft birgt unbekannte Bedrohungen. Aber auch noch nicht bekannte Lösungen. Eine wichtige Säule der Sicherheit ist deshalb die Ausbildung. Auf der einen Seite ist es die Ausbildung der ITFachkräfte bezüglich IT-Sicherheit und sicherem Programmieren; auf der anderen Seite ist es die Sensibilisierung der Mitarbeitenden in Bezug auf IT-Security-Themen.
Es ist schwierig, unbekannten Bedrohungen entgegenzukommen. Die Kunst, unbekannte Angriffe festzustellen, ist heute und wird auch künftig gefragt sein. Die Key-Technologie dahinter sind das Logging und das Korrelieren der Logdaten. Bei genauem Hinschauen können Angriffe auf diese Weise recht gut und frühzeitig erkannt und abgewehrt werden. Die Korrelation von IT-Security und Big Data wird in Zukunft höchstwahrscheinlich also eine noch wichtigere Rolle spielen.
Ein Aber zum Schluss: Solange es diesen einen Benutzer gibt, der stets auf alles klickt, was ihm über den Bildschirm flattert, haben auch die ausgereiftesten IT-Security-Lösungen Schwierigkeiten, einen Schaden zu verhindern. Das A und O einer sicheren Zukunft ist daher die Ausbildung und Sensibilisierung der Mitarbeitenden.