Warum die Inspektion von verschlüsseltem Datenverkehr unverzichtbar ist

0
363

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Auch was Sie nicht sehen, kann Ihnen schaden

Nachdem der COVID-19-Lockdown allmählich hinter uns liegt, verzeichnen wir plötzlich eine Flut bösartiger Ransomware-Angriffe, mit denen aus reiner Geldgier viele Sektoren lahmgelegt werden sollen. Zu den betroffenen Unternehmen gehörten Colonial Pipeline, JBS und CNA Financial. Warum? Weil sich Verbrechen auszahlt. Noch bedrohlicher sind die Angriffe, die nicht in die Schlagzeilen geraten – weil sie von Benutzern innerhalb des Unternehmens verübt werden.

Derselbe Verschlüsselungsmechanismus mit einem öffentlichen Key für sichere Kommunikation – Transport Level Security (TLS) bzw. Secure Sockets Layer (SSL) – kann auch von bösartigen Benutzern oder Programmen zum Zugriff auf sensible Informationen verwendet werden.

Ursprünglich wurden Botnets für DDoS-Angriffe eingesetzt. Nun missbrauchen manche Formen von Befehls- und Kontroll-Malware auch die Ressourcen infizierter Maschinen, um Lösegelder und Gewinn zu erwirtschaften (Ransomware und Krypto-Mining). Dies hat erhebliche Auswirkungen auf die Leistungsfähigkeit eines Unternehmens, treibt die Betriebskosten in die Höhe und beschleunigt die Abnutzung der beschlagnahmten Maschinen. Darüber hinaus helfen diese Angriffe beim künftigen Einschleusen weiterer Malware. 

Malware gefährdet in der Regel die Verfügbarkeit, Integrität und Sicherheit eines Netzwerks.

Wie wir in letzter Zeit beobachten konnten, beeinträchtigen Ransomware-Angriffe nicht nur unternehmenskritische Abläufe, sondern führen häufig auch zu Datendiebstahl und Hijacking.

Nachdem die Malware aktiviert wurde, kann sie eine verschlüsselte Sitzung mit einem externen Server eröffnen. Für eine sichere Kommunikation mit dem externen Server benötigt die Malware nur dessen öffentlichen Key. Weil das Unternehmen des Absenders (ein Benutzer oder Malware-Programm) nicht über den privaten Schlüssel für diese verschlüsselte Kommunikation verfügt, kann es diese Sitzung nicht entschlüsseln und die ausgehenden Informationen somit nicht überprüfen.

Je mehr Datenverkehr wir verschlüsseln, desto mehr Kopfzerbrechen wird dieses Problem bereiten. Erste Cyberangriffe dieser Art gegen Unternehmen werden bereits durchgeführt, um daraus Profit zu schlagen oder Zugriff auf wertvolle vertrauliche Daten zu erlangen.

Viele Lösungen zur Datenverkehrsinspektion, wie z. B. Data Leakage Prevention (DLP), Intrusion-Prevention-Systeme (IPS) und Firewalls, sind nicht in der Lage, ausgehenden Datenverkehr zu entschlüsseln und erkennen daher keine Cyberbedrohungen, die innerhalb des Unternehmens in Richtung externe Server eingeleitet werden. Und sollte diese Entschlüsselung doch möglich sein, geht sie mit einem starken Anstieg des Kosten-Nutzen-Verhältnisses einher, sodass diese Systeme schlecht skalierbar und somit unwirtschaftlich sind.

Une image contenant texte, extérieur

Description générée automatiquement

Inspektion und Transparenz zur nötigen „Desinfektion“

Eine Schlüsselrolle bei der Abwehr derartiger Angriffe spielt die Inspektion des SSL-Datenverkehrs. Aber wie genau funktioniert diese SSL-Inspektion?

SSL-Inspektionssysteme profitieren von der Tatsache, dass eine Sicherheit zwischen zwei Endpunkten anstatt einer End-to-End-Sicherheit besteht. Die manchmal auch als legitimes Man-in-the-Middle (MiTM) bezeichnete SSL-Inspektion sorgt dafür, dass ein- und ausgehende SSL-Sitzungen des Unternehmens abgefangen und entschlüsselt werden. SSL-Inspektionslösungen geben sich für den externen Server aus, den interne Benutzer oder Programme ansteuern, wenn sie eine sichere Kommunikation mit externen Servern einleiten. Die empfangenden Server erhalten den Eindruck, dass es sich beim SSL-Inspektionssystem um den Benutzer oder das Malware-Programm handelt, von dem die Kommunikation ausgeht.

Zur leichteren Implementierung können SSL-Inspektionslösungen sowohl transparente Inspektion bieten, ohne das Netzwerk umzugestalten, als auch einen expliziten Proxy bereitstellen, damit alle Benutzer über einen vordefinierten SSL-Proxy mit Konfiguration im Benutzer-Browser kommunizieren müssen.

Anschließend wird der entschlüsselte Datenverkehr an eine Lösung für Content-Inspektion geleitet, wie z. B. Firewalls, Anti-Malware-Programme oder Data Leakage Protection-Systeme, die bereits im Unternehmen vorhanden sind, um eine Überprüfung anhand der Sicherheitsrichtlinien vorzunehmen. Sitzungen, die diese Sicherheitsinspektion bestehen, werden von der SSL-Inspektionslösung erneut verschlüsselt und an den Zielserver übermittelt.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

Aus Effizienzgründen kann bestimmter Datenverkehr unberührt bleiben, wenn eine bestimmte Website im Unternehmen als vertrauenswürdig gilt oder wenn die Privatsphäre von Mitarbeitern betroffen ist (Online-Banking, Gesundheitswesen). Anderer Datenverkehr kann zur Steigerung der Produktivität blockiert werden, z. B. Online-Gaming oder bekannte Malware-Server.

Weil SSL-Entschlüsselung und erneute Verschlüsselung hohe Rechenkapazitäten erfordern und die Latenz beeinträchtigen können, sollten Sie Best Practices wie Hardware-Beschleunigung anwenden, falls Sie viele Benutzer und verschlüsselten Datenverkehr haben. Gehen Sie bei der Entschlüsselung selektiv vor, indem Sie Filter und Whitelists nutzen, um die Entschlüsselung für vertrauenswürdige Websites zu vermeiden. Wählen Sie außerdem Lösungen, die zur Skalierung weniger Geräte erfordern und kosteneffektiv sind.

Durch die Entschlüsselung, Inspektion und Transparenz des Netzwerkverkehrs mithilfe einer SSL-Inspektionslösung erkennen Sie Warnsignale, die auf Malware hinweisen. Darüber hinaus können Sie Ihr Unternehmen mit einer Reihe von Best Practices vor Malware-Bedrohungen schützen. Dazu gehören das Minimalprinzip bei Berechtigungen („Least Privilege“), Multi-Faktor-Authentifizierung, die Verhinderung von Web-Malware-Injections mithilfe von Web Application Firewalls, der Schutz des Netzwerkperimeters vor Denial-of-Service-Angriffen und die Schulung der Mitarbeiter in Sachen Cybersicherheit.

[Das könnte Sie auch interessieren: How to Respond to a DDoS Ransom Note]

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here