3 Okt 2012
Warum weigern wir uns, alles zu verweigern?
In nur ungefähr zwölf Jahren haben sich die Aktivitäten des Computer- Untergrundes von einer Jugendlaune und rowdyhaften Spieltriebes (Spaß für die Täter, nicht für die Opfer) in weltweit organisierte Cybergangs und staatlich geförderte advanced persistent threat-Anschläge auf Infrastrukturen von kritischer Wichtigkeit umgewandelt. Das ist eine ganz schöne Verwandlung.
Damals zum Zeitalter der Rowdies versuchten die Cyberkriminellen aus verschiedenen Gründen so viele Computer wie möglich zu infizieren und traditionelle Antivirus Software wurde eben als Schutz vor solchen Massenangriffen konzipiert (und hat diese Aufgabe auch recht gut ausgeführt). Heutzutage sind die neuen Bedrohungen ganz anderer Natur. Der Cyber-Abschaum kennt die Anti-Malware in- und auswendig und versucht daher, so unauffällig wie möglich zu verfahren und genau geplante Ziele anzugreifen. Dies erscheint recht logisch, wenn man darüber nachdenkt, welche wirtschaftlichen Interessen sie verfolgen.
Wir können also feststellen, dass die Strukturen des Untergrundes sich verändert haben; die Sicherheitssysteme sind leider die Selben geblieben: die meißten Unternehmen benutzen immer noch Technologien, die für Massenepidemien konzipiert wurden – d.h einen längst überholten Schutz – um gegen die modernen Bedrohungen anzugehen. Insofern nehmen die Unternehmen gegenüber der Malware eine bloße Abwehrhaltung ein, durch welche die Angreifer immer einen Schritt voraus sind. Heutzutage werden wir immer häufiger mit unbekannten Bedrohungen konfrontiert, für die noch keine Dateien oder Erkennungsmerkmale erfunden wurden und die dadurch oft von der Antivirus Sofware einfach nicht erkannt werden. Gleichzeitig testet der zeitgenössische Cyper-Schleim (ich erwähne nicht einmal den militärischen Cyper-Dreck) akribisch, wie gut ihre bösartigen Programme darin sind, sich vor dem Antivirus-Programm zu verstecken. Nich gut. Ganz übel.
Eine solche Situation wird erst dann richtig paradox, wenn du herausfindest, dass in der heutige Stand der Sicherheitsindustrie bereits genug alternative Ideen in Produkten eingebaut sind- Ideen die es mit solche Bedrohungen aufnehmen können.
Heute möchte ich über eine solche Idee sprechen…
In der Computer-Sicherheitstechnik gibt es heute zwei mögliche standardmäßige Einstellungen, welche eine Firma für die eigene Sicherheit annehmen kann: Erstens die Möglichkeit den „Zugriff zu zulassen“ – bei der alles (jegliche Art von Sofware), die nicht ausdrücklich verboten ist für die Installierung auf dem Computer zugelassen wird; oder aber die Möglichkeit den „Zugriff zu verweigern“, bei der alles, was nicht ausdrücklich erlaub ist, verboten wird ( was ich in diesem Post kurz anspreche).
Wie Sie vielleicht erraten können, sieht man anhand dieser zwei Sicherheitseinstellung die gegenseitige Positionen von Benutzerfreundlichkeit undSicherheit. Wird der Zugriff zugelassen, erhalten alle Anwendungen einen Freibrief um an dem Computer und/oder Netzwerk zu tun, worauf sie Lust haben und die Antiviren Programme gleichen dem holländischen Jungen, welcher der Legende nach den Deich überwachen sollte und falls dieser bricht, hysterisch seine Finger in die Löcher (Löcher in allen Größen (ernsthaft), die regelmäßig auftreten) steckt, um diese zu stopfen.
Mit der Standardeinstellung, „den Zugriff verweigern“, passiert genau das Gegenteil-Anwendungen werden standardmäßig abgelehnt, wenn sie nicht in der Liste der vertrauenswürdigen Software des jeweiligen Unternehmens stehen. Keine Löcher im Deich – aber eben von Vorne herein auch nicht genug Wasser, das durch den Deich fließen könnte.
Neben der unbekannter Malware, die auftauchten kann , haben Unternehmen (insbesondere deren IT Abteilungen) viele andere Probleme mit der Standardeinstellung des „Zugriffes zulassen„. Ersen: Installierung von unnützlicher Software und Dienstleistungsprogrammen (Spiele, Kommunikationsprogramme, P2P-Kunden … – deren Zahl von der jeweiligen Fimenpolitik abhängt); zweitens: Installierung von nicht überprüfter und daher potenziell gefährlicher (anfälliger) Software, über welche die Cyber-Schurken sich einen Weg in das Firmennetzwerk bahnen können, und drittens: installierung von Programmen für eine ferngesteuerten Verwaltung, welche ohne die Erlaubnis des Nutzers denZugriff auf einen Computer zulassen.
Die Antwort auf die ersten beiden Fragen ist recht deutlich. Die Antwort auf die dritte Frage werde ich Ihnen anhand einer meiner EK Tech-Erklärungen erläutern.
Vor nicht allzulanger Zeit haben wir eine Befragung von Unternehmen durchgeführt, bei der es darum ging, „wie Mitarbeiter die IT-Sicherheitsregeln durch die Installierung von nicht autorisierten Anwendungen verletzen.“ Die Ergebnisse haben wir in dem folgenden Tortendiagramm angegeben. Wie Sie sehen können, entsteht die Hälfte der Verletzungen durch Fern-Verwaltung. Damit sind Mitarbeiter oder Systemverwalter gemeint, die Fernbedienungsprogramme für den Zugriff auf interne Ressourcen oder für den Zugriff auf Computer für Diagnosezwecke und/oder „Reparaturen“ installieren.
Die Zahlen sprechen für sich: die ist ein großes Problem. Interressanterweise war es anhand der Umfrage nicht möglich, deutlich zu machen, wenn, wieso und von wem diese Fern-Verwaltungsprogramme installiert wurden (Mitarbeiter gaben meistens an, dass ehemalige Mitarbeiter diese installiert hätten).
Die Gefahr besteht darin, dass solche Programme nicht durch traditionelle Antivirus Programme blockiert werden. Außerdem sind solche Programme oft bereits auf vielen PCs installiert, weshalb sie niemandem auffallen. Und selbst wenn sie jemandem auffallen, werden sie nicht entfernt, da meistens vermutet wird, dass diese durch die IT –Abteilung installiert wurden. Dies ist typisch für Netzwerke-völlig unabhängig von ihrer Größe. Es stellte sich heraus, dass ein Mitarbeiter für seinen Kollegen ein solches Programms installieren könnte und dies unbemerkt bleiben würde. Ebenso kann ein Mitarbeiter sich Zugang zu seinem/ihrem eigenen oder dem Computer eines Dritten von einem externen Netzwerk verschaffen. Noch gefährlicher ist die Tatsache, dass diese quasi-legitimen Gesetzeslücke durch Cyber-Schurken und böswillige ehemalige Mitarbeiter sowie aktuelle Mitarbeiter missbraucht werden kann.
Mit Dieser Standardeinstellung wird das Unternehmensnetzwerk zu einem undurchdringbaren Dschungel; zu einem Mischmasch von allerlei seltsamen und großartigen Programmen, von denen niemand mehr weiß, wann, warum, oder durch wen diese installiert wurden. Die einzige Möglichkeit, einen solchen Wirrwarr zu verhindern? Die Standardeinstellung „Zugriff verweigern“.
Auf den ersten Blick erscheint die Idee der Standardeinstellung der Ablehnung ganz einfach. Aber das ist nur auf dem Papier so. In der Praxis ist es seine Aufgabe fern davon, unkomplizierten zu sein. Diese besteht aus drei Hauptkomponenten: (1) eine große, gut geordete Datenbank mit geprüften Programmen, (2) eine Reihe von Technologien für die maximale Automatisierung der Umsetzung, und (3) einfach zu bedienende Werkzeuge für die Nachbearbeitung der Umsetzung dieser Standardeinstellung.
Und jetzt machen wir mal kurz eine Werbepause. Mit anderen Worten, ich werde Ihnen erklären, wie die drei oben genannten Bestandteile in unseren Firmenproduketen zusammenwirken.
Der erste Schritt ist die automatisierte Bestandsaufnahme – das System sammelt Informationen über alle installierten Anwendungen sowohl auf persönlichen Computern als auch innerhalb der Netzwerk-Ressourcen. Dann werden alle Anwendungen kategorisiert (dies geschieht auch automatisch). Dies wird durch unsere Cloud-Datenbank für anerkannte Software (whitelisting) unterstützt, welche Informationen über mehr als 530 Millionen sichere Dateien, unterteilt in 96 Kategorien, enthält ; dies hilft der IT-Abteilung dabei, darüber zu entscheiden, was gut und was schlecht ist. Bereits in diesem Stadium wird deutlich, was wirklich im Netzwerk vorsich geht – und wer unartig war.
Als nächstes wird unterteilt: die gefundene Software wird gemäß den Sicherheitsrichtlinien als „zulässig“ oder „verboten“ markiert, wobei die zusätzlichen „Rechte“ einiger Mitarbeiter und ihrer Abteilungen berücksichtigt werden. Es könnte zum Beispiel auf die Kategorie der „Multimedia“ nur von der Marketing-und PR-Abteilungen aus zugegriffen werden, ist für alle anderen jedoch nicht zugänglich. Es ist auch möglich, einen Zeitplan für jede Anwendung und jeden Mitarbeiter anzufertigen, der jeweils festlegt – wann, von wem, und was für Software verwendet werden darf. Ist z.B. der Arbeitstag vorüber können alle, die wollen sich bei SETI@Home einloggen, wenn sie wirklich den Drang dazu verspüren.
Bevor die Verweigerungs-Einstellung voll funktionsfähig ist, müssen wir die Umsetzung überprüfen. Basierend auf dieser Prüfung erhalten wir einen Bericht darüber, bei wem was, gemäß jeder der eingeführten Regeln abgeschaltet werden muss. Sie werden mir zustimmen, dass es zum Beispiel keine gute Idee ist, den Abteilungsleiter von der „Civilization“ ab zuscheiden J. Natürlich wird diese Prüfung auch automatisch durchgeführt.
Und schließlich, nach der Umsetzung von der Zugriffsverweigerung folgt die routinäre Überwachung und Wartung. Mit Hilfe der Trusted Updater Technologie werden vertrauenswürdige Anwendungen aktualisiert, sobald deren Aktualisierungen vorhanden sind. Die IT-Abteilung erhält detaillierte Informationen darüber, was und wann von der verbotenen Liste versucht wurde runterzuladen. Außerdem können die Benutzer eine Anfrage direkt an den KES-Kundendienst senden, damit ihnen die Installierung einer bestimmten Anwendung erlaubt wird.
Nach all den vorherigen Erklärungen wäre es logisch zu fragen: „Warum sich überhaupt mit Antiviren Programmen aufzuhalten, wenn eine solch strenge Politik betrieben wird?“
Erstens gibt es aus technologischer Sicht – und dies kommt überraschend – ein solches Konzept wie das „Antivirus“ seit Jahren nicht mehr, auch wenn es heutzutage noch immer noch eine Kategorie dieser Software gibt! Diese (nicht Existenz)liegt daran, dass auch die „einfachste“ selbstgemachten Produkte (ich meine uns – unseren Anti-Virus) – anspruchsvoll und komplex sind, während Lösungen im Sinne des klassischen Antivirus, oh mal sehen, wahrscheinlich nur 10-15% der allgemeinen Sicherheit ausmachen. Der Rest wird von Systemen zur Verhinderung von Angriffen auf das Netzwerk, Suchen nach Schwachpunkten im System, vorbeugendem Schutz, zentraler Verwaltung, Internetverkehr und Steuerung externer Geräte usw. ausgeführt; nicht zu vergessen von der Kontrolle von Anwendungen bei der perfekten Umsetzung der Standardeinstellung des Verweigerungsmodus. Trotz allem ist das Antivirus als Technologie der Analyse von Programmen existiert immer noch und ist auch immer noch wichtig. Es ist immer noch ein wirksames Instrument für die Behandlung von aktiven Infizierungen der und Wiederherstellen von Dateien und bleibt ein unverzichtbarer Bestandteil des vielseitigen Schutzes.
Wir kommen nochmal auf die Standardeinstellung der Verweigerung zurück … Es erscheint auf den ersten Blick logisch, sich diese anzueignen, sie zu nutzen und zu genießen. Aber in Wirklichkeit ist die Situation nicht ganz so klar. Egal, wie oft ich mit unseren Vertretern und Kunden rede, scheint die breite Öffentlichkeit generell gegen diese Technologie eigestellt zu sein – wie immer bei neuen Dingen. Oft höre ich: „Wir sind ein kreatives Unternehmen und daher wollen wir unsere Mitarbeiter in der Wahl ihrer Software nicht einschränken. Wir haben eine freiheitsliebende Kultur … und naja, haben Sie nichts von BYOD gehört? Einen Moment bitte. Worüber reden wir hier eigentlich? Sie können ja alles zulassen, was sie als notwendig und sicher erachten. Es geht einfach nur darum, neue Anwendungen in die Datenbank einzugeben oder das richtige Kreuzchen in die Konsole des Sicherheitssystems einzusetzen: in zehn Sekunden! Die meisten Leute handeln auf Grund von Vorurteilen; und das ist ihr gutes Recht. Aber die Standardeinstellung der Zugriffsverweigerung schützt die Leute einfach davor, Fehler zu machen.
Also ja, wie Sie vielleicht bemerkt haben – empfehle ich zutiefst die Standardeinstellung der Zugriffsverweigerung. Diese wurde von den West Coast Labs getestet und empfohlen und Gartner bezeichnet eben diesen Ansatz regelmäßig als die Zukunft der IT-Sicherheit. Ich bin zuversichtlich, dass die Welt kurz davor ist, diese Technologie weitgehend zu übernehmen und somit in der Lage sein wird, den Cyber-Kriminellen den Krieg zu erklären. Anstatt bloß auf neu aufkommende Bedrohungen zu reagieren, werden die Unternehmen in der Lage dazu sein, ihre eigenen Spielregeln aufzustellen und daher dem Computer-Untergrung einen Schritt voraus zu sein.
Es ist nur notwendig, ein bisschen über unkluge Handlungsweisen nachzudenken.