Detection ist tot, lang lebe Protection

Okay, ich geb’s zu – der Titel ist ein kleiner Seitenhieb auf meinen Kollegen The_Unicorn und seinen Artikel «Protection ist tot, lang lebe Detection». Klar hat seine Sichtweise auch ihre Berechtigung, aber ich möchte mit diesem Post zeigen, warum ich auch nach über 20 Jahren im Security Business klar der Auffassung bin, dass proaktive «Protection» unerlässlich für den Schutz ist. Kaum ein Tag vergeht, indem nicht irgendwo auf der Welt eine Firma angegriffen wird und erheblichen finanziellen Schaden erleidet oder sogar schliessen muss. Deshalb ist die Abwehr von Angriffen jeglicher Art wichtig.

Und so einfach und provokant der Titel ist, stellt es sich in der realen virtuellen Welt der Bits und Bytes nicht dar. Vor allem müssen wir bei der Verwendung der Begriffe genau sein.

Prevention + Detection + Response = umfassende Protection

Bei der Prevention von Malware oder Angriffen versucht man durch Detection – also die Erkennung von Malware oder Angriffen – den Schutz zu gewährleisten. Das ist schwierig und leider nicht immer erfolgreich, sonst gäbe es die ganze Hacker-Industrie und das Katz und Maus Spiel der letzten Jahrzehnte ja nicht. Und alle geben sich richtig Mühe und machen es wirklich gut oder besser – Angreifer wie Verteidiger.

But, please mind the gap.
Erkennung basiert nun mal auf Kennen. Und für die Theorie-Freunde: Es ist eine der grossen mathematischen Leistungen von Alan Turing, der bewiesen hat, dass es keine Lösung für das Leibniz-Entscheidungsproblem gibt. Danach können wir nicht alles erkennen, egal wie viel Rechenpower wir zur Verfügung haben. Dazu siehe auch de.wikipedia.org/wiki/Alan_Turing

Warum soll dann die Erkennung von Angriffen basierend auf der Auswertung der Logs im EDR- Bereich funktionieren? Endpoint Detection and Response macht sich zur Aufgabe, die Angriffe oder das maliziöse Verhalten von Software oder die Abfolge von Task und Prozessen zu erkennen und basierend darauf kann man Gegenmassnahmen ergreifen. Gratulation an alle, die die Ressourcen dafür aufbringen können. Warum kann ein Angreifer, der sich seit Tagen, Wochen, Monaten im Netzwerk eingenistet hat, nicht auch diese Systeme manipulieren? Eines der ersten Massnahmen eines Angreifers ist es doch, Spuren zu verwischen und eine Backdoor einzurichten. Jedenfalls habe ich das mal so beim meinen ersten Hackerschritten gelernt. Zu erkennen gibt man sich doch erst, wenn man sein Ziel erreicht hat. Deshalb ist ja so eine Ransomware eigentlich einigermassen nett. Dann wissen wir, dass bei uns etwas passiert ist. Das was wir nicht bemerken, macht mir mehr Angst. Umso wichtiger ist es dann, die Detection wieder auf verschiedenen Layern zu betreiben –  Netzwerk, Gateway, Endpoint – um in der Kombination die richtigen Informationen zu finden.

Protection im Sinne von Prevention, Abwehr von Angriffen und Schutz des Clients, der Server, der eigenen Infrastruktur – letztlich der Schutz der eigenen Daten – muss eben auch richtig gemacht werden. Die allermeisten Lösungen versuchen Malware und Angriffe durch vielerlei Mechanismen zu erkennen und wenn das nicht reicht, packt man noch eine Sandbox aus, die dann auf Basis der Analyse eine Entscheidung trifft – gut oder böse. Was immer noch Erkennung ist. Das ist auch gut und schön. Seit Jahren gibt es neue Ansätze. Weil das nach dem Leibnitz-Erkennungstheorem nicht funktionieren kann, heisst das Zauberwort Isolation und Hersteller wie Menlo, Fireglass (Isolation des Web-Traffic am Proxy), Bromium oder auch Microsoft mit der virtual-based Security und der Isolation des Edge-Browsers gehen diesen Weg. Das Prinzip ist auch nicht wirklich so neu, nur in einer neuen Variante.

Seit nahezu Jahrzehnten gibt es die Variante der Isolation, dass bestimmte Applikationen remote auf einem Terminalserver ausgeführt werden und diese Server werden, gut abgeschottet durch Firewalls, vielleicht noch jede Nacht resettet. Oder man nimmt einfach eine virtuelle Maschine, like Sirrix Browser in the Box, wo die Disk non-persistent, immer wieder zurückgesetzt wird. Oder das Booten von einer CD, DVD oder einem Stick. Heute macht man das mit Bromium und holt dann quasi virtuell für jede Website oder jedes Dokument eine neue Maschine aus der Tasche. Hier schauen wir nicht, ob etwas gut oder böse ist, sondern arbeiten hochsicher mit den Daten, die wir in Fenstern sehen. Die virtuelle Maschine wird auf Hardware-Ebene vom OS getrennt und wir sehen den Inhalt wie bei einer Citrix oder Terminal-Server-Sitzung an der gleichen Stelle wie die originale Webseite oder der PDF-Reader. Man sieht den Unterschied nicht und so ist die Erwartungshaltung des Endbenutzers auch sehr hoch, denn er sieht ja nicht, dass er quasi mit einem virtuellen Remote Computer arbeitet. Hier gibt es ein paar sehr intelligente Methoden, damit man mit den Daten auch richtig arbeiten kann. Also Funktionen wie Copy und Paste, Screenshots und Drucken werden hochsicher abgebildet.

Nun noch mal zurück zu der Detection von Angriffen. Das Erkennen von Malware, Angriffen, Kommunikationen zu Command & Control Servern …, die schon passiert sind und wo die Spuren nicht so richtig verwischt wurden, ist sehr lehrreich und kann helfen zukünftige Angriffe zu verhindern. Für den aktuellen Angriff kann man dann hoffentlich genauer sehen, was einem sonst verborgen blieb.

Das ist vor allem dann von Bedeutung, wenn es um Advanced Persistent Threats geht oder neue Angriffsmuster. Dann muss man auch zeitnah reagieren und Massnahmen ergreifen. In dieser Response Phase ist also das Monitoring und Alerting enorm wichtig. Wenn Attacken aus Email Attachments, drive-by-downloads und ähnlichem isoliert ablaufen, kann man sich zurücklehnen und ganz in Ruhe den Angriff analysieren. Response ist hier eher der Management Summary Report, was so isoliert wurde.

Die allermeisten Angriffe kommen heute via Email-Anhang, Links in Emails – phishing oder drive by download, seltener nur so beim Surfen (aber auch das gibt es) und kaum noch via USB-Sticks. Genau hier hilft Isolation, denn die Ausnutzung von Vulnerabilities vom Betriebssystem oder von Applikationen ist so nicht möglich. Also ist das auch etwas Entspannung für das Patch-Management. Da in der virtuellen Maschine keine benutzerbezogenen Daten sind, ist auch der Abfluss von Daten nicht möglich. Restaging von Clients oder Servern reduziert sich und das Backup bei Ransomware-Attacken wird nicht mehr benötigt.

Wenn Software heruntergeladen wurde, die richtig installiert werden muss, dann ist die Prüfung der Software enorm wichtig. Auch hier gibt es Prozesse, die sicherstellen, dass keine Hintertüren oder ähnliches mitkommen und das berühmt berüchtigte Nachhause-Telefonieren erkennt man dann am Proxy oder der Firewall. Aber die Abwehr von Malware und sonstigen Angriffen ist zuerst mal eine Pflichtaufgabe und muss einen möglichst grossen Teil abdecken. Auf Zero-Day-Attacken muss man umgehend reagieren. Unbekannte Angriffe, -n attacks – minus N Attacken – vor dem Zero Day existierende unbekannte oder nicht öffentlich bekannte Angriffe, muss man in Kauf nehmen? Nein, die gehören auch einfach in die Isolation und gut.

Angriffe auf Netzwerkebene muss man vor allem durch die Client Firewall oder im Netzwerk-Traffic erkennen. Hier ist eine geeignete Segmentierung und die Erkennung solcher Angriffe wichtig. Ob das nun am Proxy, der Firewall oder durch die Analyse des Traffic am Switch gemacht wird, ist im Einzelnen zu entscheiden. Hier wirken die traditionellen Strategien einer Multi-Layer-Protection gut zusammen.

Wenn man durch Social-Engineering sein Password rausgibt und der Angreifer kann Software installieren oder sonst das System manipulieren, dann braucht man die andere Keule – Detection, Password Management Tool und Schulung der Benutzer.

Die Protection ist eine komplexe Aufgabe geworden und seit vielen Jahren propagieren alle in der IT-Security einen Multi-Layer-Ansatz. Wie beim OSI-Modell für den Netzwerk-Traffic kennen wir unsere 7 Goldenen Regeln:

• Strong authentication
• Patchen
• Minimal system
• Least privilege
• Segregation of duties
• Defence in depth
• Secure the weakest link

Der Angreifer macht es sich möglichst leicht und deshalb versuchen wir die Hürden gleichmässig hoch zu halten. Extreme Sicherheit auf der einen Seite (Web-Access-Proxy hilft nicht bei Email-Security), oder ein hoher Aufwand bei Prevention von Malware, aber man schützt das Client-VPN nicht, kann nicht das Ziel für den Schutz sein. Aber Prevention sollte in jedem Fall sehr stark sein. Der Aufwand bei der Analyse, Ausbildung und die personellen Ressourcen für die rund um die Uhr Abdeckung bei der Detection im Nachhinein, in einem SOC-Team, ist nicht zu unterschätzen. Aber genau für den Fall: «Es kam was durch», ist es enorm wichtig. Was hoffentlich für alle äussert selten sein sollte. Ohne Zweifel; es können hier auch proaktiv Lücken in den Verteidigungslinien aufgedeckt werden.

Der Schutz ergibt sich, wie im normalen Leben, durch die richtige Balance und die Verteilung der existierenden Mittel auf alle Bereiche der Infrastruktur. Die Kostenabwägung ist dann der entscheidende Faktor, an welcher Schraube man die IT-Sicherheit anzieht.

Was nicht kaputtgegangen ist, muss nicht geflickt werden. Wo kein Dreck rumliegt, muss man nicht mit Besen und Schaufel alles zusammenkehren.