In der IT-Security haben sich in den letzten Jahren an verschiedensten Stellen heuristische Verfahren etabliert. So entscheiden mittlerweile nicht nur Virenscanner heuristisch, ob es sich um ein verdächtiges Programm handelt oder nicht, sondern auch Firewalls und Intrusion-Detection-Systeme erzeugen Alarmierungen auf Basis heuristischer Modelle – mit oft zweifelhaftem Erfolg, wie zahlreiche Cyber-Angriffe bewiesen haben.
Was sind heuristische Verfahren?
Heuristik bezeichnet die Kunst, auf Basis einer begrenzten Informationslage Aussagen zu treffen, die mit hinreichend großer Wahrscheinlichkeit richtig sind. G. Gigerenzer und P. M. Todd mit der ABC Research Group: Simple heuristics that make us smart. Oxford University Press, New York 1999 Der Versuch, verlässliche Aussagen zu treffen basiert auf Erfahrungen, Schätzungen, Faustregeln und zusätzlichen Hilfsannahmen.
Diese Entscheidungsgrundlage kann von einem Angreifer durch einfaches Try-and-Error umgangen werden, so dass bis zu einer Veränderung der Heuristik diese nicht mehr wirksam ist. Beispielsweise gibt es heuristische Verfahren, die versuchen, Verschlüsselungstrojaner zu erkennen, indem die Zahl der bearbeiteten Dateien pro Zeiteinheit überwacht wird: Wird beispielsweise auf 30 Dateien pro Sekunde geprüft, kann die Erkennung umgangen werden, indem der Trojaner den Grenzwert aktiv nicht überschreitet.
An vielen Stellen in der IT ist es leider nicht möglich, sich eine vollständige Entscheidungsgrundlage in angemessener Zeit zu verschaffen. Stellen Sie sich einen Virenscanner vor, der ein unbekanntes Programm dekompilieren und anschließend erschöpfend analysieren soll, so dass eine belastbare Aussage getroffen werden kann: Solch eine Analyse bedeutet selbst bei kleinen Programmen einen Zeitaufwand von mehreren Tagen bevor eine Nutzung möglich ist, so dass die Nutzerakzeptanz gegen Null sinken dürfte. Während Virenscanner ein zeitliches Problem haben, stehen Firewalls vor einer ungleich größeren Herausforderung: Das Analysieren der übertragenen TCP/IP-Pakete ist zwar durchaus möglich, teils sogar auf verschlüsselte Pakete, allerdings liegen der Firewall prinzipbedingt viele Informationen nicht vor. Da alle Informationen als IP-Paket übertragen werden, kann kein Rückschluss mehr gezogen werden, welche Programme (Microsoft Office oder ein Trojaner?) tatsächlich Zugriffe tätigen und Daten übertragen.
Insbesondere in Next-Generation-Firewalls oder Intrustion-Detection/Prevention-Systemen werden immer absurder anmutende heuristische Modelle verwendet. So wird versucht, bekannte Angriffsszenarien in Zukunft beherrschen zu können. Während dieses Vorgehen von mäßigem Erfolg geprägt ist, solange Angriffe nach einem bekannten Schema ablaufen, sind neuartige Angriffe in der Regel nicht aufzuhalten. Trotz verbesserter Verfahren konnte in der letzten Dekade kein Rückgang erfolgreicher Cyber-Angriffe erreicht werden und es ist davon auszugehen – hier sei eine Extrapolation in die Zukunft erlaubt – dass dies so bleiben wird, solange IT-Security nicht vollständig neu gedacht wird.
Sensorik: Ein möglicher Ausweg?
Heuristiken sind, wie oben erläutert notwendig, weil in einer angemessenen Zeit keine vollständige Informationsgrundlage geschaffen werden kann. Statt die – prinzipbedingt fehlerbehafteten – heuristischen Modelle zu verbessern, sollte sich IT-Security damit beschäftigen, eine belastbare Informationsgrundlage zu schaffen, die zu einer sicheren und deterministischen Entscheidungsfindung notwendig ist. Im Folgenden soll dieses als Sensorik bezeichnete Konzept am Beispiel einer VPN-Gateway-Firewall kurz erläutert werden.
Ein Fallbeispiel zur Sensorik
Wenn Benutzer von ihren Heimarbeitsplätzen per VPN auf das Firmennetz zugreifen, stellt die VPN-Software auf dem PC, in Verbindung mit dem VPN-Gateway, eine Netzkopplung zwischen dem Betriebssystem des Rechners und dem VPN-Gateway her. In der Konsequenz können zunächst alle Programme des Client-PCs mit allen Netzwerkressourcen kommunizieren. Um dies einzuschränken und das Sicherheitsniveau zu erhöhen kommt eine Firewall zum Einsatz, die den Datenverkehr filtert und im Idealfall unerwünschte Aktionen unterbindet.
Hier kommt bereits ein wesentliches Problem zum Tragen: Der Firewall fehlen maßgebliche Informationen, die für die Entscheidung relevant sind: Beispielsweise kann die Firewall nicht wissen, welches Programm tatsächlich welche Aktion durchführen will. Es sind zahlreiche Viren bekannt, die webbasierte Systeme (z.B. ERP oder CRM-Software) im Intranet angreifen, indem sie ihren Angriff über die erlaubte Aktion „Webseite aufrufen“ durchführen. Eine Firewall kann prinzipbedingt nicht mit Sicherheit unterscheiden, ob ein Browser die Webseite aufruft, weil ein Mitarbeiter mit dem System arbeiten möchte oder ob ein Virus versucht einen Angriff durchzuführen. Für die Firewall treten in beiden Fällen nur TCP/IP-Pakete in Erscheinung, die dem Aufruf einer Webseite dienen, weshalb sie nicht blockiert werden.
Ein sensorisches System wäre diesem Angriff nicht ausgeliefert, da das Gateway, welches ausschließlich die Entscheidung über die Zulässigkeit einer Kommunikation trifft zuverlässige Informationen darüber besäße, welches Programm welche Aktion durchzuführen gedenkt. In dem nur erlaubte Software freigegeben wird, kann sehr einfach sichergestellt werden, dass nur bekannte und erlaubte Programme auf erlaubte Ressourcen mit erlaubten Aktionen zugreifen können.
Versucht beispielsweise der Browser Mozilla Firefox eine Webseite aufzurufen, erhält das sensorische Gateway alle notwendigen Informationen: Welches Programm versucht welche Aktion mittels welcher Module durchzuführen?
Da nur Firefox als vertrauenswürdige Software hinterlegt ist, wird dies erlaubt. Würde allerdings ein anderer Browser oder gar ein Virus versuchen, den Webserver zu erreichen, läuft dieser Zugriffsversuch ins Leere, da weder das Virus noch der andere Browser eine Freigabe besitzen. Da in diesem Fall keinerlei Netzwerkaktionen des Virus zugelassen werden, kann dieses auch keine Analysen des Netzwerkes oder der Webserver durchführen.
Fazit
Auf den zugreifenden PCs wird ohnehin Software zum Fernzugriff ausgeführt, durch die technische Umsetzung werden dem entscheidenden System (hier der Firewall) allerdings wesentliche Informationen nicht zugänglich gemacht.
Durch eine andere Art der Zugriffssoftware, die nicht nur stumpf IP-Pakete überträgt, sondern dem Gateway, welches die Entscheidungen über die Kommunikation trifft, alle notwendigen Informationen übermittelt wird eine fundierte Entscheidungsfindung möglich. Auf diesem Weg könnte man die Schadwirkung erheblich reduzieren und die Fortpflanzung von Viren effizient unterbinden – und das nicht nur mit einer gewissen Wahrscheinlichkeit, sondern mit größtmöglicher Sicherheit.
Im Idealfall kann die Zugriffssoftware erheblich umfangreichere Informationen liefern, als nur den Programmtyp. Denkbar sind Informationen zum internen Programmauflauf und zu der Datenstruktur des jeweiligen Zugriffs.
Die Zulässigkeit eines Zugriffs kann durch die große Zahl an Informationen die das sensorische Gateway erhält anhand eines deutlich spezifischeren Regelsatzes festgestellt werden. Da dieser Regelsatz nur dem manipulationssicheren Gateway bekannt ist, kann dieser von einem Angreifer oder einer Schadsoftware nicht eingesehen oder gar manipuliert werden. Bei einem Verstoß gegen den Regelsatz – der auf einen Angriff (z.B. durch Durchprobieren) hindeutet – kann das Gateway Maßnahmen einleiten und je nach Policy und Schwere des Verstoßes unverzüglich reagieren.
Bei konsequenter Umsetzung dieses sensorischen Ansatzes lassen sich auch Intrusion-Detection-Systeme mit deutlich mehr Informationen versorgen und können so auch erheblich effektiver und mit geringerer Fehlerquote arbeiten.
Sie haben Fragen? Sprechen Sie uns an, wir beraten Sie gerne!