Mehr Schutz gegen Zero-Day-Exploits durch Firewalls?

Sicherheitslücken in Betriebssystemen, Programmen und Plug-Ins – und kein Ende. Keine Woche vergeht, in denen nicht neue Schwachstellen im eigenen Rechner bekannt werden. Und es gilt schnell zu reagieren. Das Einspielen von Patches wird zum bestimmenden IT-Alltag. Doch was kann man tun, wenn die Lücke zwar bereits in der Presse beschrieben wird, der Hersteller aber mit einem passenden Update auf sich warten lässt? Zeit für die Next Generation Firewall.

Der Browser als Einfallstor

Keine Frage. Ohne die aktive Mitarbeit aller IT-Nutzer beim Thema Sicherheit ist die Absicherung der Unternehmens-IT kaum möglich. Phishing über E-Mails ist nach wie vor eine ständige Herausforderung, der nur durch gute Kommunikation in der Firma begegnet werden kann. Auch das „bedachte“ Surfen auf dubiosen URLs im Internet sollte zum allgemeinen Grundverständnis jedes Mitarbeiters gehören. Aber: Selbst übervorsichtige PC-Nutzer sind nicht vor digitalen Schädlingen gefeit. Die Gefahr von Drive-By-Downloads kann durch einen wohlüberlegten Umgang zwar minimiert, aber nie ganz gebannt werden.

Verwundbare Programme

Programme als Einfallstor für Schädlinge

Eine kürzlich erstelle Auswertung des Antiviren-Herstellers Kaspersky zeigt einen eindeutigen Trend: Sicherheitslücken im Browser sind die Nummer 1, wenn es um die Infizierung des Rechners mit Schadsoftware geht. Und das mit großem Abstand. Erst auf den Folgerängen kommen die Klassiker der Softwarelücken: Java, Adobes Flash Player. etc. Die Wahrnehmung, dass viele Patches gleich große Sicherheitsmängel sind, täuscht. Nicht gepatchte Lücken sind das IT-Problem. Es ist nicht selten, dass ein Hersteller eine Lücke erst Monate nach dem Hinweis auf die offene Tür in seinem Programm mit einem Update schließt. Gute Zeiten für die Vielzahl an Malware, die jeden Tag in einer neuen Variante auf den Weg geschickt werden.

Die Intelligenz des Angreifers

Es ist ein großer Irrtum, dass nur unseriöse Webseiten Schadsoftware verbreiten. Im Gegenteil: Durch die Infiltrierung von vertrauten Webangeboten (z.B. über Anzeigen oder Hacks der Konfiguration) wird die Verteilung von Trojanern und anderer Malware weitaus effizienter gesteuert. Die Vorgehensweise ist ebenso einfach wie intelligent: „Besucht ein potentielles Opfer eine kompromittierte Webseite, ermittelt das Exploit Kit den verwendeten Browser, dessen Version und aktive Plugins. Im Anschluss wird geprüft, ob ein passender Exploit bereitgestellt werden kann.“, erläutert Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab. Weist nur eine der genutzten Komponenten eine Schwachstelle auf, ist der Rechner infiziert.

NGFW und der Zero-Day-Exploit

Eine rasche Reaktion des Herstellers auf das Bekanntwerden einer Sicherheitslücke in seinem Produkt ist also entscheidend, wenn es um das sichere Surfen im Web geht. Bis zum Schließen der Gefahr sollte das Programm oder Modul am besten gar nicht genutzt werden. Leichter gesagt als getan. Meist ist der IT-Anwender auf die Nutzung in seiner täglichen Arbeit angewiesen – und dann? Hier kommt die Firewall ins Spiel. Jenes Gerät, welches ohnehin 24 Stunden am Tag jeglichen Zugriff von außen auf das Firmennetzwerk prüft. Gleiches gilt für den Datenverkehr, der aus dem eigenen Netzwerk kommt. Die entscheidende Frage an dieser Stelle: Was leistet meine Firewall?

Deep Packet Inspection

Analyse des Internet-Datenverkehrs durch die Firewall

Next Generation – die Intelligenz der Firewall

Haben Sie sich auch schon einmal gefragt, warum jeder Home-Router heute eine Firewall „einfach so“ mitbringt und der Erwerb einer „richtigen“ Firewall dennoch im vierstelligen Euro-Bereich liegt? Klar. Zum einen muss diese ein Vielfaches an Datenpaketen bewältigen, um eine große Anzahl an Computern und Server mit den notwendigen Streams zu versorgen. Der eigentliche Unterschied liegt aber in der intelligenten Analyse der Ethernet-Pakete und der blitzschnellen Reaktion auf etwaige unerwünschte Netzwerkkommunikation. Auf diese Weise kann nicht nur der Zugang zu bestimmten Systemen eingeschränkt werden, sondern auch der Inhalt genauer untersucht werden. Einfaches Beispiel: Die Internetkommunikation ist zwar nicht eingeschränkt, aber die Nutzung von Dropbox im Unternehmen soll blockiert werden. Hier hilft nur „Deep Inspection“.

Die Sicherheit im Abo

Sonicwall Analyse

Sonicwall: Schwachstellenanalyse

Auf dieselbe Weise kann eine Firewall dabei helfen, gefährlichen Schadcode in Echtzeit zu blockieren. Der Datenstream zwischen Browser im Unternehmen und der angesurften Webseite im Internet wird auf die gerade aktuellen Sicherheitslücken analysiert. Wird eine entsprechende Kommunikation erkannt, so verweigert die Firewall einfach den Transport der TCP-Pakete zum Empfänger. Klingt einfach und logisch. Die Voraussetzung ist aber weniger einfach, da die Firewall ja die entsprechenden Muster eines Schwachstellenangriffs erst erkennen muss. Bedeutet also, dass der Hersteller der Firewall entsprechende Updates zur Analyse des Traffics in kürzester Zeit bereitstellen muss. Diese Pattern-Datenbank wird in kurzen Intervallen durch die Firewall von der Hersteller-Seite heruntergeladen und garantiert einen möglichst aktuellen Schutz.

Qualität des Herstellers

Dieser Service des Firewall-Herstellers ist natürlich mit (regelmäßigen) Kosten verbunden. Die Aufwände sind aber auch dementsprechend: Nur eine extrem rasche Reaktion auf bekanntgewordene Schwachstellen nutzt dem Endanwender, der IT des Unternehmens. Ebenso rasch, aber auch zuverlässig, muss der Datenverkehr der Sicherheitslücke analysiert und als Pattern bereitgestellt werden. All dies natürlich ohne Fehler, da ansonsten der gesamte IT-Betrieb in Leidenschaft gezogen würde. Keine einfache Aufgabe.

Ein Stück mehr Sicherheit

Das Modell der Firewall-Analyse ist für den Nutzer ebenso einfach wie genial. Alles funktioniert ohne Zutun der internen IT-Belegschaft. Vollautomatisch. Dennoch wäre es naiv, davon eine vollständige Lösung des täglichen Patch-Dramas zu erwarten. Ob und wann ein passendes Pattern auf Firewall-Seite bereitgestellt wird, entzieht sich dem Wissen der IT. Abgesehen von entsprechenden Blog-Beiträgen des Herstellers bleibt diese zusätzliche Schutzwand im Kampf gegen den Trojaneralltag für die Unternehmens-IT eine Black Box. Und dennoch kann es genau jenes Quäntchen an extra Sicherheit sein, welches die IT vor viel Reparaturarbeit und die Firma vor Ausfallkosten bewahren hilft.

 


Anzeige



Teile diesen Artikel

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*