Löcher im Schutz von Unternehmensnetzwerken: Zugriffskontrolle

Die Gewährleistung der reibungslosen Funktion von kritisch wichtigen Systemen sowie die Minderung des Risikos von Angriffen auf das Unternehmensnetzwerk – das sind die vorrangigen Aufgaben der Abteilung für IT-Sicherheit fast jedes beliebigen Unternehmens. Eine der effektivsten Strategien zur Erfüllung dieser Aufgaben ist die Einschränkung der Befugnisse der Systemanwender.

Aus Sicht der IT-Sicherheit haben kritische Systeme zwei grundlegende Eigenschaften – Ganzheitlichkeit und Zugänglichkeit – von denen das reibungslose Funktionieren dieser Systeme abhängt. Für den Schutz eines Unternehmensnetzwerks vor Attacken muss unbedingt die „Angriffsoberfläche“ (attack surface) verringert werden, indem die Zahl der Geräte und Netzdienste reduziert wird, auf die von außerhalb des Unternehmensnetzwerks zugegriffen werden kann, und indem der Schutz solcher Systeme und Dienste gewährleistet wird, die einen solchen Zugriff benötigen (Web-Services, Gateways, Router, Workstations usw.). Insbesondere Anwendercomputer mit Internetzugang sind ein wichtiger Angriffsvektor auf das Unternehmensnetzwerk.

Um kritische Systeme vor nicht sanktionierten Veränderungen zu schützen und die Möglichkeiten von Angriffen auf ein Unternehmensnetzwerk zu reduzieren, müssen unbedingt die folgenden Maßnahmen ergriffen werden:

  • Festlegen, welche Objekte (Equipment, Systeme, Geschäftsanwendungen, wertvolle Dokumente usw.) im Unternehmensnetzwerk geschützt werden müssen;
  • die Geschäftsprozesse des Unternehmens beschreiben und in Übereinstimmung mit ihnen das Zugriffslevel auf die zu schützenden Objekte definieren;
  • sicherstellen, dass jedem Subjekt (Anwender oder Unternehmensanwendung) ein eindeutiger Account zugeordnet ist;
  • den Zugriff der Subjekte auf die Objekte soweit es geht beschränken, d.h. die Rechte der Subjekte im Rahmen der Geschäftsprozesse einschränken;
  • sicherstellen, dass alle Operationen der Subjekte an den Objekten protokolliert und die Protokolle an sicheren Orten gespeichert werden.

In der Praxis sieht es in einem Unternehmensnetzwerk ungefähr folgendermaßen aus:

  • Alle Unternehmensdokumente werden zentralisiert gespeichert, in allgemeinen Ordnern auf einem der Unternehmensserver (beispielsweise auf einem Server in der Rolle eines Document Controllers).
  • Der Zugriff auf kritische Systeme ist allen verboten, außer den Administratoren – jeder beliebige Admin kann im Falle eines Absturzes aus der Ferne auf das System zugreifen, um alles schnell zu reparieren.
  • Manchmal verwenden die Administratoren einen „gemeinsamen“ Account.
  • Die Accounts aller normalen Mitarbeiter verfügen über die überaus eingeschränkten Rechte eine „gewöhnlichen Anwenders“, doch auf den ersten Wunsch hin kann ein jeder die Rechte eines lokalen Administrators erhalten.

Technisch ist es um Einiges einfacher, kritische Systeme zu schützen als Workstations, da es selten zu Veränderungen der Geschäftsprozesse kommt, die Regelung bezüglich ihres Einsatzes sich kaum ändert und daher auch das kleinste Detail berücksichtigt werden kann. Im Gegensatz dazu ist die Arbeitsumgebung der Anwender chaotisch, die Prozesse ändern sich stetig und zusammen mit ihnen ändern sich die Anforderungen an die Gewährleistung des Schutzes. Zudem stehen viele Anwender jeglichen Einschränkungen skeptisch, wenn nicht gar negativ gegenüber, selbst wenn sie ihre Arbeitsprozesse gar nicht berühren. Daher ist der traditionelle Schutz des Anwenders nach dem Motto aufgebaut: „Lieber Malware durchlassen, als irgendetwas Notwendiges blockieren.“

Im vergangenen Jahr hat das Unternehmen Avecto eine Untersuchung bekannter Sicherheitslücken in der Software von Microsoft durchgeführt und ist zu dem Schluss gekommen, dass „Der Verzicht auf die Nutzung der Rechte eines lokalen Administrators es ermöglicht, die Risiken der Ausnutzung von 92% der kritischen Sicherheitslücken in der Software von Microsoft zu verringern“. Diese Schlussfolgerung erscheint völlig logisch, doch man muss dazu sagen, dass das Unternehmen Avecto keine reale Untersuchung der Sicherheitslücken durchgeführt, sondern lediglich die Daten aus dem Microsoft Vulnerability Bulletin 2013 analysiert hat. Trotzdem liegt es auf der Hand, dass Schadsoftware, die ohne Administratorenrechte gestartet wurde, keine Driver installieren kann, keine Dateien in den Verzeichnissen %systemdrive%, %windir%, %programfiles% usw. erstellen/modifizieren kann, die Konfiguration des Systems nicht verändern kann (insbesondere nicht in den Hauptschlüssel der Registry, HKLM, schreiben), und – was am Wichtigsten ist – keine privilegierten API-Funktionen nutzen kann.

Doch in Wahrheit sind fehlende Administratorenrechte kein wirklich ernsthaftes Hindernis – weder für Schadprogramme noch für Hacker, die in ein Unternehmensnetzwerk eindringen wollen. Erstens finden sich in jedem beliebigen System Dutzende Sicherheitslücken, mit Hilfe derer man sich die notwendigen Rechte verschaffen kann – bis hin zu Privilegien auf Kernel-Ebene. Zweitens existieren auch Bedrohungen, die sich schon mit den Rechten eines gewöhnlichen Anwenders realisieren lassen. Auf dem unten stehenden Schema sind mögliche Angriffsvektoren dargestellt, für deren Umsetzung keine Administratorenrechte erforderlich sind – und genau um diese geht es hier.

Lokale Attacken

Allein mit den Standardrechten eines gewöhnlichen Benutzers ausgestattet, erhält ein Cyberkrimineller vollständigen Zugriff auf die Speicher aller Prozesse, die unter dem Account des Anwenders laufen. Das ist vollkommen ausreichend, um schädlichen Code in die Prozesse einzuschleusen, mit dessen Hilfe das System entfernt gesteuert (Backdoor), die Tastatureingaben abgefangen (Keylogger) und der Content im Browser modifiziert werden kann. Und so weiter.

Da die meisten Antiviren-Programme den Versuch der Einschleusung von unbekanntem Code in die Prozesse blockieren, greifen Cyberverbrecher häufig auf verdeckte Methoden zurück. Ein alternativer Ansatz ist zum Beispiel die Einschleusung einer Backdoor oder eines Keylogger in den Prozess des Browsers – unter Verwendung von Plug-Ins und Erweiterungen. Für den Download eines Plug-Ins sind die Rechte eines gewöhnlichen Benutzers völlig ausreichend, dabei kann der Code des Plug-Ins fast genau das Gleiche machen, was auch ein vollwertiger trojanischer Code tun kann – d.h. entfernt den Browser steuern, die eingegebenen Daten und den Traffic im Browser protokollieren und mit Webservices interagieren und den Inhalt von Seiten modifizieren (Phishing).

Nicht weniger interessant für Cyberkriminelle sind die gewöhnlichen Office-Anwendungen (beispielsweise E-Mail- und IM-Clients), die für Angriffe auf andere Anwender im Netz (unter anderem Phishing und Social Engineering) benutzt werden können. Ein Online-Verbrecher kann sich Zugriff auf Programme wie Outlook, The Bat, Lync, Skype usw. verschaffen, und zwar nicht nur, indem er Code in die entsprechenden Prozesse einschleust, sondern auch über die Programmierschnittstelle und die lokalen Dienste dieser Anwendungen.

Es ist klar, dass nicht nur die Anwendungen, sondern auch die auf dem PC gespeicherten Daten für Cyberkriminelle einen großen Wert darstellen können. Neben Unternehmensdokumenten suchen Kriminelle oft nach Dateien verschiedener Anwendungen, die Passwörter, verschlüsselte Daten, digitale Schlüssel (SSH, PGP und andere) und vieles mehr enthalten. Befindet sich auf dem Computer eines Anwenders Quellcode, so können Cybergangster versuchen, ihren schädlichen Code dort einzuschleusen.

Domain-Attacken

Da die Konten der meisten Unternehmensanwender Domain-Accounts sind, ermöglicht der Mechanismus der Domain-Autorisierung (Windows Authentication) dem Anwender den Zugriff auf unterschiedliche Netzdienste im Unternehmensnetzwerk. Häufig wird der Zugriff automatisch bereitgestellt, ohne zusätzliche Abfrage der Login-Daten und des Passworts. Wenn ein infizierter Anwender also Zugriffsrechte auf irgendeine Unternehmensdatenbank besitzt, so kann ein Cyberkrimineller sie ebenfalls problemlos nutzen.

Mit Hilfe der Domain-Autorisierung haben Cyberkriminelle auch Zugriff auf alle Netzwerkordner und –Festplatten, die für den Anwender verfügbar sind, auf interne Internet-Ressourcen und manchmal auch auf andere Workstations im selben Segment des Netzwerks.

Neben Netzwerkordnern und Datenbanken finden sich in einem Unternehmensnetzwerk nicht selten verschiedene Netzdienste, wie z.B. Remote-Zugriff, FTP, SSH, TFS, GIT, SVN usw. Selbst wenn für den Zugriff auf diese Dienste separate Accounts (also keine Domain-Konten) verwendet werden, kann ein Online-Verbrecher sie problemlos im Arbeitsprozess des Anwenders nutzen (d.h. während einer aktiven Sitzung).

Schutz

Es ist praktisch unmöglich, ein hohes Sicherheitsniveau auf Workstations zu gewährleisten, nur indem den Anwendern die Administratorenrechte entzogen werden. Auch die Installation von Antiviren-Software auf einer Workstation erhöht vielleicht den Schutz, löst aber nicht alle Probleme. Zum Erreichen eines hohen Sicherheitsniveaus kann die Technologie Application Control („Anwendungskontrolle“) beitragen, die aus drei Schlüsselelementen besteht:

  1. Im Modus ‚Default Deny’ (standardmäßig verboten) wird nur solche Software installiert und ausgeführt, die vom Administrator zugelassen wurde. Dabei muss der Administrator keineswegs jede einzelne Anwendung in die Weiße Liste aufnehmen (Hash). Ihm steht eine Vielzahl von generischen Tools zur Verfügung, die es ermöglichen, der Liste der erlaubten Software dynamisch alle Programme hinzuzufügen, die mit dem einen oder anderen Zertifikat signiert sind, von bestimmten Herstellern entwickelt wurden, aus vertrauenswürdigen Quellen stammen oder in der Whitelisting-Datenbank eines Produzenten von Sicherheitslösungen enthalten sind.
  2. Der Modus ‚Kontrolle vertrauenswürdiger Anwendungen‘ macht es möglich, die Arbeit der zugelassenen Software auf die Funktionen zu beschränken, die diese Software auch tatsächlich ausführen soll. Für seine normale Funktionsweise sollte ein Browser beispielsweise die Möglichkeit haben, Netzverbindungen herzustellen, doch dabei ist es keineswegs notwendig, dass der Browser den Speicher anderer Prozesse ausliest bzw. hineinschreibt, sich mit Netz-Datenbanken verbindet oder Dateien in Internetressourcen speichert.
  3. Die Kontrolle der Update-Installation ermöglicht die reibungslose Aktualisierung von Software auf Workstations (im Modus ‚Default Deny‘), während gleichzeitig das Risiko einer Systeminfektion durch Update-Mechanismen gemindert wird.

Neben dem oben Aufgeführten stellen konkrete Produkte mit integrierter Application Control auch verschiedene andere nützliche Funktionen auf der Grundlage dieser Technologie bereit. Insbesondere sind das die Inventarisierung, die Kontrolle der im Netzwerk installierten Software, das Zusammenstellen von Ereignisberichten (die bei der Untersuchung von Sicherheitsvorfällen hilfreich sein können) usw.

Die Kombination der Technologien ermöglicht es einerseits, dem Nutzer all das an die Hand zu geben, was er für seine Arbeit und selbst zu Unterhaltungszwecken braucht. Und selbst wenn er morgen noch irgendetwas anderes benötigt, so kann er sich dieses „Irgendetwas“ ohne Probleme besorgen. Gleichzeitig aber sind die Möglichkeiten eines Cyberkriminellen, der sich Zugriff auf ein geschütztes System verschaffen konnte, überaus eingeschränkt. Zweifellos ist das die ideale Balance zwischen Flexibilität und Sicherheit beim Schutz von Unternehmensnetzwerken.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.