Die meisten Firewalls der nächsten Generation verfügen über viele nützliche Funktionen, die erst dann wirklich funktionieren, wenn sie von IT-Experten verwendet, ordnungsgemäß konfiguriert und auf dem nächsten Stand gehalten werden. [...]
Nutzen Sie Ihre Next-Gen-Firewall auch wirklich optimal? Wahrscheinlich nicht, wenn man aktuellen Studien des US-amerikanischen Cybersicherheitsunternehmen SafeBreach Glauben schenken möchte.
SafeBreach, ein recht neuer Vertreter im Bereich der Cybersicherheit – gegründet 2014 – bietet Prämissen und Service-Pakete an, die fortlaufend Simulationen zu potenziellen Netzwerkverletzungen durchführen und Kunden dabei helfen sollen, Sicherheitsprobleme zu lokalisieren und zu beheben.
Unter anderem implementiert das Unternehmen Software-Probes im Netzwerk seiner Kunden, die sich dort verteilen und versuchen, eine Verbindung zwischen Geräten und Netzwerksegmenten herzustellen, wie es bei einem potenziellen Hacker-Angriff der Fall wäre. Die dadurch gefundenen Sicherheitsverstöße werden in SafeBreachs sogenanntem Hacker-Playbook definiert, einer Bibliothek aller bekannten Angriffsmethoden, die Schwächen in der Netzwerksicherheit aufdecken und aufzeigen, wie sie in Zukunft ausgenutzt werden könnten.
Erst kürzlich hat das Unternehmen einige der größten Probleme angesprochen, die in den Testergebnissen ihrer Kunden aufgetreten sind. Diese zeigen vor allem, dass viele Nutzer von bekannten Next-Gen-Firewalls (NGFWs) oft nicht den vollen Nutzen aus ihren Sicherheitspaketen ziehen, weil das Potenzial unter anderem durch schlechte Konfiguration oder Legacy-Sicherheitsmethoden unausgeschöpft bleibt.
Typischerweise bieten NGFWs eine Vielzahl von Sicherheitstechnologien, von Intrusion Detection und Deep Packet Inspection bis hin zu SSL-, HTTP- oder TLS-Untersuchungsmöglichkeiten. Solche leistungsstarken und manchmal hochkomplexen NGFW-Pakete werden mittlerweile von einer Vielzahl von Anbietern verkauft, darunter Cisco, Palo Alto Networks, Fortinet, Check Point, Huawei, Sophos, Juniper Networks, Barracuda Networks, WatchGuard, Sangfor, Hillstone und SonicWall.
Die Vorteile von Next-Gen-Firewalls
Laut SafeBreach liegt die Stärke von NGFWs in ihrer Fähigkeit, umfassende Sicherheitsrichtlinien basierend auf Anwendungen und Benutzern anstelle von Ports und Protokollen zu implementieren.
„Diese Richtlinien sollten einfacher zu definieren sein als Legacy-Firewalls. Aufgrund menschlicher Fehltritte können allerdings noch immer Fehler auftreten. Außerdem könnte es zu Fehlfunktionen kommen, wenn Sicherheitsteams ihre bereits vorhandenen Firewall-Richtlinien mithilfe von Auto-Migrationstools übertragen wollen. Sie könnten diese Richtlinien zunächst optimieren, indem sie Breach- und Angriffssimulationen nutzen, um Sicherheitsrisiken zu minimieren und zu überprüfen, ob Änderungen wirksam sind und keine unbeabsichtigten Folgen nach sich ziehen“, so das Unternehmen.
Chris Webber, ein Sicherheitsstratege bei SafeBreach, gab an, dass Konfigurationsfehler eines der am häufigsten auftretenden Probleme mit NGFWs darstellen.
„Viele Benutzer kommen ins Stolpern, wenn sie sich nur auf die vom Anbieter bereitgestellten Standardeinstellungen verlassen“, so Webber. „Eine Firewall der nächsten Generation kann wie ein Schweizer Messer in Ihrem Netzwerk sein, doch leider sind ihre Funktionen nicht immer alle aktiviert, was potenziellen Angreifern den Zugang ermöglicht.“
Webber wies außerdem darauf hin, dass die meisten Anbieter selbst automatische Migrations-Tools bereitstellen, um Neukunden bei der Umstellung von alten Firewalls zu NGFWs zu helfen. Dabei könnten jedoch noch während dieses Prozesses Fehler auftreten, da sich Herstellerfunktionen und Architektur voneinander unterscheinen können.
SafeBreach selbst sagte, dass es mögliche Szenarien der Sicherheitsverletzung gegeben habe, die auf eine solche Lückenhaftigkeit in den Richtlinien und Fehlermeldungen zurückzuführen sind, die durch Annahmen über neue NGFW-Standardrichtlinien und Risiken der Auto-Migration entstanden sind.
Ein anderes Problem ist, dass viele Benutzer verschlüsselten Datenverkehr wie SSL, TLS und SSH gar nicht erst entschlüsseln, was für sie leicht zu einem toten Winkel werden könnte, so Webber. Eine übliche Angriffstaktik ist es, Malware und andere schädliche Codes in diesen Datenverkehr zu integrieren. NGFWs können verschlüsselten Datenverkehr unterbinden und durchsuchen, um solche Bedrohungen früh genug zu stoppen; doch leider wird diese Funktion nicht so oft genutzt, wie sie es sollte, sagt er.
In der Tat schnitt Cisco das Thema in seinem Cybersecurity Report 2018 an und erklärte, dass 50 Prozent des weltweiten Web-Traffics seit Oktober 2017 verschlüsselt waren.
„Das macht einen Anstieg von ganzen 12 Prozent seit November 2016 aus. Ein Grund dafür ist die Verfügbarkeit von kostengünstigen oder sogar kostenlosen SSL-Zertifikaten. Oder die verstärkte Praxis von Google Chrome, unverschlüsselte Webseiten, die mit sensiblen Informationen wie den Keditkarteninformationen ihrer Kunden umgehen, als „nicht sicher“ zu kennzeichnen, heißt es in dem Bericht.
„Die meisten Unternehmen sind motiviert bei der Sache, die HTTPS-Verschlüsselungsanforderungen von Google zu erfüllen, wenn sie keinen potenziell erheblichen Rückgang ihrer Google-Suchseiten-Rankings riskieren wollen. Mit zunehmendem Umfang des verschlüsselten globalen Web-Datenverkehrs scheinen Angreifer die Verschlüsselung als ein Mittel zur Vertuschung ihrer Command-and-Control-Aktivitäten auszuweiten. Ciscos Bedrohungsforscher beobachteten außerdem eine um das Dreifache erhöhte Zunahme der verschlüsselten Netzwerkkommunikation, die innerhalb von 12 Monaten von geprüften Malware-Proben genutzt worden war. Unsere Analyse von mehr als 400.000 bösartigen Binärdateien ergab, dass ungefähr 70 Prozent dieser Dateien mindestens seit Oktober 2017 eine Verschlüsselung verwendeten“, erklärte Cisco.
Ein weiteres Problem mit NGFWs, auf das Webber aufmerksam machte, ist die leicht zu unterschätzende Abdeckung der Netzwerksegmentierung, die dazu dient, den Schutz von Unternehmensanlagen zu erhöhen.
Firewalls der nächsten Generation werden vor allem zum Segmentieren interner Netzwerke eingesetzt. „Es ist wichtig, dass Sie sich kontinuierlich davon überzeugen, dass diese Segmentierung auch tatsächlich funktioniert, da sie eine hervorragende Sicherheitsmethode darstellt, um Angreifer daran zu hindern, tiefer in das Netzwerk vorzudringen. SafeBreach hat festgestellt, dass interne Server (die als korrekt segmentiert betrachtet werden können) tatsächlich mit Command-and-Control-Servern kommunizieren“, erklärte das Unternehmen.
„Kunden können sich beim Thema Sicherheit nicht mehr nur auf den Rand konzentrieren – diese Zeiten sind schon lange vorbei. Cyberangriffe können von überall kommen“, so Webber.
Ein weiteres wichtiges Thema ist der Umgang mit dem Internet of Things (IoT). „NGFWs sind eine hervorragende Möglichkeit, den IoT-Verkehr einzudämmen, doch dazu müssen die Kunden neue Richtlinien festlegen und andere wiederum ordentlich validieren, damit sie effektiv funktionieren“, erklärte Webber.
Cisco hat das IoT-Problem weiter analysiert und festgestellt, dass „Angreifer bereits Sicherheitslücken in IoT-Geräten ausnutzen, um Zugang zu Systemen zu erhalten – einschließlich industrieller Steuerungssysteme, die eine kritische Infrastruktur unterstützen. IoT-Botnets wachsen mittlerweile auch in Größe und Leistung und sind zunehmend in der Lage, mächtige Angriffe zu entfesseln, die das Internet empfindlich stören könnten.“
„Die Verschiebung der Angreifer zu einer stärkeren Nutzung der Anwendungsschicht zeigt, dass dies ihr Ziel ist. Aber viele Sicherheitsexperten sind sich der Bedrohung, die von IoT-Botnets ausgehen kann, nicht bewusst oder weisen sie sogar ab. Unternehmen fügen ihren IT-Umgebungen immer wieder IoT-Geräte hinzu, ohne sich Gedanken über die Sicherheit zu machen, oder, schlimmer noch, sie nehmen sich keine Zeit dazu, auszuwerten, wie viele IoT-Geräte mit ihrem Netzwerk in Berührung kommen. Auf diese Weise erleichtern sie es Angreifern immens, die Kontrolle über das IoT zu übernehmen.“
*Michael Cooney ist leitender Redakteur bei NetworkWorld.com
Be the first to comment