Problemquelle TLS-Datenverkehr
Verschlüsselung setzt Firewalls schachmatt
Fortsetzung des Artikels von Teil 1
Firewalls überflüssig?
Die enorme Zunahme des verschlüsselten Datenverkehrs hat für die meisten Unternehmen einen großen blinden Fleck in Sachen IT-Sicherheit geschaffen. Viele aktuelle Firewalls sind nicht in der Lage, diese große Menge an verschlüsselten Sitzungen zu überprüfen. In der Tat hat die TLS-Verschlüsselung die meisten Firewalls irrelevant gemacht, da sie keinen Einblick mehr in den Großteil des Datenverkehrs im Netzwerk haben. Zugleich hat die starke Zunahme der TLS-Verschlüsselung in den letzten Jahren auch Hacker auf den Plan gerufen. Sie nutzen die Verschlüsselung, um Malware unbemerkt in Unternehmensnetzwerke einzuschleusen – und dort vorzuhalten. Der Großteil des böswilligen TLS-Verkehrs stammt von Malware in frühen Phasen einer Infektion: Loader, Dropper und dokumentenbasierte Installationsprogramme, die auf gesicherte Websites zurückgreifen, um ihre Installationspakete abzurufen und Kommandos für die Infektion des Netzwerks zu erhalten.
Nahezu alle Bedrohungen im Netzwerk dringen über verschlüsselte Verbindungen ein. Sobald Hacker eine Bedrohung in das Netzwerk einschleusen, nutzen sie alle möglichen Tricks, um unentdeckt zu bleiben. Die Verwendung von TLS ermöglicht dabei, dass die Kommunikation mit den Command-and-Control-Servern der Hacker unerkannt bleibt. Es überrascht daher nicht, dass die Zahl der Schadprogramme, die TLS zur Verschleierung ihrer Kommunikation nutzen, im letzten Jahr drastisch gestiegen ist.
So nutzte 2020 fast ein Viertel (23 Prozent) der von Sophos entdeckten Malware TLS – heute schon fast die Hälfte (knapp 46 Prozent). Es gibt auch einen erheblichen Anteil an TLS-Kommunikation, die einen anderen Port als 443 – dem Standard für HTTPS-Verbindungen – verwendet. Dazu gehört beispielsweise Malware, die einen Tor- oder Socks-Proxy über eine nicht standardisierte Port-Nummer nutzt.
Hacker hosten zunehmend auch bösartige Inhalte auf legitimen Sharing-Diensten wie Discord, Github oder Google Cloud, die ebenfalls eine TLS-Verschlüsselung verwenden, um die Vertraulichkeit der Inhalte zu gewährleisten. Dies bietet eine perfekte Verschleierung für Malware und erleichtert es, Bedrohungen unentdeckt in Netzwerke einzuschleusen. Auch potenziell unerwünschte Anwendungen wie Spyware, Adware und Browser-Symbolleisten sowie Peer-to-Peer-Filesharing-Clients und weitere Tools verwenden Verschlüsselung, um die Erkennung durch die Firewall zu umgehen.
Viele IT-Teams handlungsunfähig
Die meisten Firewalls sind heute nicht in der Lage, TLS zu prüfen, denn sie können nicht intelligent bestimmen, was zu prüfen ist und was nicht. Auch sind sie nicht in der Lage, die enorme Menge an verschlüsselten Daten zu bewältigen. Zudem sind ihre Paketverarbeitungs- und DPI-Engines (Deep Packet Inspection) nicht für eine effiziente TLS-Prüfung ausgelegt. Um das Sicherheitsrisiko durch verschlüsselten Netzwerkverkehr zu minimieren, sollten Security-Verantwortliche in Unternehmen sicherstellen, dass ihre Firewall diese fünf wichtigsten TLS-Überprüfungsfunktionen enthält: Erstens sollte die Firewall mittels einer modernen, leistungsstarken Inspection Engine die neuesten Standards wie TLS 1.3 unterstützen und effektiv über alle Ports und Protokolle hinweg arbeiten, um riskanten Datenverkehr und Bedrohungen zu identifizieren. Zweitens sollte sie intelligente vorgefertigte Ausschlusslisten aufweisen, die dynamisch aktualisiert werden, um keine Websites und Dienste zu sperren, die eine Entschlüsselung nicht unterstützen oder nicht benötigen.
Drittens sollte sie Sichtbarkeit des verschlüsselten Datenverkehrs und möglicher Probleme bieten: Durch eine Dashboard-Ansicht mit einfachen Handlungsoptionen muss das IT-Team „on the fly“ Ausnahmen hinzufügen können, bevor sie sich zu einem Problem auswachsen. Viertens verhindert eine robuste Zertifikatsvalidierung die Entgegennahme ungültiger, selbstsignierter, widerrufener oder nicht vertrauenswürdiger Zertifikate und vermeidet so MITM-Angriffe. Und fünftens schließlich sollte die Richtliniendefinition die Privatsphäre der Benutzer, die Sicherheit des Unternehmens und die Netzwerkleistung berücksichtigen und für das perfekte Gleichgewicht zwischen Leistung, Datenschutz und dem Schutz vor Bedrohungen sorgen.
Michael Veit ist Technology Evangelist bei Sophos.
- Verschlüsselung setzt Firewalls schachmatt
- Firewalls überflüssig?
Lesen Sie mehr zum Thema
