Checkliste: Fünf Fehler und vier Lösungsansätze
So verhindern Sie Sicherheitslücken durch SSL-verschlüsselten Traffic
SSL/TLS-Verschlüsselung ist eine weit verbreitete Technologie, wenn es gilt, die Kommunikation mit internen und externen Servern abzusichern. Ihr Einsatz beeinträchtigt jedoch die Wirksamkeit anderer Security-Systeme, weil diese keine Einsicht in den verschlüsselten Traffic nehmen können , und erhöht so das Risiko erfolgreicher Angriffe. Das Marktforschungsunternehmen Gartner prognostiziert, dass im Jahr 2017 über die Hälfte aller Angriffe auf Unternehmensnetzwerke verschlüsselten Traffic nutzen werden, um Sicherheitskontrollen zu umgehen.
Verschlüsselter Traffic entwickelt sich damit zunehmend zu einem gefährlichen Angriffsvektor. Grund genug, um über die fünf häufigsten Fehler zu sprechen, die Unternehmen beim Monitoring des Netzwerk-Traffics machen:
- Fehlende Aufmerksamkeit. Gartner stellt fest, dass viele Unternehmen die Gefahr durch SSL/TLS nach wie vor unterschätzen. So verfügen nur die wenigsten über eine offizielle Policy für die Kontrolle und das Management von verschlüsseltem Traffic. Weniger als die Hälfte aller Unternehmen mit dediziertem Secure Web Gateway (SGW) entschlüsselt ausgehenden Web-Traffic. Weniger als 20 Prozent aller Unternehmen mit einer Firewall, einem Intrusion Prevention System (IPS) oder einer Unified Threat Management (UTM) Appliance entschlüsseln eingehenden oder ausgehenden SSL-Traffic.
- Keine dedizierten Systeme. Viele Unternehmen investieren im Bereich SSL-Entschlüsselung nicht zielgerichtet. Sie geben viel Geld für die unterschiedlichsten Lösungen – vom IDS/IPS über DLP und NGFW bis hin zu Malware Analysis – aus. Diese Technologien decken zwar viele Sicherheitsaspekte ab, integrieren SSL Inspection aber nur als Add-On-Feature, und bieten allenfalls eingeschränkte Transparenz für Web/HTTPS-Traffic. Hinzu kommt, dass dann meist mehrere Appliances eingesetzt werden müssen, weil die Inspektion des SSL-Traffics äußerst Prozessor-lastig ist. Das macht den Betrieb einer solchen Lösung teuer, ineffektiv und aufwendig.
- Stop-and-Go-Projekte. Projekte zur Entschlüsselung von verschlüsseltem Traffic verlaufen selten reibungslos. Um die Einhaltung aller Gesetze, Compliance-Vorgaben und Datenschutzbestimmungen zu gewährleisten, müssen die Rechts- und Personalabteilungen, die Betriebsräte und die Compliance-Beauftragten in die Entscheidungsfindung eingebunden werden. Zudem besteht immer die Gefahr, Mitarbeiter zu verärgern (z.B. „Warum durchforstet die IT meine E-Mails?“), was die Umsetzung der Entschlüsselungs-Projekte zusätzlich verzögert und erschwert.
- Unzureichender Schutz. Malware missbraucht SSL, um Schaden anzurichten. So verwendet laut Gartner das pervasive Bot-Netz „Zeus“ SSL/TLS-verschlüsselte Kommunikationskanäle, um die Malware auf infizierten Systemen mit zusätzlichem Schadcode zu aktualisieren. Nach Erkenntnissen der Blue Coat Research Labs verwendet auch der Trojaner Dyre bei der C2C-Kommunikation (Command & Control) ähnliche Mechanismen (z. B. Upatre), um die Verbindung mit seinen C2C-Servern zu tarnen.
- Argloser Umgang mit der Cloud. Im Zuge der rasanten Einführung von Cloud-Apps und -Services präsentieren sich die IT-Landschaften der Unternehmen umfangreicher und komplexer als je zuvor. Der SSL/TLS-verschlüsselte Traffic nimmt kontinuierlich zu, und auch die Angriffsfläche wird größer. Moderne Anwendungen wie Social Media, Cloud Storage, Suchdienste und Cloud-basierte Software nutzen immer öfter SSL/TLS als Basis ihrer Kommunikation. Es wird also immer wichtiger, diese Anwendungen durchgehend auf böswillige Inhalte und Aktivitäten hin zu überwachen. Darüber hinaus wirft die zunehmende Verbreitung dieser Anwendungen viele Fragen zur strategischen Verwendung von Ver- und Entschlüsselung auf.
Die folgenden vier Schritte helfen Ihnen, Sicherheitslücken durch SSL in Ihrem Netzwerk zu vermeiden:
- Status Quo feststellen: Machen Sie eine Bestandsaufnahme und planen Sie für künftiges Wachstum: Ermitteln Sie den Anteil und das Volumen des SSL-Traffics in Ihrem Netzwerk.
- Abteilungsübergreifende Zusammenarbeit: Bewerten Sie das Risiko durch ungeprüften Traffic: Sprechen Sie mit Ihrer Rechts- und Personalabteilung, Ihrem Betriebsrat und Ihren Compliance-Beauftragten über die Themen Ver- und Entschlüsselung. Analysieren und optimieren Sie Ihre Policies gemeinsam im Hinblick auf Sicherheit, Datenschutz und Compliance. Entwickeln Sie zusammen einen Aktionsplan zur Beseitigung eventueller Schwachstellen.
- Encrypted Traffic Management: Erweitern Sie Ihre Netzwerk-Security um ein umfassendes Encrypted Traffic Management und schöpfen Sie so das volle Potenzial Ihrer vorhandenen NGFW, IDS/IPS, AV- und DLP-Systeme, Malware-Analysesysteme (Sandbox) und Security Analytics Plattformen aus. Auf diese Weise erkennen Sie auch Threats in verschlüsseltem Traffic und können angemessen reagieren.
- Behalten Sie Ihre Policies im Auge: Für Verschlüsselungsprojekte sind komplexere Richtlinien und ausgereifte Technologien von Nöten. Optimieren Sie Ihre Policies zum Einsatz verschlüsselter Anwendungen und zum Umgang mit ein- und ausgehendem Traffic – und stellen Sie eine durchgängige Umsetzung sicher.
Quelle: Blue Coat Systems GmbH