Schutzschilder für virtuelle Maschinen, Web-Applikationen und NetzeSicherheit für neue Technik
SaaS und Virtualisierung ziehen Hacker an
Schutzschilder für virtuelle Maschinen, Web-Applikationen und Netze
Unternehmen weiten zunehmend ihre IT auf Telearbeit und virtuelle Umgebungen aus. Sie und nutzen dabei oft Internet-Applikationen oder Fernwartungsfunktionen, um auf ihre Firmendaten zuzugreifen. Oft tun sich hier Sicherheitslücken auf, wie vergangenes Jahr etwa die Fehler in Fernsteuerfunktionen von verschiedenen Windows-Servern zeigten. Und auch das Auslagern von Informationen an Dritte, die dann für die Sicherheit der Daten sorgen müssen, bürgt nicht immer für die Einhaltung der Sicherheits-Versprechen. Das zeigte zum Beispiel der Phishing-Fall beim CRM-Webservice Salesforce.
Professionelle Angreifer sind früh dabei, wenn es um das Ausnutzen neuer Lücken geht. Und jetzt kommt es noch schlimmer: Der Trend zu Virtualisierung macht es noch einfacher, viele virtuelle Rechner, Netzkomponenten oder Storage-Systeme über einen einzigen Angriffspunkt zu kompromittieren – ist ja alles nur noch virtuell auf einem Server beziehungsweise in einem Rechenzentrum!
SaaS (Software as a Service) und Virtualisierung – Einfallstore für Horden von böswilligen Hackern? Nicht unbedingt: Die Sicherheitsexperten haben frühzeitig erkannt, was uns da blüht. Erste Produkte zum Schutz virtueller Umgebungen und gehosteter Software sind schon da.
Horden von Bösewichtern sind abzuwehren
Schutzschilder für virtuelle Maschinen, Web-Applikationen und Netze
Insbesondere Firewall-Anbieter strecken ihre Fühler aus, um virtuelle Netze (VPNs), virtuelle Server-Umgebungen und gehostete Dienste besser zu schützen. Die Menge der Angriffe der letzten Jahre hat die Sicherheitsindustrie dazu gebracht, die Schlinge der Schutzsysteme enger zu ziehen – Firewalls gibt es nun nicht mehr nur für die “Hülle” der Netzwerk-Infrastrukturen, sondern schon tiefergehend auf der Anwendungsschicht.
Grund: Die “bösen Jungs” der Hackerwelt greifen nicht mehr nur brutal mit Masse an, sondern “finden gezielt schlaue Wege, um die Schutzhülle (Firewalls und Antivirenprogramme) herum”, erklärte Mikko Hypponnen, Cheftechniker der finnischen Securityfirma F-Secure, anlässlich einer Konferenz im Münchner Hotel Bayerischer Hof.
Mikko Hypponnen: “Angreifer suchen gezielte und schlaue Wege. Brute-Force-Attacken sind längst vorbei
Die Sisyphus-Aufgabe für die Security-Anbieter, mit der Geschwindigkeit der Angreifer beim Erspähen von Lücken Schritt zu halten; bringt sie dazu, immer wieder neue intelligente Schutzsysteme auszuspucken. Diese bewahren den Kunden vor dem Schlimmsten. Neuester Trend: WAFs (Web application firewalls) wie sie die Firma Breach produziert. Die Herausforderung für sie ist, dass jede Anwendung anders ist und daher auch anders angegriffen werden kann. Sie muss also das Verhalten jeder Anwendung überwachen und Abweichungen erkennen, die Hacking-Aktivität bedeuten könnten.
Anders geht das Intrusion-Prevention-System Safe’n’Sec aus Russland vor: Es überprüft die Netzwerk-Aktivitäten und das Verhalten der Nutzer – Stichwort “Gefahr von innen”. Michail Kalinichenko; Chef des russischen Softwarehauses, erklärte gegenüber IT im Unternehmen, seine Software sei sogar lernfähig und erkenne, wenn ein Nutzer von innen wie von außen Ungewöhnliches tue.
Michael Kalinichenko: “Unsere IntrusionDetection ist lernfähig”
“Beim Erkennen von Angriffen von außen allerdings kommt das Programm wahrscheinlich nicht mit den Massen von veränderlichen Angriffsdaten zurecht, wie sie moderne Botnetze ausführen”, erwidert ein Techniker der neuen Münchner Firma Nibelung. Deren erst in Kürze erscheinendes Produkt “Deflector” soll die ständig wechselnden IP-Adressen und Datenpakete vom Firmennetz abwehren können. Safe’n’Sec soll zur Systems schon nach einer Kooperation gefragt haben.
Schutz virtueller durch echte Hardware
Schutzschilder für virtuelle Maschinen, Web-Applikationen und Netze
Über die Software-Anbieter hinaus nehmen sich auch hardwarezentrierte Firmen wie Cisco der neuen Herausforderungen an. Sie und andere Unternehmen bieten neue Arten von Hardware-Firewalls, die auf dem Application Layer des Netzes und in virtualisierten Systemen arbeiten. Vor Kurzen zeigte Cisco seine neue ASA 5580, eine Firewall Appliance für große Firmen mit vielen Standorten. Das Gerät hat einer internetnews.com-Story zufolge Funktionen für “IP Security und Secure Socket Layer Virtual Private Network” (IPSec und SSL VPN). Ein netter unverständlicher Weg zu sagen, dass das Gerät den Nutzern zwei verschiedene Arten der Fernarbeit erlaubt, um sicher mit Datenbanken und Anwendungen zu kommunizieren.
Bild: Ciscos Highend-Firewall-Appliance schützt virtuelle Netze
Das Gerät soll erst im März in den USA ausgeliefert werden, wann es hier erhältlich ist, ist noch nicht bekannt. Cisco behauptet, das Big-Business-Gerät könne bis zu zwei Millionen Transaktionen gleichzeitig auf die Einhaltung von Policies überprüfen.
“Firewall” jedoch scheint ein zu weit gefasster Begriff zu sein: Es gibt die klassischen Netzwerk-Firewalls, die neuen Anwendungsfirewalls und zudem die Firewalls für virtuelle Netzverbindungen (VPNs).
Virtuell sind neuerdings auch Geräte, nicht nur Netze: Ganze Rechner oder Speicher-Umgebungen existieren nur noch als Software. Die virtuellen Geräte wie sie etwa mit VMWare gesteuert werden und mehrere Betriebssysteme auf einem Rechner gleichzeitig laufen lassen können, sind scheinbar offen wie ein Scheunentor. So entdeckte McAfee im September einen DHCP-Fehler in VMWare – Hacker konnten hier mit einem Angriff gleich mehrere virtuelle Systeme kompromittieren.
VMWare hat den Bug inzwischen beseitigt, doch das Beispiel hat gezeigt, wie angreifbar virtuelle Systeme sein können. Howard Solomon von der IT World Canada erklärt, welche weiteren Fehlerquellen es bei der Virtualisierung gäbe – etwa der Softwarebus, den manche Virtualisierungssysteme bieten, um die Anwendungen verschiedener virtueller Instanzen miteinander kommunizieren zu lassen.
WAFs und virtualisierte Sicherheit
Schutzschilder für virtuelle Maschinen, Web-Applikationen und Netze
Firewalls für virtuelle Systeme hat Analystenfirma Gartner in einer Liste zusammengetragen: Das Security Gateway der deutschen Firma Astaro zum Beispiel und die US-Produkte VirtualShield von Blue Lane, die Virtual Security Appliance von Reflex Security und der V-Agent von Catbird. Produkte der finnischen StoneSoft und der US-Anbieter StillSecure und McAfee würden erwartet, ber
ichtet Gartner.
Und Web-Applikationen? Schutzsysteme namens WAF (Web Application Firewalls) gäbe es schon eine geraume Zeit, schreibt Security-Audit-Experte Jeremiah Grossman in seinem Weblog und zählt einige Beispiele von WAFs auf, darunter Breach, Citrix und Imperva. Sie hätten sich nur deshalb nicht weit verbreitet, weil sie bisher zu kompliziert sind. Er rechnet mit einer Verbreitung von weltweit gerade mal rund 1000 Systemen, die richtig arbeiten. Die Idee, Anwendungen zu schützen, ohne deren Code zu verändern, sei allerdings bestechend. Und da diese neue Kategorie noch nicht perfektioniert sei, müssten die Anbieter und Nutzer von Web-Anwendungen derzeit eben mit schwierigen Schutzsystemen arbeiten. WAFs seien zwar keine silberne Kugel, die jeden eindringenden Vampir zur Ruhe bringe, doch auf jeden Fall eine nötige Waffe im Schrank des Security-Personals größerer Unternehmen.
Bei so vielen neuen Schutzmöglichkeiten stellt sich für die Firmennutzer immer noch die Frage: Wie schütze ich mein Unternehmen vor den neuen Gefahren? Die beste Antwort darauf haben derzeit wohl die auf Security-Services spezialisierten Firmen. Wer selbst SaaS und Virtualisierung einführt, sollte vielleicht auch seine eigene Security “virtualisieren” und externen Dienstleistern als Service überlassen.