Ändert SolarWinds die Regeln im offensiven Cyber-Bereich? Experten sagen nein, bieten aber Alternativen

  • Die weitreichende Reichweite des SolarWinds-Malware-Angriffs, der im Dezember Regierungsbehörden und Unternehmen traf, hat die Debatte über die angemessene Reaktion von Organisationen des privaten Sektors auf Cyberangriffe von Nationalstaaten neu entfacht.

    Viele Unternehmen, vor allem in der Technik- und Sicherheitsbranche, haben einen enormen Einblick in die Funktionsweise ihrer eigenen Systeme und in mögliche Angriffe, was sie nach Ansicht mancher in eine besonders gute Position versetzt, um Angreifer zurückzuschlagen. Dies zu tun, könnte jedoch eine Reihe von Problemen mit sich bringen.

    “Zurückhacken ist immer noch eine Frage der rechtlichen Interpretation, aber zum größten Teil ist es nach internationalem Recht nicht legal”, sagte Joseph Neumann, Direktor für offensive Sicherheit bei Coalfire. “Es ist das Äquivalent zu mir oder Ihnen, die sich entscheiden, einem Bären ins Gesicht zu schlagen, der gerade Ihren Picknickkorb gestohlen hat.” “Am Ende des Tages wird der Bär gewinnen.”

    Chris Roberts, virtueller Chief Information Officer und Berater einer Reihe von Unternehmen und Agenturen als Teil des HillBilly Hit Squad, warnte während eines kürzlichen SC-Webinar-Panels: “Wir denken, wir haben jetzt Probleme. Das ist nichts im Vergleich zu dem, was passieren würde”, wenn Unternehmen in den Angriffsmodus gehen.

    Er merkte an, dass raffinierte böse Akteure, die ein langes Spiel spielen, wahrscheinlich zahlreiche Angriffsmöglichkeiten haben. Eine Organisation könnte Opfer einer endlosen Reihe von Angriffen werden.

    “Als Angreifer werde ich nicht einfach nur einen Weg hineinlassen”, sagte Roberts. “Glückwunsch, Sie haben einen meiner Eingänge gefunden. Ich habe noch sechs oder sieben andere, wenn Sie also hinter mir her sind, werde ich Ihnen vier oder fünf andere Wege zeigen und Sie immer wieder zu Fall bringen.”

    Chris Roberts von HillBilly Hit Squad spricht einige eindringliche Warnungen an Unternehmen aus, die erwägen, die Cyber-Response selbst in die Hand zu nehmen. Klicken Sie hier, um sich die gesamte Podiumsdiskussion über die Lehren aus dem SolarWinds-Angriff anzuhören.

    Welche Optionen stehen also den Zielunternehmen zur Verfügung? SC Media befragte Sicherheitsexperten, die sowohl auf die Koordination der Community als auch auf proaktive Cyber-Maßnahmen zur besseren Abschreckung von Angreifern hinwiesen.

    Die koordinierte Reaktionsalternative

    Im Gegensatz zu vielen Unternehmen des privaten Sektors verfügen Bundesbehörden über die Intelligenz, den Sachverstand in geopolitischen Angelegenheiten und, was vielleicht am wichtigsten ist, über die Zuständigkeit, Strafmaßnahmen gegen Nationalstaaten zu ergreifen – sei es durch Gegenmaßnahmen oder Sanktionen. Am Ende seiner letzten Amtszeit verhängte der ehemalige Präsident Barack Obama beispielsweise zusätzliche Sanktionen gegen Russland wegen der Einmischung in die Präsidentschaftswahl 2016, und im Zuge von SolarWinds hat Präsident Joe Biden eine mögliche Reaktion gegen Russland angedeutet.

    Aber auch die Absicht spielt bei den Optionen der Regierung eine Rolle. Die meisten Experten vermuten, dass es sich bei dem SolarWinds-Angriff beispielsweise um eine Spionageoperation handelte – ähnlich denen, die die USA heimlich durchführen – im Gegensatz zu einem Angriff, der auf Zerstörung abzielte, wie z. B. die Abschaltung des Stromnetzes. Letzteres könnte möglicherweise als Kriegshandlung angesehen werden und sogar Artikel 5 unter den NATO-Mitgliedern auslösen. Das ist nicht unbedingt wahr für die erste.

    “Nationalstaatliches Hacking wird schon seit langem von allen Seiten betrieben”, sagte Mark Kedgley, Chief Technology Officer bei New Net Technologies. “Es ist nur die neueste Grenze für die andauernden stillen Kriege der internationalen Spionage und Störung”.

    Ein effektiveres Mittel, um auf nationalstaatliche Akteure zu reagieren, wäre die Koordination mit Regierungsbehörden und der Industrie. Das bedeutet, eine gewisse Scheu zu überwinden, die seit langem zwischen dem privaten und dem öffentlichen Sektor besteht.

    “Es gibt eine Wahrnehmung, die gebrochen werden muss”, sagte Bryan Hurd, Vizepräsident bei Aon Cyber Solutions, der von einem prominenten Senator erzählte, der nach der Durchführbarkeit des “Sprengens von Computern” als kinetische Aktion gegen Angreifer fragte, nur um dann schnell abgeschaltet zu werden. “Leute aus dem privaten Sektor denken, dass die Regierung alle Antworten hat. Und die Regierung denkt das Gleiche über den privaten Sektor.”

    Ein guter Ansatzpunkt für die Verbesserung der öffentlich-privaten Zusammenarbeit gegen ausländische Angreifer sind realistische Anfragen und Erwartungen. Anstatt zum Beispiel nach einem Vorfall den gesamten Server zu verlangen, sollten die Ermittler der Regierung diese Anfrage einschränken. “Kein General Counsel wird ihnen den ganzen Server geben”, sagte Hurd, der auch Mitglied der Cybersecurity Collaborative der CyberRisk Alliance ist, einem Forum von CISOs.

    Die Zuständigkeiten für die Reaktion auf Angriffe und deren Entschärfung sollten je nach Fähigkeiten und Stärken zwischen privaten und öffentlichen Stellen aufgeteilt werden. Unternehmen sollten “die offensiven Dinge den Leuten überlassen, die wissen, was sie tun”, so Roberts.

    “Das ist unsere Rolle. Unsere Rolle ist es, sehr schnell eine große Menge an Brain Trust zu einem Problem zu bringen und dann herauszufinden, wie man es an alle anderen weitergibt.”

    Das heißt, es gibt Feinheiten bei dem, was Unternehmen tun dürfen. Microsoft zum Beispiel hat “legale Mittel”, um Angreifer abzuwehren, sagte Hurd und verwies auf Takedown-Operationen, die der Tech-Gigant durchgeführt hat, einschließlich eines Gerichtsbeschlusses vom Oktober, um das berüchtigte Botnetz Trickbot zu zerschlagen. “Es gibt einen Unterschied zwischen offensiv und proaktiv.”

    Tech-Grenzen etablieren

    Abgesehen von den rechtlichen Möglichkeiten müssen Unternehmen technologische Grenzen einrichten, um die Auswirkungen von Manövern von Nationalstaaten zu verringern. Diese Grenzen “bieten nicht nur zusätzlichen Schutz, sondern können auch dabei helfen, die Präsenz von APTs in Ihrem Netzwerk aufzudecken”, so Chris Grove, Technology Evangelist bei Nozomi Networks. “Mit Hilfe der Technologie lassen sich mehr Schichten, sogar Schichten innerhalb von Schichten, ohne zusätzliche Infrastruktur schaffen.”

    Das Erreichen einer technologischen Grenze zwingt Angreifer, “ihre Taktik entsprechend anzupassen”, sagte er.

    Und Grenzen bieten “Würgepunkte, an denen Überwachung und Signalisierung stattfinden können”, so Grove. “Jede Technologiegrenze, die dem Angreifer vor die Nase gesetzt wird, dient als Chance, Ihr Netzwerk besser zu verteidigen. Das Beste ist, dass sie dazu genutzt werden können, den Aktionsradius eines Vorfalls zu begrenzen und so den Umfang des Angriffs einzudämmen.”

    Ein Beispiel dafür, wo Tech Boundaries den Tag retten könnten, wäre bei einem Hersteller, der hauptsächlich eine Microsoft Windows-Infrastruktur betreibt.

    “Wenn SolarWinds ein wichtiger Teil der Infrastruktur für Cybersicherheit, Bestandsaufnahme, Überwachung und Patching ist, wäre es anfällig für einen Angriff auf Windows-Systeme, weil es das gleiche Betriebssystem wie andere überwachte Anlagen verwendet”, sagte er. “Angenommen, ein Virus oder Wurm grassiert im Windows-Netzwerk des Unternehmens. Wenn das System, das zur Kontrolle der Unternehmensumgebung verwendet wird, ebenfalls ein anfälliges Betriebssystem verwendet, kann es infiziert werden und während der forensischen Untersuchung oder der Wiederherstellungsprozesse nicht mehr verfügbar sein. Ein wichtiges Tool, das typischerweise bei der Wiederherstellung eingesetzt wird, müsste ebenfalls wiederhergestellt werden – und das zum denkbar ungünstigsten Zeitpunkt… wenn man versucht, ein Produktionsnetzwerk wiederherzustellen.”

    Hätte der Hersteller jedoch eine technologische Grenze genutzt, wie z. B. SolarWinds unter Linux, wäre die Wiederherstellung viel einfacher gewesen. “Der Wurm oder Virus hätte seinen Weg über Windows-Systeme genommen, wäre aber gestoppt worden, als er das Linux-System traf”, so Grove. “Unter Linux hätte SolarWinds sicher im Meer der infizierten Windows-Rechner operieren können und eine sichere Grundlage für den Betrieb geboten.”

    In ähnlicher Weise können Umgebungen, die ein einziges Betriebssystem enthalten, Barrieren schaffen, indem sie Remote Access- und Virtual Private Network-Technologien auf unterschiedliche technologische Plattformen setzen. Wenn Anbieter eins den Fernzugriff bereitstellt, sollte Anbieter zwei diesen überwachen, erklärte Grove. Auf diese Weise wird im Falle eines Vorfalls auf der einen oder anderen Plattform der Radius der Explosion auf eine einzelne Geschäftsfunktion begrenzt. “Ein Produkt greift den Ausfall eines anderen auf.”

    Diese Taktiken können Unternehmen auch Wege eröffnen, um versuchte bösartige Aktivitäten zu entdecken. “Wenn ein Angreifer versucht, mehrere Herausforderungen zu umgehen, wird es schwierig, einen End-to-End-Angriff durchzuführen”, sagte er. “Während der Ausführung wird der Angreifer unweigerlich Erkundungsaktivitäten durchführen und die Grenzen ausloten, auf die er beschränkt ist.”

    Auch Täuschungstechnologie kann Sicherheitsteams Einblicke in Angreifer und ihre Techniken geben, indem sie das liefert, was Roberts als “die getarnte Umgebung, in der jemand seine Zeit verbringt, beschreibt.”

    Er fügte hinzu: “Die Kehrseite ist, dass man seine Gegner verärgern kann.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com