Schwachstelle Rechenzentrum: Virtuelle Umgebungen forcieren Datenklau

Schwachstelle Rechenzentrum: Virtuelle Umgebungen forcieren Datenklau

By:
Angela Heindl-Schober
December 19, 2016

Rechenzentren im Jahr 2016 sind stark virtualisiert, eng bepackt mit riesigen Datenmengen, wertvollen Geschäftsinformationen und unternehmenskritischen digitalen Asstes – ein gefundenes Fressen für Hacker und Cyberkriminelle. Denn auch wenn das Rechenzentrum ins Unternehmensnetzwerk integriert ist, so ist es möglicherweise vom tatsächlichen Geschehen abgekoppelt. Hinzukommt, dass 80 Prozent des Traffics das Data Center nie verlässt und so von traditionellen Netzwerk-Perimeter-Sicherheitskontrollen nicht gesehen werden kann. Das Aufspüren von Hintertüren in Rechenzentren und Netzwerkinfrastrukturen ist eine Paradedisziplin für Hacker, die bereits so manche Sicherheitslösung geschickt umgangen hat. Das Problem: Häufig fehlt Firmen eine durchdachte Strategie, ihre Sicherheitskonzepte sind alles andere als ausgereift. Gesucht ist ein umfassender Ansatz zur Aufdeckung von versteckten Sicherheitslücken in Netzwerkinfrastrukturen wie Firewalls, Server, Router und Switches. Denn immer mehr Cyberkriminelle verschaffen sich verborgen durch Hintertüren in privaten Unternehmensrechenzentren Zugang zu wichtigen Daten.

Die aktuelle EMC-Studie „Digital Universe“ prognostiziert, dass die weltweite Datenmenge bis 2020 um den Faktor 10 wachsen wird. Grundlage für diese Erhebung sind Forschungsergebnisse und Analysen von IDC. Die Datenflut werde, so die Forscher, vor allem durch Sensordaten aus dem „Internet der Dinge” (IoT) vorangetrieben. Betrug die Datenmenge 2013 noch 4,4 Billionen Gigabyte soll sie bis 2020 auf 44 Billionen Gigabyte anwachsen. Aufgrund dieser enormen Datenzunahme, auch angefeuert durch die stete Digitalisierung der Geschäftswelt, müssen sich Unternehmen vermehrt Gedanken machen, wie sie ihre wertvollen und geschäftsrelevanten Data Assets und Informationen langfristig sichern. Rechenzentren und Clouds sind somit zunehmend auf dem Vormarsch. Um die dort hinterlegten Daten ausreichend zu schützen, ist jedoch eine verlässliche Strategie gepaart mit umfassenden Security-Ansätzen für bekannte sowie neue potenzielle Sicherheitsbedrohungen die Grundvoraussetzung.

Perimeter-Sicherheit nicht ausreichend

Viele Sicherheitsmaßnahmen sind allerdings noch nicht ausgereift. Angreifer von außen oder Insider bedienen sich Methoden, die Sicherheitsteams nicht wahrnehmen oder auf die sie nur unzureichend vorbereitet sind. Laut Gartner-Report „Network Security Architectures for Virtualized Data Centers” mangelt es „perimeter-zentrischer Sicherheit und zonenbasierten Firewall-Infrastrukturen beispielsweise an Überblick und Kontrolle über Ost-West Rechenzentrums-Traffic, was rund 80 Prozent des gesamten Data Center Netzwerk-Traffics ausmacht.“ Laterale Bewegungen der Angreifer sowie das Ausbreiten von Malware ließen sich, so die Analysten, nicht kontrollieren. Die Methoden und Ansätze der Angreifer, um Rechenzentren zu kompromittieren, werden immer ausgefeilter. Sie versuchen, digitale Ressourcen zu kontrollieren oder zu zerstören, Informationen zu stehlen, Geld zu erpressen oder Imageschäden hervorzurufen. Doch wie können Rechenzentren ihre digitalen Assets besser absichern?

Status Quo: IPS, Anti-Malware oder Web Filtering zu schwach

Die meisten Branchen und Unternehmen konzentrieren sich in Sachen Data Center Security immer noch auf traditionelle und bekannte Perimeter-Sicherheit wie IDS/IPS, Anti-Malware-Lösungen oder Web Filtering. In Rechenzentren bleiben 80 Prozent des Traffics jedoch außerhalb des Perimeters – herkömmliche Lösungen haben keinerlei Wirkung und können geschäftsrelevante Daten deshalb auch nicht ausreichend absichern. Unternehmen konzentrieren sich auf firewall-ähnliche Sicherheitsmechanismen, um Richtlinien für den Datenverkehr im virtuellen Rechenzentrum durchzusetzen. Hierzu gehört beispielsweise die einfache Portierung von traditionellen Firewalls, um als virtuelle Maschinen zu agieren. Hinzukommen agentenbasierte Segmentierungsmodelle, die eng mit der Virtualisierungs-plattform-Software an sich integriert sind.

Switches, Router und Firewalls vermehrt Angriffsziele

Sicherheitsansätze wie diese sind jedoch nicht ausreichend, um Rechenzentren umfassend zu schützen. So sind Cyberattacken heute deutlich besser getarnt und professioneller als noch vor einigen Jahren. Herkömmliche Sicherheitslösungen können viele der neuen Methoden schlichtweg nicht erkennen. Ein Beispiel: Angreifer versuchen vermehrt, die physikalische Data Center-Infrastruktur zu beeinflussen und zu kontrollieren. Sie agieren im Verborgenem, „unter dem Radar“ traditioneller Sicherheitslösungen, die sich auf VM Workloads und Intra-Hypervisor virtualisierten Traffic fokussieren. Die meisten Systeme konzentrieren sich darauf, die Anwendungen und Daten im Rechenzentrum abzusichern. Immer mehr Cyberkriminelle greifen jedoch die Switches, Router und Firewalls sowie physikalische Hosts selber an, die das Rechenzentrum ausmachen. Data Center in der Cloud benötigen einen neuen und verlässlicheren Sicherheitsansatz.

Problem gestohlene Administratorenrechte

Um neue Strategien entwickeln zu können, müssen die Angriffsmethoden bekannt sein, die Angreifer vermehrt einsetzen, um Rechenzentren zu kompromittieren, und die oft übersehen werden. Zu beliebten Hintertüren gehören beispielsweise administrative Protokolle. Das Rechenzentrum muss zwar - das steht außer Frage - von einem autorisierten Administrator des jeweiligen Unternehmens überprüft und gepflegt werden. Ein Hacker, der über gestohlene Administratorenrechte und Zugangsdaten verfügt, hat allerdings Zugriff auf System und Daten und kann somit immensen Schaden anrichten.

Dringender Handlungsbedarf in Sachen IPMI

Der Einsatz von Hintertüren in Netzwerkinfrastruktur-Geräten ist gut dokumentiert. Bekannte Vorfälle gab es bereits Ende der 1990er-Jahre sowie den frühen und mittleren 2000-Jahren, darunter die Snowden-Enthüllung 2013. Ein Beispiel aus dem Sommer 2016: Im August behaupteten die sogenannten Shadow Brokers, eine Gruppe von Superhackern gehackt zu haben, die der NSA nahestehen soll. Die Gruppe hatte Informationen veröffentlicht, die Exploits enthalten, mit denen sich wiederum Router und Firewalls angreifen und Netzwerke überwachen lassen. Weitere gern genutzte Einfallstores für Cyberkriminelle sind IPMI-Geräte: So untersucht die Shadowserver Foundation im Rahmen eines breit angelegten Projekts wie beispielsweise öffentlich zugängliche Geräte, die via Intelligent Platform Management Interface (IPMI) Hintertüren für Angriffe öffnen. Ziel des Projektes ist es, ungeschützte und somit angreifbare IPMI Devices - also Geräte, die via Fernwartungsprotokoll gepflegt werden - aufzudecken und die Eigentümer auf die gefundenen Sicherheitslücken aufmerksam zu machen. Auf die aktuelle IPMI-Abfrage haben 168.887 verschiedene IPs geantwortet. Von den 50.683 Hosts, die auf IPMI v1.5 setzen, verfügen 43.112 über die NONE-Authentifizierungsmethode: Um auf diese Devices zuzugreifen sind demnach keinerlei Berechtigungsnachweise notwendig – eine Top-Gelegenheit für Cyberkriminelle. Deutschland steht im Ranking der Shadowserver-Gruppe übrigens auf dem zweiten Platz nach den USA mit den meisten öffentlich zugänglichen und somit unsicheren IPMI-Hosts. Hier besteht dringender Handlungsbedarf.

Umfassender Ansatz zur Aufdeckung von versteckten Sicherheitslücken in Netzwerkinfrastrukturen gesucht

Abhilfe schaffen neue Lösungen und Plattformen, die eng mit der Virtualisierungsplattform verbunden und gleichzeitig in der Lage sind, das Verhalten fortschrittlicher Angreifer und Cyberangriffe auf Cloud Data Center sowie die gesamte Unternehmensinfrastruktur aufzudecken – von Remote Sites bis zu Rechenzentren oder privaten Clouds. Es gilt, Sicherheitslösungen einzusetzen, die versteckte Tunnel finden, den Missbrauch administrativer Protokolle und Privilegien sowohl durch Insider Threats als auch externe Angreifer aufdecken und die auch vor Betriebssystem-Rootkits und anderen Attacken schützen. Nicht vergessen werden dürfen Remote Access Tools (RATs), User Account Ports oder Protokolle sowie Verhaltensanalyse-Werkzeuge, die ebenfalls von Angreifern als Einfallstor genutzt werden, um an Daten zu gelangen und Infrastrukturen zu beschädigen.

Die neuen Sicherheitstools beinhalten zwei relevante Schlüsselkomponenten: Sensoren sowie eine analytische Engine. Die Sensoren werden im gesamten Umfeld des Rechenzentrums verteilt, um so den Überblick über den Netzwerktraffic zu verbessern und die Analysemaschine in die Lage zu versetzen, die Data Science- und Machine Learning-Prozesse anzustoßen, um die Verhalten der Angreifer aufzudecken und Gegenmaßnahmen in die Wege zu leiten. Die virtuellen Sensoren verknüpfen sich mit jedem vSwitch, um so Traffic zu analysieren und Bedrohungen zwischen den Workloads innerhalb der virtuellen Umgebung aufzudecken. Unternehmen sollten einen Ansatz wählen, der es ihnen gestattet, umfassende Transparenz und Sicherheit für alle physikalischen und virtuellen Assets im Unternehmen zu erhalten. Es geht verstärkt um die Aufdeckung von versteckten Sicherheitslücken in Netzwerkinfrastrukturen wie Firewalls, Server, Router und Switches. Neue Sicherheitsansätze müssen auch Hintertüren für Cyberangriffe in privaten Unternehmensrechenzentren und Public Clouds abdecken.

Fazit: Versteckte Zugänge aufdecken

Lange Zeit haben sich Sicherheitsüberlegungen in Bezug auf Rechenzentren hauptsächlich mit Themen wie Segmentierung, Zugriffsrichtlinien und Anti-Virus-Lösungen im virtuellen Umfeld beschäftigt, um so Einfallstore für Angreifer zu schließen. Hacker haben aber vermehrt herausgefunden, dass sich der Schlüssel für kriminelle Vorhaben tiefer in den tatsächlichen Geräten befindet, die in der jeweiligen Data Center-Infrastruktur genutzt werden. Neue Technologien und Sicherheitsstrategien müssen versteckte Zugänge, Rootkits oder Attacken, die von vertrauter Infrastruktur ausgehen, aufdecken. Hinzukommt die Ermittlung fehlerhafter und kompromittierter Administratoren, also die Kontrolle unsachgemäßer administrativer Aktivitäten wie Prozesse, die Low-Level-Managementprotokolle wie IPMI beinhalten. Nur wer die Bereiche und Devices im Rechenzentren identifizieren kann, die gefährdet sind, kann Angriffe stoppen, ehe diese Schaden anrichten.

Lesen Sie den Artikel auch in LANline.