Immer häufiger zielen Hacker über Handelsplätze für Online-Werbung auf Ihre Opfer. Volker Marschner von Cisco Security erklärt in seinem aktuellen Blog, wie das funktioniert und wie sich Unternehmen vor, nach und während eines Angriffs verhalten sollten. Er zeigt aber auch, dass diese Angriffe sehr schnell und nur schwer zu entdecken sind.
“Malvertising” ist hier das große Stichwort, denn immer häufiger wird über Onlinewerbung Malware verbreitet – und das funktioniert leider sogar ziemlich einfach: Angreifer kontaktieren – wie normale Werber auch – die Ad Exchanges, also die Börsen, die den Werbeplatz verwalten und verkaufen. So können die Cyberkriminellen sehr gezielt vorgehen, und sich genau den Werbeplatz sichern, der von einer bestimmten Zielgruppe am ehesten angeschaut wird. Je nachdem wie schnell eine solche Werbung angezeigt werden soll, bleibt für den Ad Exchange, oder die Unternehmen, die als Gatekeeper dafür fungieren, kaum Zeit die Anzeige als solche zu prüfen.
Malvertising funktioniert also unheimlich schnell. Ohne überhaupt auf die Werbung geklickt zu haben, kann der Browser von Malvertising-Opfern schon infiziert worden sein – oft ohne dass sie überhaupt wissen, wo die Attacke herkommt. Sobald der Browser infiziert ist und Nutzer auf die Webseite klicken, die die Malware beinhaltet, werden sie auf Webseiten weitergeleitet, die mit Exploit-Kits ausgestattet sind. Diese nutzen systematisch die Schwachstellen des Systems aus und infizieren es kontinuierlich weiter. Das besonders Schwierige daran ist, die Ursache für eine Infektion zu finden, denn wird diese entdeckt, gibt es die Anzeige, die die Malware transportiert hat, schon lange nicht mehr.
Also wie genau können Sicherheitsexperten solche Attacken verhindern, wo diese doch so schnell von statten gehen und ihre Ursprünge quasi unauffindbar sind? Konventionelle Strategien schützen nicht ausreichend da sie Angriffe nicht kontinuierlich überwachen, entdecken und beseitigen. Vielmehr sollte eine effiziente Sicherheitsstrategie imstande sein, das gesamte Angriffskontinuum gleichzeitig im Blick zu haben.
Vor einem Angriff: Erst einmal braucht das Sicherheitspersonal einen umfassenden Überblick, um Regeln und Kontrollmechanismen zu implementieren, die die Umgebung schützen. Danach sollten URL- und Web Reputation-Filter Teil des Sicherheitskonzeptes werden. Durch URL-Filter können bestimmte Webseiten, bei denen bereits Malware entdeckt wurde, gesperrt werden. Außerdem lassen sich einzelne URL-Kategorien blockieren, so dass etwa die News angezeigt wird, die Werbung aber nicht. Reputation Filter geben jeder Webseite eine Bewertung. Diese wird durch verschiedene Faktoren bestimmt, etwa dem Zeitraum, über den eine Webseite Malware-frei war. Webseiten mit einem schlechten Ruf, also jene, die anfällig für Malware sind, werden erst gar nicht aufgerufen. Diese beiden Verfahren helfen aber nur dabei, Angriffe zeitpunktgenau zu erfassen. Für einen optimalen Schutz sind weitere Schritte notwendig.
Während eines Angriffs: Malware muss kontinuierlich erkannt und blockiert werden. Falls die URL- und Reputation-Filter das nicht geschafft haben, kommt das Malware Scanning in Echtzeit zum Einsatz: So lassen sich Inhalte auch verschiedenste Gefahren überprüfen, bevor der angefragte Inhalt bereitgestellt wird. Wird Malware festgestellt, wird der Inhalt blockiert. Falls nicht wirklich sicher ist, ob es sich um Malware handelt, wird der Inhalt in eine so genannte Sandbox, einen gesicherten Bereich, in dem er auf verdächtiges Verhalten überprüft wird, weitergeleitet. Wird Malware entdeckt, dann wird sofort der Administrator alarmiert, die Inhalte werden blockiert und sogar ähnlich Inhalte werden umgehend gesperrt. Aber auch das Sandbox-Verfahren hilft lediglich dabei Risiken zu verringern, kann sie aber nicht vollkommen beseitigen.
Nach einem Angriff: Leider gibt es auch Bedrohungen, die es trotz allen Sicherheitsmaßnahmen schaffen, Netzwerke zu infizieren. Hier kommen retrospektive Sicherheitsverfahren ins Spiel, die kontinuierlich alle Dateien untersuchen und mit weltweiten Entwicklungen und Erkenntnissen in Echtzeit abgleichen. Zudem kann genau untersucht werden, welche Wege eine Datei oder ein Inhalt, der als Malware identifiziert wurde, zurückgelegt hat. So lassen sich die Auswirkungen analysieren und einschränken. Sämtliche Sicherheitsebenen werden dann mit den Informationen aus den aktuellen Vorkommissen aktualisiert. So können ähnliche Angriffe in der Zukunft eher vermieden werden.
Malvertising ist heute überall und kann jeden Internetnutzer treffen. Deswegen sollte sich auch jeder damit auseinandersetzen. Sich dagegen gut und effektiv zu schützen ist jedoch ohne Zweifel keine einfache Aufgabe. Eine effektive Sicherheitsstrategie sollte das gesamte Angriffskontinuum abdecken und auf Schnelligkeit, Sichtbarkeit und absolute Kontrolle setzten. Nur so können es Sicherheitsexperten mit den Cyberkriminellen aufnehmen und Nutzer entspannter im Internet surfen.
Gibt es irgend wo einen “schnell” Check was dieses Thema betrifft? Oder muss ich wirklich alles “händisch” machen.