Dimension Data-10 Schritte Programm gegen Abwehr von Malicious Code, Viren und Würmer

Intrusion Prevention das Ausnutzen von Schwachstellen verhindern

(08.08.05) - Der Computer-Wurm "Sasser" hat im vergangenen Jahr den Schutz von vielen großen Unternehmen und Behörden überwunden und Millionen von Rechnern auf der ganzen Welt infiziert. Alle Branchen wurden gleichermaßen getroffen: Banken, Versicherungen, Verkehrsunternehmen, Universitäten und Schulen, über 500 Krankenhäuser, amerikanische und europäische Regierungs-stellen, die Post, IT-Dienstleister, Börsen, etc.

Dies passierte, nachdem man sich gerade von "MyDoom/SoBig/NetSky" einigermaßen erholt hatte und nachdem im Jahr 2003 der Blaster-Wurm Schäden in Milliardenhöhe verursacht hatte.

Die Dimension Data-Kerpunkte sind:

· Malicious Code (Würmer, Viren) ist derzeit das IT Sicherheitsrisiko Nummer Eins und bedroht fundamental die Geschäftsprozesse.

· Ohne angemessenen mehrfachen und integrierten Schutz liegt die Wahrscheinlichkeit von Infektionen bei über 95 Prozent.

· Malicious Code ist heute in der IT-Welt eine reelle Bedrohung, die nicht wieder verschwinden wird.

· Der Schaden durch derartige Angriffe wurde 2003 weltweit auf 16 Mrd. Dollar geschätzt. Die Prognose für das Jahr 2004 liegt bei 30 Mrd. Dollar.

· Firewalls und Antivirenschutz - inzwischen fast überall eingesetzt - reichen nicht aus; die Schadensfälle steigen weiter an.

Das sagen die Analysten

Die Konsequenz des Sasser-Wurmangriffs ist, dass Unternehmen ihre Intrusion Detection auf Windows-basierte System mit ausdehnen müssen, wodurch die Kosten für die Sicherheit dieser Systeme ansteigen, wie eine aktuelle Gartner Studie belegt. Die Autoren John Pescatore und Mark Nicolett sehen in Sasser die Bestätigung ihrer eigenen Vorhersagen, dass solch massive Wurmangriffe auch in nächster Zeit höchst wahrscheinlich sind. Sasser zeigte sich besonders durch seine Schnelligkeit aus: Nur 18 Tage lagen zwischen dem Bekanntwerden der Schwachstelle und dem Auftreten des Angriffs. (Blaster hielt den bisherigen Rekord mit 25 Tagen).

Pescatore und Nicolett bemerken, dass viele weitere Schwachstellen, die kontinuierlich in Windows 2000, XP and Server 2003 entdeckt werden, immer noch leicht ausgenutzt werden können. "Angreifer werden weitere Würmer entwickeln, die Systemabstürze und Netzwerküberlastung verursachen werden, wie von Blaster und Sasser verursacht."

Zusätzlich zu Personal Firewalls und Antivirenschutzprogrammen sollten Unternehmen unverzüglich diejenigen Maßnahmen ergreifen, die Gartner für bekannte Schwachstellen mit hohem Risiko empfiehlt:

· Verletzliche Systeme zu schützen durch Überprüfung und striktere Anwendung von Regeln auf

· Firewall und Intrusion Prevention-Systemen (IPS).

· Investition in Host-basierte Intrusion Prevention-Systeme für alle Windows PCs und Server.

· Investition in Hilfsmittel und Maßnahmen, um schneller Patchen zu können.

Darüber hinaus glaubt Gartner, dass Unternehmen der Installation von Intrusion Prevention-Systemen auf allen kritischen Windows-Servern und PCs die oberste Priorität in den Budgets einräumen sollten.

Die Kosten von solcher Software und die Kosten für das häufige Patchen der Systeme sollten maßgeblich in die Kalkulation der “Total Cost of Ownership” mit einfließen und ein Hauptfaktor bei der Auswahl von Betriebssystemen und Plattformen sein.

Das Dimension Data-10 Schritte-Programm

Die zuvor beschriebenen Empfehlungen sind nicht neu, und die Hinweise von Gartner sind inzwischen wiederholt veröffentlicht worden.

Die folgenden Punkte sind Kernpunkte, die Dimension Data ihren Kunden im Rahmen ihrer "Dimension Data Intrusion Management Architektur“ empfiehlt.

Für Kunden, die schon Firewalls und Antivirenschutz implementiert haben:

1. Kunden mit Check Point-Firewall-Technologie empfehlen wir den Einsatz von "Deep Packet Inspection" (SmartDefence und Application Intelligence).

2. Kunden mit begrenztem Budget, die eine sofortige, Intrusion-basierte Lösung suchen, empfehlen wir "ActiveScout" von Forescout mit Angriffserkennung am Internet-Zugang).

3. Kunden mit hoher Risikotoleranz empfehlen wir, Inline-IPS an den Internet-Zugängen wie "McAfee Intruvert". Diese Technologie ist inzwischen ausgereift - sehr funktional und sie einfach zu administrieren (im Gegensatz zu IDS).

4. Kunden mit mittlerer Risikotoleranz empfehlen wir mehrfache IPS innerhalb des Netzwerks, um die Ausbreitung intern einzudämmen ("Check Point Interspect").

5. Kunden mit niedriger Risikotoleranz empfehlen wir Host-basierte IPS auf kritischen und gefährdeten PCs/Laptops (Cisco CSA). Diese Technologie ist inzwischen ebenfalls ausgereift, ist effektiv und hat geringe administrative Kosten.

Allen Kunden wird empfohlen:

6. Host-basierte IPS (Cisco CSA) auf wichtigen Unternehmens-Servern

7. Einen robusten Prozess für Patch- und Schwachstellen-Management (Qualys-Netzwerkscans extern und intern)

8. Für Kunden, die umfangreichen gesetzlichen Auflagen haben, oder Kunden mit niedriger Risikotoleranz empfehlen wir ein Security Event Management (Network Intelligence, NetForensics) zur Logfile- und Event-Protokollierung, deren Konsolidierung und zur Überwachung.

9. Ein Review der internen Netzwerkstrukturen, um die erforderliche interne Segmentierung zu erzielen

Sicherheit bedeutet weit mehr, als nur die Implementierung der oben beschriebenen Technologien und Lösungen. Sicherheit sollte sich natürlich mit weitaus mehr als Malicious Code beschäftigen.

Deshalb:

10. Allen Kunden empfehlen wir ein quantifizierbares und messbares Sicherheits-Management-System (nach BS 7799 und ISO 17799), um Personen, Prozesse, Organisation und Erfahrungen zusammenzuführen mit Technologie für einen ganzheitlichen, integrierten Ansatz, um IT-Sicherheitsrisiken zu managen.

Um Maßnahmen aus den obigen zehn Schritten einzuleiten, steht Ihnen jederzeit Dimension Data zur Verfügung (siehe Kontaktdaten).

(Dimension Data: ra)