zurück zur Übersicht

Firewalling E-Mails

Neue Wege in der E-Mail Security: Bösartige E-Mails sind immer noch ein primärer AngriffsvektorIn den letzten Jahren wurde viel über die veraltete Technik der klassischen Firewall gesprochen und die Schwächen der reinen Stateful Paket Inspection (SPI) aufgezeigt. Ähnlich der Natur gab es eine Evolution auf die nächste Stufe der Firewalls, die Next Generation Firewalls (NGFW). Sie schaffen eine erhöhte Sichtbarkeit in den Datenstrom bis auf Layer7, die Applikation Schicht. Durch die neu geschaffene Möglichkeit, nicht mehr nur auf IP-Adresse (Quelle und/oder Ziel) und Port zu filtern, sondern auch zu Kontrollieren welche Applikation über diese Verbindung erlaubt ist und der Möglichkeit der SSL-Inspektion durch SSL-Decryption konnte der Datenfluss sehr genau analysiert und kontrolliert werden. Eine Filterung von Schadsoftware (Malware, Vulnerabilities, Spyware usw.) direkt am Perimeter wurde so ermöglicht und verringerte die Möglichkeit einer Infektion am Endgeräte. Die Migration Projekte, weg von veralteten SPI-Firewalls hin zu NGFW wurden in den letzten Jahren flächendeckend durchgeführt und viele IT-Security Verantwortliche finden ihre Infrastruktur nun besser abgesichert, leider sind die Bad Guys jetzt nicht frustriert und werfen das Handtuch. Wie das dritte newtonsches Axiom besagt, gibt es auf jede Aktion eine Reaktion oder wie es im Film Matrix II erklärt wird Ursache und Wirkung.

E-Mail: Rückgrat der Unternehmenskommunikation

Durch die starke Digitalisierung wird immer mehr Geschäftskommunikation über Email erledigt. Wo früher noch ein Brief geschrieben wurde, die Unterlagen als Kopie geschickt wurden oder ein Fax gesendet wurde wird heute eine E-Mail geschrieben und die Unterlagen als PDF, DOC oder XLS angehängt. Nachdem nun die Wege für Angreifer durch die NGFW stark eingeschränkt bzw. unterbunden wurden, wird der „einfacher“ Weg über die E-Mail wieder stärker genutzt. Kam in den Anfängen um die Jahrtausendwende noch sehr viel reiner SPAM (ich warte noch immer auf meine Millionen aus Nigeria…) und Werbung wandelt es sich über schlecht gemachte Phising-Mail zu inzwischen täuschend echt aussehenden Email von Ebay, Paypal, Amazon, DHL usw. Selbst für die Fachleute, die täglich mit solchen Mail zu tun haben, ist es schwer auf den ersten und zweiten Blick zu erkennen ob die Mail wirklich von Absender ist oder ob es eine Fälschung ist. Wie soll da dann ein „normaler“ Anwender den unterschied bemerkten und richtig reagieren. Wie mehrere Fälle in der letzen Zeit zeigen, sind diese Mails inzwischen so korrekt und auf eine Firma zugeschnitten, dass mal schnell ein paar Millionen zur Zahlung angewiesen werden.

Trügerische Sicherheit

Viele werden jetzt vielleicht denken, dass kann mir nicht passieren, wir haben eine E-Mail-Security Appliance. Diese sorgt dafür, dass alle Mails überprüft werden und der Anwender geschützt ist. Diese stimmt zum Teil, ähnlich wie bei der SPI-Firewall funktioniert der Schutz vor SPAM und Absendern, die nicht von der richtigen, zur Absenderdomäne gehörenden IP-Adresse (MX-Record) versuchen eine E-Mail zu verschicken. Ebenso werden automatisch Emails auf bekannte Viren durch eine AV-Engine überprüft. ABER was ist mit eingebetteten URLS in der Email oder mit bisher unbekannten Viren? Für diese Angriffe wird nun auch ein neuer Schutzansatz benötigt, der nicht mehr nur die Mail beim Empfang überprüft und nach erfolgreichen Prüfung die Mail in das Postfach des Anwenders zustellt, sondern einen erweiterten Schutz, der auch dann dafür sorgt, dass der Anwender geschützt ist, wenn die Mail in seinem Postfach liegt und dieser vielleicht auf den eingebettet URL klickt.

NGFW und E-Mailschutz vereinigen

Hierfür ist nicht nur das Zusammenspiel mit dem Mail-Server wichtig, sondern auch mit der NGFW und/oder dem Proxy. Die neue E-Mail-Security schreibt hierfür z.B. die URLs innerhalb der E-Mail um und leitet diese erstmal über eine eigene Infrastruktur um und kann somit beim Aufrufen der Seite überprüfen ob diese versucht Schadsoftware auf das Endgeräte zu laden oder ob ein Phishingversuch gemacht wird. Sollte die der Fall sein, kann die Lösung auch alle betroffenen Emails direkt aus den Postfächern der Anwender löschen oder in einen Quarantäne-Ordner verschieben. Bei einem Anhang, mit unbekannter Schadsoftware (Zero-Day-Attack) werden diese in einer Sandbox getestet und bewertet. Die so gewonnen Informationen können (und sollten) mit der NGFW ausgetauscht werden und diese kann automatisch dann schon eingehende E-Mails, mit gleichen Anhängen, blocken bzw. über den integrierten URL-Filter, die Zugriffe auf die URLs blocken.

Bereits heute kann dies über die Lösungen der Unternehmen Proofpoint und Palo Alto Networks realisiert werden und so Signifikat den Schutz der Anwender vor gefälschten E-Mail, Schadsoftware und Zero-Day-Attacken erhöht werden.

Das ist nicht das einzige, was für die zusätzliche Absicherung von E-Mails getan werden kann. Ebenso möglich und gegebenenfalls sinnvoll ist die Integration in SIEM (Security Information and Event Management), Logmanagement und ggf. die zusätzliche Anbindung an TI-Feeds.

Schreibe einen Kommentar