[English]Ein Großteil der erfolgreichen Cyber-Angriffe ist über 0-day-Schwachstellen oder ungepatchte Browser möglich. Die Zunahme von Home-Office-Lösungen im Zuge der Coronavirus-Pandemie verschärfen dieses Problem noch. In manchen Umgebungen ist zudem das Updaten des verwendeten Browsers ein Problem, was sich ebenfalls negativ auf die Sicherheit auswirkt. Das SANS-Institut empfiehlt in solchen Fällen eine Browser-Isolierung, um Sicherheitslücken im Browser wirkungslos zu machen.
Problem: Browser darf nicht aktualisiert werden
Es gibt immer wieder Situationen, in denen bekannte Schwachstellen in Browsern nicht zeitnah durch entsprechende Updates geschlossen werden können. Naheliegend ist das Szenario, dass das Sicherheitsupdate wegen Fehler zu Problemen mit dem Browser führt. Dann muss das Einspielen von Updates eventuell verzögert werden, bis ein korrigiertes Browser-Update verfügbar ist. Es gibt aber weitere denkbare Szenarien für ausgesetzte Updates:
- Speziell in Firmenumgebungen ist es nicht immer möglich, Browser zeitnah mit Sicherheitsupdates zu versorgen. Da gibt es beispielsweise die Intranet-Anwendung, die auf eine bestimmte Browser-Version angewiesen ist, weil sonst die Darstellung dieser Anwendung nicht mehr funktioniert.
- Wenn man an das Thema Adobe Flash denkt, der am Jahresende 2020 aus dem Support gefallen ist, haben Nutzer, die auf diese Technologie angewiesen sind, ein Problem. Denkbar wäre, eine ältere Version des jeweiligen Browsers, der noch Flash unterstützt, einzusetzen.
- Ein zweites Szenario, welches man sich vorstellen kann: Der Nutzer fährt mit einer Umgebung oder einem Browser, wo es keine Browser-Updates mehr gibt. Dann erübrigt sich die Frage: Wo kriege ich ein Sicherheitsupdate her.
- Zudem darf der Fall nicht vergessen werden, ob ein Browser (samt Betriebssystemumgebung) schlicht beim Patchen vergessen wird (das kann unterschiedliche Gründe haben).
Trifft eines dieser Szenarien oder ein anderes zu, arbeiten die Nutzer mit einem Browser, der bekannte Schwachstellen aufweist. Zudem kann es sein, dass der Browser Schwachstellen aufweist, die nicht öffentlich bekannt (0-day-Schwachstellen) sind. Hier gilt es, einen entsprechenden Schutzschirm gegen Angriffe auf Sicherheitslücken zu verwenden.
Das SANS-Institute empfiehlt die Browser-Isolierung
Das SANS Institute ist eine vertrauenswürdige Ressource für Schulungen, Zertifizierungen und Forschung im Bereich Cybersicherheit. Organisiert ist das SANS-Institut als Genossenschaft. Das Internet Storm Center ist eine Organisation des SANS-Instituts, das die Anzahl bösartiger/schädlicher Aktivitäten im Internet überwacht.
Über obigen Tweet von Thorsten E. bin ich auf einen Empfehlung des SANS-Instituts aufmerksam geworden, die sich mit dem Thema Browser-Sicherheit befasst. Die Kurzfassung: Wenn das Patchen der Browser „Stress bringt“, soll man den Browser schlicht isolieren.
Der Browser als Schwachstelle
Die Erkenntnis aus 2019: 60 % der Sicherheitsverletzungen im Jahr 2019 betrafen ungepatchte Software-Schwachstellen. Mit der Coronavirus-Pandemie im Jahr 2020 hat sich das Problem ungepatchter Anwendungen verschärft, da Work from Anywhere (WFA, oder Home-Office) stark zugenommen hat. Das Patch-Management ist eine langwierige Sicherheitsaufgabe, die der Absicherung von Unternehmen im Weg steht.
Automatisierte Patch-Management-Produkte erfordern einen Agenten auf dem Endpunkt, was es schwierig macht, festzustellen, ob die neuesten Patches auf jedem System installiert sind. Und nicht alle Patches sind frei von Lücken. Schlimmer noch! Selbst nach dem Patchen bleiben Zero-Day-Schwachstellen bestehen.
Das ist natürlich ein Eldorado für Hacker und so ist die Erkenntnis, dass die Zunahme von Cyberangriffen auf PC-Netzwerke und Router seit COVID-19 mit ungepatchten Browsern in Verbindung gebracht werden kann, nicht wirklich überraschend. Schwachstellen in veralteten Browserversionen von Chrome, Edge, Safari, Opera, Firefox und anderen bleiben die häufigste Angriffsmethode von Bedrohungsakteuren.
Verschlimmert wird dies dadurch, das Benutzer im Home-Office ihre Arbeit auf einem nicht verwalteten Rechner zu erledigen. Dort verwenden sie einen nicht vollständig gepatchten Browser, der oft auf einem veralteten Heimcomputer läuft. Der kann nicht gepatcht werden und wird zudem mit anderen Personen im Haushalt geteilt.
Forrester berichtet, dass Schwachstellen in Anwendungen weiterhin der häufigste externe Angriffsansatz sein werden, um Hacks in eine IT-Infrastruktur durchzuführen und Systeme zu kompromittieren.
Remote-Browser-Isolierung zur Absicherung
Die Überlegung der Sicherheitsexperten beim SANS-Institut: Während ungepatchte Browser ein Sicherheitsrisiko darstellen, können gepatchte Browser immer noch Zero-Days enthalten. Die Browser-Isolation ist ein zusätzliches Cybersicherheitsmodell, das darauf abzielt, die Browser-Aktivitäten eines Internetbenutzers physisch von seinen lokalen Netzwerken und seiner Infrastruktur zu isolieren.
Wenn eine Technologie zur Browser-Isolierung der Nutzer als in der Cloud gehosteter Dienst zur Verfügung gestellt wird, spricht man von Remote-Browser-Isolierung (RBI). RBI ist ein Modell, das es Unternehmen ermöglicht, eine Lösung zur Browser-Isolierung für ihre Benutzer bereitzustellen, ohne die zugehörige Server-Infrastruktur zu verwalten.
Die Remote-Browser-Isolierung (RBI) ist nicht nur gegen Zero-Days, sondern gegen jede webbasierte Bedrohung wirksam. RBI basiert auf dem Zero-Trust-Ansatz und holt, führt und rendert alle Elemente einer Seite vom Gerät des Anwenders weg und schützt effektiv vor Ransomware, Phishing, Social-Engineering-Angriffen und Malvertising.
In einem SANS-Bericht (PDF) geht das SANS-Institut auf das Thema Remote Browser-Isolierung (RBI) in Unternehmensumgebungen ein. Laut diesem SANS-Bericht ist RBI für das Cybersicherheitsprogramm eines jeden Unternehmens von entscheidender Bedeutung, da heutzutage fast alle Arbeiten mit dem Browser ausgeführt werden. Insbesondere mit WFA-Modellen (Home-Office) und der starken Abhängigkeit von der Cloud bezeichnet SANS den Browser auch als den neuen Endpunkt.
Der SANS-Bericht geht nicht konkret auf Lösungen zur Remote Browser-Isolierung ein, sondern diskutiert das Ganze aus prinzipieller Sicht. Sucht man im Internet nach Remote-Browser-Isolation, wird man eine Reihe Treffer erzielen (z.B. ZScaler, Cloud Flare, ForcePoint etc.).
Lokale Browser-Isolierung
Es gibt auch clientseitige Ansätze zur Browser-Isolierung, die auf clientseitigen Hypervisoren basieren. Diese sind nicht von Servern abhängig, um die Browser-Aktivitäten ihrer Benutzer und die damit verbundenen Risiken zu isolieren. Dort werden die Aktivitäten im Browser virtuell auf dem lokalen Host-Rechner isoliert. Client-seitige Lösungen brechen zwar das Modell der Sicherheit durch physische Isolierung, aber sie ermöglichen es dem Benutzer, die Server-Overhead-Kosten zu vermeiden, die mit Remote-Browser-Isolierungslösungen verbunden sind. Hier Lösungen, die mir ad-hoc dazu einfallen.
- In Windows 10 steht die Funktion des Windows Defender Application Guard (WDAG) zur Verfügung, um den Microsoft Edge Version 77 oder höher per Hyper-V gegenüber dem Betriebssystem zu isolieren. Die Funktionsweise ist in diesem Dokument beschrieben, die Systemanforderungen lassen sich hier nachlesen.
- Weiterhin könnte die Windows 10 Sandbox, die ab der Pro-Version in den aktuellen Windows 10-Builds unterstützt wird, für die Ausführung eines Browsers samt dessen Isolierung eingesetzt werden. Allerdings dürfte dieser Ansatz, im Vergleich zum WDAG zu wenig praktikabel sein.
- Zudem gibt es die von der Rohde & Schwarz Cybersecurity GmbH entwickelte BitBox (eine virtuelle Maschine für Linux und Windows mit einem Chrome-Browser).
- Betrieb des Browsers in einer Sandbox, die auch in den Home-Versionen von Windows läuft, wobei ich für ältere Systeme im Privatumfeld das vor einiger Zeit von Sophos als Open Source freigegebene Sandboxie Plus erwähnen möchte.
David Xanatos, der an Sandboxie Plus entwickelt, hatte mich die Tage auf das neue Release v0.5.5 / 5.46.4 hingewiesen, welches ich gestern im Blog-Beitrag Sandboxie v0.5.5 / 5.46.4 freigegeben. Es gibt also Ansätze, um das Browsen – auch im privaten Umfeld – sicherer zu machen.