{"id":242877,"date":"2021-01-24T00:10:00","date_gmt":"2021-01-23T23:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=242877"},"modified":"2023-12-27T14:23:53","modified_gmt":"2023-12-27T13:23:53","slug":"sans-browser-isolierung-gegen-0-days-und-fehlende-updates","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/24\/sans-browser-isolierung-gegen-0-days-und-fehlende-updates\/","title":{"rendered":"SANS: Browser-Isolierung gegen 0-Days und fehlende Updates"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=18324\" target=\"_blank\" rel=\"noopener\">English<\/a>]Ein Gro\u00dfteil der erfolgreichen Cyber-Angriffe ist \u00fcber 0-day-Schwachstellen oder ungepatchte Browser m\u00f6glich. Die Zunahme von Home-Office-L\u00f6sungen im Zuge der Coronavirus-Pandemie versch\u00e4rfen dieses Problem noch. In manchen Umgebungen ist zudem das Updaten des verwendeten Browsers ein Problem, was sich ebenfalls negativ auf die Sicherheit auswirkt. Das SANS-Institut empfiehlt in solchen F\u00e4llen eine Browser-Isolierung, um Sicherheitsl\u00fccken im Browser wirkungslos zu machen.<\/p>\n<p><!--more--><\/p>\n<h2>Problem: Browser darf nicht aktualisiert werden<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/313576abd54e452582a8b9fa04b1339a\" alt=\"\" width=\"1\" height=\"1\" \/>Es gibt immer wieder Situationen, in denen bekannte Schwachstellen in Browsern nicht zeitnah durch entsprechende Updates geschlossen werden k\u00f6nnen. Naheliegend ist das Szenario, dass das Sicherheitsupdate wegen Fehler zu Problemen mit dem Browser f\u00fchrt. Dann muss das Einspielen von Updates eventuell verz\u00f6gert werden, bis ein korrigiertes Browser-Update verf\u00fcgbar ist. Es gibt aber weitere denkbare Szenarien f\u00fcr ausgesetzte Updates:<\/p>\n<ul>\n<li>Speziell in Firmenumgebungen ist es nicht immer m\u00f6glich, Browser zeitnah mit Sicherheitsupdates zu versorgen. Da gibt es beispielsweise die Intranet-Anwendung, die auf eine bestimmte Browser-Version angewiesen ist, weil sonst die Darstellung dieser Anwendung nicht mehr funktioniert.<\/li>\n<li>Wenn man an das Thema Adobe Flash denkt, der am Jahresende 2020 aus dem Support gefallen ist, haben Nutzer, die auf diese Technologie angewiesen sind, ein Problem. Denkbar w\u00e4re, eine \u00e4ltere Version des jeweiligen Browsers, der noch Flash unterst\u00fctzt, einzusetzen.<\/li>\n<li>Ein zweites Szenario, welches man sich vorstellen kann: Der Nutzer f\u00e4hrt mit einer Umgebung oder einem Browser, wo es keine Browser-Updates mehr gibt. Dann er\u00fcbrigt sich die Frage: Wo kriege ich ein Sicherheitsupdate her.<\/li>\n<li>Zudem darf der Fall nicht vergessen werden, ob ein Browser (samt Betriebssystemumgebung) schlicht beim Patchen vergessen wird (das kann unterschiedliche Gr\u00fcnde haben).<\/li>\n<\/ul>\n<p>Trifft eines dieser Szenarien oder ein anderes zu, arbeiten die Nutzer mit einem Browser, der bekannte Schwachstellen aufweist. Zudem kann es sein, dass der Browser Schwachstellen aufweist, die nicht \u00f6ffentlich bekannt (0-day-Schwachstellen) sind. Hier gilt es, einen entsprechenden Schutzschirm gegen Angriffe auf Sicherheitsl\u00fccken zu verwenden.<\/p>\n<h2>Das SANS-Institute empfiehlt die Browser-Isolierung<\/h2>\n<p>Das <a href=\"https:\/\/www.sans.org\/\" target=\"_blank\" rel=\"noopener\">SANS Institute<\/a> ist eine vertrauensw\u00fcrdige Ressource f\u00fcr Schulungen, Zertifizierungen und Forschung im Bereich Cybersicherheit. Organisiert ist das <a href=\"https:\/\/de.wikipedia.org\/wiki\/SANS-Institut\" target=\"_blank\" rel=\"noopener\">SANS-Institut als Genossenschaft<\/a>. Das Internet Storm Center ist eine Organisation des SANS-Instituts, das die Anzahl b\u00f6sartiger\/sch\u00e4dlicher Aktivit\u00e4ten im Internet \u00fcberwacht.<\/p>\n<p><a href=\"https:\/\/twitter.com\/endi24\/status\/1350944354391764992\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"SANS Institute about Browser isolation\" src=\"https:\/\/i.imgur.com\/U45vFU3.png\" alt=\"SANS Institute about Browser isolation\" \/><\/a><\/p>\n<p>\u00dcber obigen <a href=\"https:\/\/twitter.com\/endi24\/status\/1350944354391764992\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Thorsten E. bin ich auf einen <a href=\"https:\/\/www.sans.org\/blog\/when-patching-browsers-is-harassing-you-isolate-your-browser\/\" target=\"_blank\" rel=\"noopener\">Empfehlung des SANS-Instituts<\/a> aufmerksam geworden, die sich mit dem Thema Browser-Sicherheit befasst. Die Kurzfassung: Wenn das Patchen der Browser \"Stress bringt\", soll man den Browser schlicht isolieren.<\/p>\n<h3>Der Browser als Schwachstelle<\/h3>\n<p>Die Erkenntnis aus 2019: 60 % der Sicherheitsverletzungen im Jahr 2019 betrafen ungepatchte Software-Schwachstellen. Mit der Coronavirus-Pandemie im Jahr 2020\u00a0 hat sich das Problem ungepatchter Anwendungen versch\u00e4rft, da Work from Anywhere (WFA, oder Home-Office) stark zugenommen hat. Das Patch-Management ist eine langwierige Sicherheitsaufgabe, die der Absicherung von Unternehmen im Weg steht.<\/p>\n<p>Automatisierte Patch-Management-Produkte erfordern einen Agenten auf dem Endpunkt, was es schwierig macht, festzustellen, ob die neuesten Patches auf jedem System installiert sind. Und nicht alle Patches sind frei von L\u00fccken. Schlimmer noch! Selbst nach dem Patchen bleiben Zero-Day-Schwachstellen bestehen.<\/p>\n<p>Das ist nat\u00fcrlich ein Eldorado f\u00fcr Hacker und so ist die Erkenntnis, dass die Zunahme von Cyberangriffen auf PC-Netzwerke und Router seit COVID-19 mit ungepatchten Browsern in Verbindung gebracht werden kann, nicht wirklich \u00fcberraschend. Schwachstellen in veralteten Browserversionen von Chrome, Edge, Safari, Opera, Firefox und anderen bleiben die h\u00e4ufigste Angriffsmethode von Bedrohungsakteuren.<\/p>\n<p>Verschlimmert wird dies dadurch, das Benutzer im Home-Office ihre Arbeit auf einem nicht verwalteten Rechner zu erledigen. Dort verwenden sie einen nicht vollst\u00e4ndig gepatchten Browser, der oft auf einem veralteten Heimcomputer l\u00e4uft. Der kann nicht gepatcht werden und wird zudem mit anderen Personen im Haushalt geteilt.<\/p>\n<p>Forrester berichtet, dass Schwachstellen in Anwendungen weiterhin der h\u00e4ufigste externe Angriffsansatz sein werden, um Hacks in eine IT-Infrastruktur durchzuf\u00fchren und Systeme zu kompromittieren.<\/p>\n<h3>Remote-Browser-Isolierung zur Absicherung<\/h3>\n<p>Die \u00dcberlegung der Sicherheitsexperten beim SANS-Institut: W\u00e4hrend ungepatchte Browser ein Sicherheitsrisiko darstellen, k\u00f6nnen gepatchte Browser immer noch Zero-Days enthalten. Die <a href=\"https:\/\/en.wikipedia.org\/wiki\/Browser_isolation\" target=\"_blank\" rel=\"noopener\">Browser-Isolation<\/a> ist ein zus\u00e4tzliches Cybersicherheitsmodell, das darauf abzielt, die Browser-Aktivit\u00e4ten eines Internetbenutzers physisch von seinen lokalen Netzwerken und seiner Infrastruktur zu isolieren.<\/p>\n<p>Wenn eine Technologie zur Browser-Isolierung der Nutzer als in der Cloud gehosteter Dienst zur Verf\u00fcgung gestellt wird, spricht man von Remote-Browser-Isolierung (RBI). RBI ist ein Modell, das es Unternehmen erm\u00f6glicht, eine L\u00f6sung zur Browser-Isolierung f\u00fcr ihre Benutzer bereitzustellen, ohne die zugeh\u00f6rige Server-Infrastruktur zu verwalten.<\/p>\n<p>Die Remote-Browser-Isolierung (RBI) ist nicht nur gegen Zero-Days, sondern gegen jede webbasierte Bedrohung wirksam. RBI basiert auf dem Zero-Trust-Ansatz und holt, f\u00fchrt und rendert alle Elemente einer Seite vom Ger\u00e4t des Anwenders weg und sch\u00fctzt effektiv vor Ransomware, Phishing, Social-Engineering-Angriffen und Malvertising.<\/p>\n<p>In einem <a href=\"https:\/\/web.archive.org\/web\/20210302194430\/https:\/\/marketing.cyberinc.com\/rs\/407-WDX-307\/images\/A_SANS_Buyers_Guide_to_Browser_Isolation.pdf\" target=\"_blank\" rel=\"noopener\">SANS-Bericht<\/a> (PDF) geht das SANS-Institut auf das Thema Remote Browser-Isolierung (RBI) in Unternehmensumgebungen ein. Laut diesem SANS-Bericht ist RBI f\u00fcr das Cybersicherheitsprogramm eines jeden Unternehmens von entscheidender Bedeutung, da heutzutage fast alle Arbeiten mit dem Browser ausgef\u00fchrt werden. Insbesondere mit WFA-Modellen (Home-Office) und der starken Abh\u00e4ngigkeit von der Cloud bezeichnet SANS den Browser auch als den neuen Endpunkt.<\/p>\n<p>Der SANS-Bericht geht nicht konkret auf L\u00f6sungen zur Remote Browser-Isolierung ein, sondern diskutiert das Ganze aus prinzipieller Sicht. Sucht man im Internet nach Remote-Browser-Isolation, wird man eine Reihe Treffer erzielen (z.B. <a href=\"https:\/\/web.archive.org\/web\/20210805022122\/https:\/\/www.zscaler.de\/products\/browser-isolation\" target=\"_blank\" rel=\"noopener\">ZScaler<\/a>, <a href=\"https:\/\/web.archive.org\/web\/20210527043337\/https:\/\/blog.cloudflare.com\/cloudflare-and-remote-browser-isolation\/\" target=\"_blank\" rel=\"noopener\">Cloud Flare<\/a>, <a href=\"https:\/\/www.forcepoint.com\/de\/product\/remote-browser-isolation\" target=\"_blank\" rel=\"noopener\">ForcePoint<\/a> etc.).<\/p>\n<h3>Lokale Browser-Isolierung<\/h3>\n<p>Es gibt auch clientseitige Ans\u00e4tze zur Browser-Isolierung, die auf clientseitigen Hypervisoren basieren. Diese sind nicht von Servern abh\u00e4ngig, um die Browser-Aktivit\u00e4ten ihrer Benutzer und die damit verbundenen Risiken zu isolieren. Dort werden die Aktivit\u00e4ten im Browser virtuell auf dem lokalen Host-Rechner isoliert. Client-seitige L\u00f6sungen brechen zwar das Modell der Sicherheit durch physische Isolierung, aber sie erm\u00f6glichen es dem Benutzer, die Server-Overhead-Kosten zu vermeiden, die mit Remote-Browser-Isolierungsl\u00f6sungen verbunden sind. Hier L\u00f6sungen, die mir ad-hoc dazu einfallen.<\/p>\n<ul>\n<li>In Windows 10 steht die Funktion des <em><a href=\"https:\/\/docs.microsoft.com\/de-de\/deployedge\/microsoft-edge-security-windows-defender-application-guard\" target=\"_blank\" rel=\"noopener\">Windows Defender Application Guard<\/a> (WDAG) <\/em>zur Verf\u00fcgung, um den Microsoft Edge Version 77 oder h\u00f6her per Hyper-V gegen\u00fcber dem Betriebssystem zu isolieren. Die Funktionsweise ist in <a href=\"https:\/\/docs.microsoft.com\/de-de\/windows\/security\/threat-protection\/microsoft-defender-application-guard\/md-app-guard-overview#what-is-application-guard-and-how-does-it-work\" target=\"_blank\" rel=\"noopener\">diesem Dokument<\/a> beschrieben, die Systemanforderungen lassen sich <a href=\"https:\/\/docs.microsoft.com\/de-de\/windows\/security\/threat-protection\/microsoft-defender-application-guard\/reqs-md-app-guard\" target=\"_blank\" rel=\"noopener\">hier nachlesen<\/a>.<\/li>\n<li>Weiterhin k\u00f6nnte die Windows 10 Sandbox, die ab der Pro-Version in den aktuellen Windows 10-Builds unterst\u00fctzt wird, f\u00fcr die Ausf\u00fchrung eines Browsers samt dessen Isolierung eingesetzt werden. Allerdings d\u00fcrfte dieser Ansatz, im Vergleich zum WDAG zu wenig praktikabel sein.<\/li>\n<li>Zudem gibt es die von der <a href=\"https:\/\/www.rohde-schwarz.com\/de\/produkte\/cybersicherheit-\/desktop-sicherheit-\/r_s_browser_in_the_box_-contentpackagewing\/r-s-browser-in-the-box_232366.html\">Rohde &amp; Schwarz Cybersecurity GmbH entwickelte BitBox<\/a> (eine virtuelle Maschine f\u00fcr Linux und Windows mit einem Chrome-Browser).<\/li>\n<li>Betrieb des Browsers in einer Sandbox, die auch in den Home-Versionen von Windows l\u00e4uft, wobei ich f\u00fcr \u00e4ltere Systeme im Privatumfeld das vor einiger Zeit von Sophos als Open Source freigegebene <a href=\"https:\/\/sandboxie-plus.com\/\" target=\"_blank\" rel=\"noopener\">Sandboxie Plus<\/a> erw\u00e4hnen m\u00f6chte.<\/li>\n<\/ul>\n<p>David Xanatos, der an Sandboxie Plus entwickelt, hatte mich die Tage auf das neue Release v0.5.5 \/ 5.46.4 hingewiesen, welches ich gestern im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/01\/23\/sandboxie-v0-5-5-5-46-4-freigegeben\/\">Sandboxie v0.5.5 \/ 5.46.4 freigegeben<\/a>. Es gibt also Ans\u00e4tze, um das Browsen &#8211; auch im privaten Umfeld &#8211; sicherer zu machen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Gro\u00dfteil der erfolgreichen Cyber-Angriffe ist \u00fcber 0-day-Schwachstellen oder ungepatchte Browser m\u00f6glich. Die Zunahme von Home-Office-L\u00f6sungen im Zuge der Coronavirus-Pandemie versch\u00e4rfen dieses Problem noch. In manchen Umgebungen ist zudem das Updaten des verwendeten Browsers ein Problem, was sich ebenfalls negativ &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/01\/24\/sans-browser-isolierung-gegen-0-days-und-fehlende-updates\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[414,4328],"class_list":["post-242877","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-browser","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/242877","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=242877"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/242877\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=242877"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=242877"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=242877"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}