Agent vs. Agentenlos

By 02.12.2020Neuigkeiten
24

Sie kennen wahrscheinlich die Debatte darüber, welcher Ansatz im heutigen, sich ständig verändernden Bedrohungsumfeld der Beste ist. Wenn es jedoch um die Erkennung von Bedrohungen innerhalb von Netzwerken geht, insbesondere bei der Verwendung von endpunktbasierter, verteilter Deception als Strategie, ist ein agentenloser Ansatz wesentlich effektiver und sicherer.

Reduzierung des Endpunkt-Overheads

Ein beliebtes Beispiel für einen Agenten ist eine Antiviren-Software, die sich auf einem Computer befindet, um ihn auf Malware zu überprüfen. Der traditionelle Ansatz zur Erfassung von Endpunktdaten besteht darin, Agenten auf ähnliche Weise auf allen Computern zu installieren, von denen Daten benötigt werden.

Die Verwaltung von Agenten stellt für IT-Teams eine erhebliche Belastung dar. Sie erfordern Installation (und wenn sie deinstalliert werden, müssen sie neu installiert werden), Upgrades und kontinuierliche Wartung. Updates belasten natürlich auch das Netzwerk.

In den meisten Fällen sitzen auf jedem Rechner mehrere Agenten. Die Bereitstellung mehrerer Agenten verursacht einen hohen Overhead an Endpunkten. Dann gibt es das Problem des „Agentenkonflikts“, da jeder Agent die Kontrolle über dieselben Rechnerressourcen haben möchte. In einem Cybersicherheits-Beispiel haben Sie möglicherweise Agenten von einer DLP-Software, einem Antiviren-System und anderen, was zu Konflikten und manchmal zu Systemabstürzen führt. Je mehr Agenten Sie haben, desto komplexer wird es, alle Systeme am Laufen zu halten. Eine agentenlose Lösung bietet robuste Sicherheit, die viel einfacher zu verwalten ist – ohne die mühsame Bereitstellung und Verwaltung von Sicherheitsagenten.

Auch die Kosten für die Wartung der Agenten sind höher. Agentenlose Implementierungen führen zu schnelleren Rollouts und niedrigeren Gesamtbetriebskosten (TCO) als Softwareprodukte, die Agenten auf einer beträchtlichen Anzahl von Computern benötigen, wie es in einem großen Unternehmen typischerweise der Fall ist.

Nicht auffindbar und undurchdringlich für Angreifer

Es ist nicht nur der IT-Overhead. Agentenbasierte Systeme bringen auch zusätzliche Sicherheitsrisiken mit sich. Agenten sind anfällig und von Cyberattackern leicht auffindbar.

Die größte Schwachstelle besteht darin, dass Agenten einem Angreifer mitteilen, dass ihre Funktionalität auf einer Maschine vorhanden ist. Die Anwesenheit eines Agenten teilt einem Angreifer mit, was Sie tun, um ihn zu stoppen. Wenn Angreifer Zugang zu einer Maschine erhalten, können sie auf Agenten zugreifen, sie deaktivieren oder, was noch beunruhigender ist, Angreifer können Agenten modifizieren, um die Spuren ihres Angriffs zu verwischen oder andere Verwüstungen zu verursachen.

Wenn ein Agent aktiv ist, kann der Angreifer mit genügend Wissen darüber, wie der Agent arbeitet, ihm ausweichen. Wenn ein Angreifer weiß, welches Verhalten den Agenten zur Alarmierung veranlasst, kann er dieses Verhalten einfach vermeiden, so dass der Agent die Verteidiger nicht vor ihrer Anwesenheit warnt.

Die Kehrseite des Ausweichens ist, dass Agenten auch manipuliert und „abgelenkt“ werden können. Nehmen wir an, es gibt zwei Maschinen, auf die ein Angreifer zugreifen kann, eine ohne viele seitliche Bewegungsmöglichkeiten (d.h. mit geringen Privilegien) und die andere mit privilegierten Berechtigungen und Verbindungen zu anderen Arbeitsstationen. Ein Angreifer kann einen Aktivitätsausbruch auf Rechner Nr. 1 erzeugen, um den Agenten abzulenken und die Angriffsaktivität in einem Nebel aus Alarmen und Lärm zu verbergen. Die Lautstärke der Alarme ist im typischen SOC laut genug; Angreifer nutzen diese Tatsache aus, um ihre Angriffsnadeln mit einem Heuhaufen von Alarmen zu bedecken, der immer größer wird.

Abschließend noch ein Wort speziell zur Deception-Technologie. Deception Lösungen, bei denen ein Agent die vollständige Täuschung und forensische Fähigkeiten aus der Lösung herausholen muss, sind für Angreifer aufgrund der Präsenz des Agenten an allen Endpunkten nachvollziehbar. Agenten sind auch anfällig für Reverse-Engineering, bei dem Angreifer lernen, wie der Agent funktioniert und wie er umgangen oder gebrochen werden kann.

Dank der agentenlosen Deception-Technologie von CYBERTRAP müssen Unternehmen weniger Zeit damit verbringen, Täuschungen zu optimieren und zu aktualisieren. Da an den Endpunkten keine Agenten laufen, gibt es für fortgeschrittene Angreifer nichts zu entdecken oder zu umgehen.

Agentenlos, anpassungsfähig und einfach zu implementieren

Der agentenlose Ansatz von CYBERTRAP kommt sowohl IT-Administratoren als auch Sicherheitsteams zugute. Es basiert auf intelligenter Automatisierung und ist so konzipiert, dass es einen geringen operativen Platzbedarf hat, um die Auswirkungen auf die IT zu minimieren.

Zu den Vorteilen von CYBERTRAP gehören:

  • Einfach zu bedienen und in wenigen Stunden einsatzbereit
  • Leichte, agentenlose Bereitstellung ohne die Notwendigkeit, irgendetwas auf einem geschützten Rechner zu installieren oder zu deinstallieren
  • Unauffällig und unsichtbar für legitime Endbenutzer
  • Verfügbar für Organisationen jeder Größe
  • Niedriger Endpunkt-Overhead
  • Niedrige Betriebskosten
  • Reduziert den operativen Personal- und Unterstützungsbedarf und setzt so wertvolle Ressourcen für strategischere Aktivitäten frei.Sie kennen wahrscheinlich die Debatte darüber, welcher Ansatz im heutigen, sich ständig verändernden Bedrohungsumfeld der Beste ist. Wenn es jedoch um die Erkennung von Bedrohungen innerhalb von Netzwerken geht, insbesondere bei der Verwendung von endpunktbasierter, verteilter Deception als Strategie, ist ein agentenloser Ansatz wesentlich effektiver und sicherer.
Das könnte Sie auch interessieren: Deception Technologie – was ist das?

Über den Autor

Cybertrap Foto Carsten

Carsten Keil
Sales Director Northwest Europe at CYBERTRAP
c.keil@cybertrap.com

 

Was ist CYBERTRAP?

CYBERTRAP ist ein auf Cyber-Security spezialisiertes Unternehmen aus Österreich, das sich auf aktive Verteidigung und Täuschung spezialisiert hat. Mittels Deception-Technologie werden Angreifer gezielt in eine eigens dafür geschaffene IT-Infrastruktur umgeleitet, noch bevor sie weiter in die tatsächliche Infrastruktur des Unternehmens eindringen und dort Schaden anrichten können.

Vereinbaren Sie jetzt einen persönlichen Gesprächstermin mit einem Ansprechpartner in Ihrer Nähe

Rückruf vereinbaren Demo anfordern