Laut Experten hatte das Sicherheitskonzept der Kärntner Landesregierung keine gravierenden Schwachpunkte, dennoch gelang es der Hackergruppe BlackCat (oder eines „SaaS Kunden“ von BlackCat) über eine Fishing-Email ein Benutzerkonto zu übernehmen und sich für 14 Tage unbemerkt im Netzwerk zu bewegen, sowie sensible Daten „abzusaugen“ und in weiterer Folge diese Daten zu verschlüsseln.
Mittlerweile ist allen klar, dass es keinen hundertprozentigen Schutz gegen Cyberangriffe gibt, aber wie kann man sich gegen APT (Advanced Persistent Threats) wirklich schützen, bzw. zumindest den Schaden minimieren?
Die Vorgehensweise von professionellen Cyberangriffen ist meist auffallend ähnlich:
- Kompromittierung eines Endpoints im Zielnetzwerk (Initial Access)
- Überblick über die Infrastruktur verschaffen (Lateral Movement)
- Weitere Schwachstellen in der Infrastruktur suchen und ausnützen (Discovery, Credential Access, Command and Control)
- Mehrere Zugänge zur Infrastruktur einrichten (Persistence)
- Daten „absaugen“ und danach verschlüsseln. (Impact, Exfiltration)
Grundlegende Sicherheitsvorkehrungen wie Virenscanner, Firewalls, Netzwerksegmentierung (basierend auf Konzepten wie 3-tier Architektur) sowie regelmäßige Backups und Security Audits sollten für jedes Unternehmen selbstverständlich sein. Die Krux dabei ist, dass professionelle Hacker immer Wege finden werden, diese Sicherheitsbarrieren zu überwinden. Das bedeutet aber, dass man damit rechnen MUSS, dass die eigene Infrastruktur eines Tages kompromittiert wird!
Neue Intrusion Detection Technologien, die per Artificial Intelligence Netzwerkverkehr, Logdateien und Endpointaktionen analysieren, können solche Aktivitäten erkennen und alarmieren – aber zu welchem Preis? Neben den hohen Anschaffungs- und Betriebskosten wird das SOC-Team oft mit „False Positives“ überflutet und sieht vor lauter Bäumen den Wald nicht mehr. Aber was kann man sonst noch gegen Angreifer im Netzwerk tun?
Eine sehr effiziente und kostengünstige Technologie basiert darauf, Angreifer zu täuschen und auf Basis eigener Spielregeln das weitere Vorgehen der Angreifer zu kontrollieren. Anstatt zu reagieren, wird dem Angreifer das angeboten, wonach er in der Phase des Lateral Movements und Discovery sucht. Zugänge zu Fileserver, Datenbanken, Firewalls, Private Keys, etc. werden dabei auf den Endpoints verteilt und lassen den Angreifer glauben, dass er mit diesen Informationen an sein Ziel gelangt. Erst in einer sehr späten Phase des Angriffs wird der Hacker erkennen, dass er in ein simuliertes Fallensystem getappt ist. Das SOC-Team wurde aber schon sehr früh alarmiert (meisten beim ersten Zugriff auf ein Fallensystem, oder eines Active Directory Scans) und befindet sich bereits in der Incident Response Phase.
Ist diese Deception Technologie also das Allheilmittel gegen Cyberangriffe?
Kein Allheilmittel, aber es ergänzt das bestehende Sicherheitskonzept, indem es APTs in einer sehr frühen Phase erkennt und damit den Schaden minimieren kann. Zudem gibt es kaum „False Positives“, die das SOC-Team belasten.
Wie wäre der Cyberangriff auf die Kärntner Landesregierung unter Einsatz einer Deception Lösung verlaufen?
Bereits bei einem Active Directory Scan wäre höchstwahrscheinlich der erste Alarm ausgelöst worden und hätte das Sicherheitsteam auf den kompromittierten Endpoint aufmerksam gemacht. Aber spätestens, nachdem die Angreifer einen der Köder verwendet hätten, (z.B. die Verwendung von Zugangsdaten zu einem Fileserver) wäre der Angriff bemerkt und der Hacker bereits auf die Fallensysteme umgeleitet worden. Das bedeutet, dass die Angreifer keine 14 Tage lang Zeit gehabt hätten, es sich im Netzwerk „bequem“ zu machen, um alles für ihre Erpressungsversuche vorzubereiten. Die Deception Technologie wäre in der Lage gewesen, den Eindringling bereits nach einigen Stunden zu entdecken. Somit hätte auch die Zeit gefehlt, sensible Daten „abzusaugen“. Stattdessen hätten die Angreifer lediglich Fake Daten der Fallensysteme „abgesaugt“ und verschlüsselt.
Warum wird diese Deception Technologie trotz höchst effektiver Angriffserkennung bisher dennoch so selten eingesetzt?
Diese Frage wird im nächsten Artikel analysiert.
Über den Autor
Gerald Wallner
Head of Development at CYBERTRAP
g.wallner@cybertrap.com
