Deception Technologie – was ist das?

By 18.11.2020Dezember 28th, 2020Blog
Cristina Gottardi Maawpqvgi00 Unsplash(1)

Die andauernde COVID-19-Pandemie und die anschließende Umstellung auf Remote-Arbeit hat die Angriffsfläche der Organisationen massiv erweitert – und die Notwendigkeit eines proaktiveren Sicherheitsansatzes verschärft. Reaktive Sicherheit reicht nicht mehr aus, um Unternehmenswerte und -daten zu schützen.

Ein Artikel von Franz Weber, CEO CyberTrap Software GmbH, Wien.

Wozu Deception?

Angreifer benutzen Täuschung. Dazu gehört alles, von gefälschten E-Mails bis hin zu gestohlenen Zugangsdaten, und sie benutzen sie, um Organisationen dazu zu bringen, Schadsoftware herunterzuladen oder ihnen Zugang zu wertvollen Daten zu gewähren.

Der Sinn der Deception-Technologie besteht also darin, den Angreifern den Spieß umzudrehen und im Grunde genommen jeden Endpunkt in eine Falle zu verwandeln. Dies ermöglicht es Unternehmen, die Deception-Technologie als Teil ihrer Cybersecurity Strategie einsetzen, die Unternehmensdaten aktiv gegen unauthorisierten Zugriff zu verteidigen.

Deception ist kein Honig-Schlecken

Eine der größten Herausforderungen ist die Fehleinschätzung, dass Deception gleichbedeutend mit Honeypots ist. Viele Menschen denken sofort an Honeypots (die es übrigens schon seit 25 Jahren gibt), wenn sie Deception hören, was ganz und gar nicht der Fall ist.

Im Gegensatz zu Honeypots stoppt die CYBERTRAP Deception-Technologie die Bewegungen der Angreifer und leitet diese um in eine überwachte Umgebung, wo kein Schaden angerichtet werden kann. Außerdem verwendet sie Analysen, was bedeutet, dass sie bessere Informationen und forensische Daten für eine schnellere Reaktion liefert.

Wir können nicht weiterhin einen reaktiven Sicherheitsansatz verfolgen und erwarten, dass er gegen die Gegner wirkt, die heute da draußen sind. (F. Weber, CYBERTRAP)

Nahezu alle Technologien im Sicherheitsbereich werden mit einer reaktiven Denkweise gebaut, und das bedeutet, dass Angreifer immer einen First-Mover-Advantage haben. Das nutzen diese aus, und sie sind uns immer einen Schritt voraus. Wir holen auf, und wir können nicht schnell genug aufholen.

FAQ – Deception Technologie

Was ist der Unterschied zwischen Deception und Honeypot?

Honeypots waren bis vor einiger Zeit noch State-of-The Art um zu erkennen, ob ein Angreifer den Honeypot angegriffen hat. Cyberkriminelle und auch die IT Security haben sich jedoch weiterentwickelt und es genügt nicht mehr zu wissen, ob jemand einen Honeypot angefasst hat. Honeypots sind nicht mehr zeitgemäß, um die dringendsten Fragen zu beantworten: wer ist warum in meinem Netz, wo kommt er her, wo will er hin, und vor allem, wie lange befindet er sich bereits hier? Hier kommt Deception Technologie ins Spiel.

Um den Angriff zu analysieren, muss man zuerst wissen, wonach man in seinem Datenmeer überhaupt sucht. Es ist hier weniger ein Big-Data-Problem als ein Analyse-Problem. Es ist die Suche nach der Nadel im Heuhaufen.

Was ist das MITRE Shield?

MITRE Shield ist eine freie Wissensbasis für proaktive Verteidigungstechniken. Es besteht aktuell aus 33 verschiedene Kontrollen oder Methoden zum Schutz vor Angriffen, und 27 der 33 Kontrollen sind Deception. CyberTRAP deckt weit über 80% des Rahmenwerks von MITRE Shield ab, und das ist ein sehr starkes Signal an die Welt, wie wichtig es ist, die CyberTRAP Deception-Technologie einzusetzen.

Wie gehen Cyberkriminielle bei einem Angriff im Netzwerk vor?

Am einfachsten wäre es, den Angreifer zu fragen. Er könnte diese Fragen ganz schnell beantworten. Alternativ wäre es praktisch, ihm einfach während seiner Arbeit über die Schulter zu schauen. Dann würde sich die Nadel im Heuhaufen auf dem Silbertablett präsentieren.

Wonach suchen Angreifer oft im Unternehmensnetzwerk?

RDP-Credentials, verteckte Shareb, Putty-Anmeldinformationen, Zugangsdaten in Skripten, Browserhistorie

Was ist Threat Intelligence?

Die Definition bzw. Übersetzung von Threat Intelligence auf Deutsch wäre „Wissen über Bedrohungen“. Es beschreibt die Sammlung aller sicherheitsrelevanten Informationsquellen. Dafür können interne und externe Quellen (bspw. über Service Anbieter) genutzt werden. Aktualität, Schnelligkeit und der Kontext für die eigene Organisation sind wichtig.

Wo kommt Threat Intelligence zum Einsatz?

Deception-Tools wie CyberTRAP unterstützen Security Teams, indem kontextbezogene und individuelle Threat Intelligence in Echtzeit zur Verfügung gestellt wird. Dadurch ist dem Sysadmin oder IT Security Verantwortlichen des attackierten Unternehmens ein Einblick in einen Angriff in Echtzeit möglich.

Was ist die Dwell Time?

Verweilzeit eines Angreifers im Netzwerk, von der ersten Komprimitierung bis zu seiner Entdeckung.

Wie hoch ist die Dwell Time im Durchschnitt?

Statistiken dazu sind sehr unterschiedlich (Quelle der Reports, Branche, Land etc.) und reichen bis zu 206 Tagen. Die Rückverfolgung der initialen Kompromittierung ist sehr schwer bis unmöglich. Im Zusammenhang mit der Shitrix Lücke, waren viele Angreifer über 6 Monate unentdeckt im Netzwerk, bevor die Ransomware aktiviert wurde.

Wie kann die Dwell Time reduziert werden?

Deception hilft dabei, diese Zeit um 90 bis 97% zu verkürzen. Mit Hilfe individueller Köder und Ablenkungsmanöver, wird das Unternehmen bereits beim ersten Versuch einer lateralen Bewegung alarmiert.

Was ist die Response Gap?

Die Zeit zwischen Erkennen eines Sicherheitsvorfalls und den Gegenmaßnahmen wird als  „Reaktionslücke“ (Response Gap) bezeichnet. Dabei gilt: Je größer die Reaktionslücke, desto schwerer die Folgen.

Wie kann man den Response Gap verkleinern?

Deception Tools wie CyberTRAP können die Zeit signifikant verkürzen. Das Security Team wird unterstützt und entlastet, indem kontextbezogene und individuelle Threat-Intelligence in einen laufenden Angriff zur Verfügung gestellt wird. Aus den gewonnen Erkenntnissen können gezielt und priorisiert Gegenmaßnahmen erfolgen.

Deception – Was ist das?

Die wortwörtliche Übersetzung für „Deception“ aus dem Englischen bedeutet einfach „Täuschung“. Wenn man den Blick auf die IT-Security legt, nutzen Angreifer wie Verteidiger verschiedenste Deception-Technologien und Methoden wie Phishing, Scamming, Social Engineering auf der einen, Honey-/User-Token und Honeypots auf der anderen Seite.

Braucht Ihr Unternehmen eine Deception-Technologie?

Deception-Technologie verwendet Köder und Fallen, die wie echte Daten oder Systeme aussehen. Die Angreifer sind die einzigen, die sich mit ihnen beschäftigen. Wie Gartner in seinem „Hype Cycle for Security Operations 2020“ feststellt: „Mit diesen Artefakten sollte ein normaler Benutzer nicht interagieren – daher gibt es fast keine Fehlalarme – aber Angreifer suchen genau diese, wenn sie in Netzwerken sich weiterbewegen wollen. Das neue MITRE Shield-Rahmenwerk steht als Beweis für die wachsende Bedeutung der Deception-Technologie.

Wie sicher sind Sie, dass Ihr Unternehmen noch nicht Opfer eines unentdeckten Cyber-Angriffs geworden ist?

Demo anfordern

Über den Autor

Franz Weber Bio 01

Wer ist CYBERTRAP?

CYBERTRAP ist ein auf Cyber-Security spezialisiertes Unternehmen aus Österreich, das sich auf aktive Verteidigung und Täuschung spezialisiert hat. Mittels Deception-Technologie werden Angreifer gezielt in eine eigens dafür geschaffene IT-Infrastruktur umgeleitet, noch bevor sie weiter in die tatsächliche Infrastruktur des Unternehmens eindringen und dort Schaden anrichten können.

Was unentdeckte Cyberangriffe wirklich kosten?

Im Vergleich zu Unternehmen, die keine Deception Technologie einsetzen, können lt. einer aktuellen Erhebung die Kosten der Abwehr eines Cyberangriffesum mehr als 51% gesenkt werden, was zu einer durchschnittlichen Reduzierung dieser Kosten von rund 2 Mio. € pro Vorfall führt. Darüber hinaus könnten Unternehmen mehrere Tausend Euro pro SOC-Analyst und Jahr einsparen.

Vereinbaren Sie jetzt einen persönlichen Gesprächstermin mit einem Ansprechpartner in Ihrer Nähe

Rückruf vereinbaren