Wie kann Deception Technologie helfen, diese Zeit signifikant zu verkürzen.
Wie wir aus den Berichten zu den letzten zwei großen Sicherheitsvorfällen wissen, ist die sogenannte Verweildauer („Dwell time“) von Hackern in Produktivsystemen extrem lang. Man stelle sich nur vor, was man als Einbrecher, der 2 Monate oder mehr unentdeckt bleibt, alles machen kann.
Was den SolarWinds Hack betrifft, so wissen wir, dass das Backdoor ganze sieben Monate nicht entdeckt wurde, und das passierte auch bei FireEye, einer IT Security Beratungsfirma, die als eine der besten der Welt gilt. Die Lücken in der Microsoft Exchange Software wurden erst zwei Monate, nachdem Sie von Hackern ausgenutzt wurden, erkannt und geschlossen.
In einem kürzlich erschienenen Bericht lag der globale Mittelwert der Dwell Time von Cyberkriminellen vor ihrer Entdeckung bei 56 Tagen. Dieser Wert war zwar deutlich besser als der des Vorjahres, als die Angreifer noch satte 78 Tage Zeit hatten, bevor sie entdeckt wurden. In einigen Fällen blieben Angriffe jedoch mehrere Jahre lang unentdeckt, was für alle Beteiligten schwerwiegende Folgen hatte.
Ich möchte hier anhand eines realen Falles skizzieren, was eigentlich ab dem Zeitpunkt der Entdeckung noch alles passiert, bis man den Angreifer wieder aus dem System entfernt hat. Dann beginnt eigentlich die forensische Arbeit für die man externe Spezialisten als Unterstützung der eigenen Mitarbeiter hinzuziehen muss. Hierbei sei erwähnt, dass diese Arbeit sehr vorsichtig und behutsam erfolgen muss, da ansonsten der Hacker mitbekommt, dass er entdeckt wurde und sich sofort zurückzieht. Man operiert im Produktivsystem sozusagen am offenen Herzen. Also hieß es in diesem Fall zunächst, die Angreifer weiter zu beobachten und sie von allen wirklich kritischen Daten fernzuhalten, ohne dass die dabei Verdacht schöpfen und mit ihren umfangreichen Zugriffsrechten verbrannte Erde zurücklassen. Es war ein Drahtseilakt, der in einer großen Aufräumaktion mündete. Es wurden auf einen Schlag alle Passwörter gesperrt, Webshell-Backdoors entfernt, neue Golden Tickets für den Active Directory Server erstellt und vieles mehr. Das war nur das sichtbare Ende eines schwerwiegenden und vor allem erfolgreichen Angriffs, der die IT der Firma systematisch unterwandert hatte. Die Angreifer hatten zentrale PCs und Server gekapert und gingen fast ein halbes Jahr lang quasi nach Belieben ein und aus.
Dies alles hat in Summe 5 Monate gedauert, rechnet man die Dwell time von 2 Monaten noch dazu waren es in gesamt 7 Monate und das verbunden mit hohen nicht budgetierten Kosten im 7-stelligen Euro Bereich.
Was kann Deception Technologie hierzu beitragen?
Nun es sei vorausgeschickt, dass sowohl die oben beschriebene Firma als auch viele andere, die Opfer eines Hackerangriffes mit einer Dwell time von mehreren Monaten wurden, sicherheitstechnisch sehr gut aufgestellt waren und auch entsprechende präventive Maßnahmen und Lösung implementiert hatten. Trotzdem ist es den Angreifern gelungen ins System einzudringen. Deception Technologie setzt genau dort an. Mittels Deception Technologie Lösungen wie jene von CYBERTRAP kann man im Produktivsystem sogenannte digitale Köder („Lures“) verteilen, die einerseits für den normalen Benutzer nicht sichtbar bzw. auffindbar sind, aber mit Hilfe von Hackertools aufgefunden werden. Ein Beispiel eines solchen Köders wären Admin User und dazugehöriges Passwort für einen Datenbank Server, welche im Windows Credential Manager hinterlegt werden. Sobald ein Hacker diesen Köder verwendet, gelangt er auf diesen Datenbank Server („Decoy“), welcher Teil einer sogenannten Deception Umgebung ist. Es geht sofort ein Alarm los und der Angreifer befindet sich nun in einem überwachten System aus welchem er nicht mehr zurück kann ins Produktivsystem. Jetzt geht auch schon die automatisierte Forensik los und der Angreifer kann im Detail analysiert werden.
Dies alles erfolgt in der Regel innerhalb von 1-2 Tagen, nachdem der Hacker ins Produktivsystem eingedrungen ist. Das heißt, mit Deception Technologie kann man die Dwell time um 97% reduzieren und die wie oben beschriebenen Folgekosten eines Angriffs signifikant reduzieren. Deception Technologie einzusetzen und zu betreiben ist mit einem Bruchteil der Kosten, die es benötigt, um Angreifer aus dem Produktivsystem zu entfernen, möglich.
Wollen Sie mehr darüber erfahren? Kontaktieren Sie uns
Das könnte Sie auch interessieren: Wie funktioniert Active Directory Deception?
Über den Autor
