Das MITRE ATT&CK Framework® wurde mit einem einzigen Ziel vor Augen entwickelt: Besseres Erkennen von Angreifer-Verhalten nach einer bereits erfolgten Kompromittierung.
Deception Technologie Erkennung setzt voraus, dass Angreifer bereits Computer innerhalb einer Organisation infiziert haben. Das Ziel einer Deception Lösung ist es, die Angreifer zu erkennen, bevor der Schaden entsteht und diese in eine sichere Umgebung umzuleiten. Mit unserer Lösung können wir die Techniken und Taktiken analysieren, welche bei echten Angriffen eingesetzt werden, was wiederum den Sicherheitsteams wichtige Einblicke in die Aktivitäten der Angreifer verschafft.
Deception von CYBERTRAP bildet das MITRE ATT&CK Framework® ab und korreliert mit bestimmten Techniken aus der Matrix. Hier ein Auszug aus den vorhandenen Möglichkeiten:
ID | MITRE Taktiken & Techniken | CYBERTRAP Deception Empfehlungen |
T1190 | Exploit Public-Facing Application | Setzen sie Web Application Deception ein |
T1110 | Brute Force | Verwenden sie Server als Fallen (Decoys) mit unterschiedlichen Betriebssystemen und Applikationen |
T1049 | System Network Connections Discovery | Verwenden sie Fallen (Decoys) mit verschiedenen Services und Köder (Lures) die den Angreifer auf die Fallen locken |
T1021 | Remote Services | Verwenden sie RDP Server als Fallen (Decoys) und streuen sie im Netzwerk entsprechende Köder (Lures), welche den Zugriff darauf erlauben |
T1039 | Data from Network Shared Drive | Verwenden sie Fallen (Decoys) mit geteilten Laufwerken, auf welchen sie TrackDown Dokumente verteilen |
Diese Empfehlungen und viele mehr ergeben eine Deception Lösung, die akkurat ist und nachvollziehbare Alerts ohne False Positives auslöst. Mehr zum Thema finden Sie auf https://attack.mitre.org/ oder https://shield.mitre.org/attack_mapping/
Über den Autor
Gerald Wallner
Head of Development at CYBERTRAP
g.wallner@cybertrap.com
Was ist CYBERTRAP?
CYBERTRAP ist ein auf Cyber-Security spezialisiertes Unternehmen aus Österreich, das sich auf aktive Verteidigung und Täuschung spezialisiert hat. Mittels Deception-Technologie werden Angreifer gezielt in eine eigens dafür geschaffene IT-Infrastruktur umgeleitet, noch bevor sie weiter in die tatsächliche Infrastruktur des Unternehmens eindringen und dort Schaden anrichten können.
Vereinbaren Sie jetzt einen persönlichen Gesprächstermin mit einem Ansprechpartner in Ihrer Nähe