Oder: Wie schützt man sich als Unternehmen gegen immer raffiniertere Angriffe?
Bei Deception-Technologien werden Angreifer gezielt in eine eigens dafür geschaffene IT-Infrastruktur umgeleitet, noch bevor sie weiter in die tatsächliche Infrastruktur des Unternehmens eindringen können. Innerhalb dieser fiktiven Umgebung können die Angreifer systematisch beobachtet werden, um ihre Motivation, Methoden und teilweise sogar ihre Identität und Auftraggeber zu identifizieren.
So gehen Hacker im Netzwerk vor
In der ersten Phase, der Reconnaissance Phase, wird vom Hacker observiert und untersucht, wie das Netzwerk aufgebaut ist und die Hierarchien angelegt sind. Um hierbei den gewünschten Ort im Netzwerk zu erreichen, werden verschiedene Tools eingesetzt, um Schwachstellen oder Pfade offenzulegen.
Nach dem Eindringen bewegt sich der Hacker in der Credential Dumping and Privilege Escalation Phase Stück für Stück gezielt durch das Netzwerk, um mehr Benutzerrechte zu erlangen und so an den Zielort seines Angriffs zu kommen. Wenn er es geschafft hat Adminrechte zu erlangen, befindet er sich in der Gaining Access Phase und es ist nun noch schwerer laterale Bewegungen zwischen den Geräten und Apps zu identifizieren, da es wie normaler Network Traffic wirkt.
Artefakte (wie z.B. Logs, Zeitstempel, Einträge in der Registry, etc.) dienen als forensischer Beweis für mögliche Eingriffe in ein Netzwerk. Diese Informationen beruhen aber auf Wissen und ändern sich ständig, weil Angreifer permanent ihre Techniken, Taktiken und Prozeduren ändern.
Angreifer verwenden ausnahmslos Täuschungstechniken – Warum nicht auch die Verteidiger?
Warum Deception statt Honeypots?
IT-Sicherheit ist eine fortlaufende Aufgabe und sollte nicht als Einmalinvestition betrachtet werden. Die Branche entwickelt sich stetig weiter. Hacker finden ständig neue Wege, um in Systeme einzubrechen oder neue Sicherheitslücken auszunutzen. Genauso, wie Sie mit einem Auto regelmäßig zur Überprüfung fahren, gelegentlich neue Reifen kaufen oder Verschleißteile ersetzen, bedarf auch ein IT-Netzwerk konstanter Pflege. Honeypots wurden dazu geschaffen, einen Hacker in einen Bereich hineinzuziehen, der ihn sonst nicht interessiert hätte. Darauf fallen nur noch wenige herein. Man will heutzutage auch gar keine Hacker mit diesen „Honigtöpfchen“ anlocken, sondern so unauffällig wie möglich bleiben. Das geht nur mit Deception.
So schützt Deception auch Ihre Daten
Wie sehr (bzw. wenig) verbreitete Hard- und Software in der IT-Security tatsächlich zur Abwehr von Angreifern nutzen, wird in der sogenannten „Pyramide of an Attackers Pain“ (David J Bianco, Mandiant/Fireeye) gut dargestellt. Dabei steigt die Herausforderung für den Hacker von den unteren, tiefergelegenene Schichten wie beispielsweise Anti-Malware und Firewall-Systeme, nach oben hin.
An oberster Stelle steht das MITRE ATT&CK Framework®, welches entwickelt wurde, um Angreifer-Verhalten im Falle einer Kompromittierung besser erkennen zu können. Wie unsere Deception-Technologie dieses Framework abbildet, und welche Empfehlungen sich daraus ergeben, können Sie im Artikel zum Thema Deception Stories nachlesen.
Mehr zur „Pyramid of the Attacker’s Pain“ haben Ihnen unsere Cybersecurity-Experten außerdem in diesem Blogartikel zusammengefasst.
Zu mehr Sicherheit in 3 Schritten
Kosten-Nutzen-Rechnung erstellen
Viele Security-Versicherungen haben Hacker-Schäden aus Ihrer Deckung exkludiert und zahlen in solchen Fällen nichts mehr aus. Aber wie viel Geld kann Deception-Technologie nun wirklich einsparen? Diese und weitere Fragen beantworten wir in unserem Leitfaden: Wie erkläre ich meinem Finanzchef den Wert von Deception Technologie?
Deployment vereinbaren
Bis die Lösung einsatzbereit ist, dauert es nur wenige Stunden. Den Termin legen Sie mit unserem Vertrieb individuell fest.
Sie bestimmen dabei selbst, ob sich Ihre IT um die laufende Betreuung kümmern soll, oder diese Aufgabe an uns ausgelagert wird, bis intern entsprechendes Know-How vorhanden ist.
Hacker aussperren
Wenn die Angreifer einmal in der Deception-Umgebung gelandet sind, gibt es keinen direkten Weg zurück ins Produktivsystem. Durch sogenannte Threat Intelligence kann man Schlüsse ziehen, worauf man es abgesehen hatte und wie die Angreifer eingebrochen sind.
Was andere sagen
Welche Deception Lösung ist die Richtige für mein Unternehmen?
Aktuell bieten wir drei verschiedene Lösungen an, die Sie nach kurzer Einschulung entweder selbst verwalten oder optional als Managed Service beziehen können.
Modernste Sicherheits-Technologie bietet sich natürlich besonders für Banken-, Finanz-, Pharma- und Industrie-Unternehmen an. Aber auch KMUs, denen oft die IT-Expertise gänzlich fehlt, sehen sich der steigenden Anzahl von Hacker-Angriffen immer öfter ausgeliefert – die sogenannte Herdenimmunität wirkt leider weder gegen gezielte noch zufällige Angriffe.
Active Directory Deception
Durch den Zugang zum Active Directory erhoffen sich Angreifer, sich vor den Sicherheitsteams und ihren Werkzeugen zu verstecken. Unbemerkt scannen Sie das gesamte Active Directory und suchen nach Admin Usern. Unsere Lösung sendet solche Daten zurück, erkennt den Angriff und leitet damit die Angreifer um.
Web Application Deception
Wir platzieren autonome Köder (Lures) an strategischen Positionen Ihrer Web-Applikationen. Diese Köder verweisen auf ein täuschend echt wirkendes Fallensystem (Decoy), auf dem der Angreifer sich austoben und keinen Schaden anrichten kann. Dabei wird ein digitaler Steckbrief des Angreifers erstellt und anderen Systemen zur Verfügung gestellt.
Warum Cybertrap?
„Cybersecurity made in Europe“
Unsere Deception-Technologie ist in der Lage, Angriffe automatisiert auszuwerten und Ereignisse, die auf den ersten Blick nicht zusammenhängen, miteinander in Verbindung zu bringen.
Dadurch verringern sich sowohl die Reaktionszeit als auch zeitraubende Fehlalarme und damit der Aufwand für die zuständigen IT-Verantwortlichen im Unternehmen.
Rückruf vereinbaren
Ihre Zufriedenheit steht für uns an oberster Stelle. Hinterlassen Sie uns einfach eine kurze Nachricht, wir melden uns umgehend bei Ihnen.
Ihr Ansprechpartner
„Unser Ziel ist es, mit CYBERTRAP etwaige Angreifer mit ihren eigenen Waffen zu schlagen und somit Unternehmen mehr Sicherheit mit wenig Aufwand zu bieten.“
„Unterbrich niemals deinen Feind während er einen Fehler macht.“
– Napoleon Bonaparte
Wozu Deception?
Angreifer benutzen Täuschung. Dazu gehört alles, von gefälschten E-Mails bis hin zu gestohlenen Zugangsdaten, und sie benutzen sie, um Organisationen dazu zu bringen, Schadsoftware herunterzuladen oder ihnen Zugang zu wertvollen Daten zu gewähren.
Der Sinn der Deception-Technologie besteht also darin, den Angreifern den Spieß umzudrehen und im Grunde genommen jeden Endpunkt in eine Falle zu verwandeln. Dies ermöglicht es Unternehmen, die Deception-Technologie als Teil ihrer Cybersecurity Strategie einsetzen, die Unternehmensdaten aktiv gegen unauthorisierten Zugriff zu verteidigen.
Deception ist kein Honig-Schlecken
Eine der größten Herausforderungen ist die Fehleinschätzung, dass Deception gleichbedeutend mit Honeypots ist. Viele Menschen denken sofort an Honeypots (die es übrigens schon seit 25 Jahren gibt), wenn sie Deception hören, was ganz und gar nicht der Fall ist.
Im Gegensatz zu Honeypots stoppt die CYBERTRAP Deception-Technologie die Bewegungen der Angreifer und leitet diese um in eine überwachte Umgebung, wo kein Schaden angerichtet werden kann. Außerdem verwendet sie Analysen, was bedeutet, dass sie bessere Informationen und forensische Daten für eine schnellere Reaktion liefert.
Wir können nicht weiterhin einen reaktiven Sicherheitsansatz verfolgen und erwarten, dass er gegen die Gegner wirkt, die heute da draußen sind. (F. Weber, CYBERTRAP)
Nahezu alle Technologien im Sicherheitsbereich werden mit einer reaktiven Denkweise gebaut, und das bedeutet, dass Angreifer immer einen First-Mover-Advantage haben. Das nutzen diese aus, und sie sind uns immer einen Schritt voraus. Wir holen auf, und wir können nicht schnell genug aufholen.
FAQ – Deception Technologie
Was ist der Unterschied zwischen Deception und Honeypot?
Honeypots waren bis vor einiger Zeit noch State-of-The Art um zu erkennen, ob ein Angreifer den Honeypot angegriffen hat. Cyberkriminelle und auch die IT Security haben sich jedoch weiterentwickelt und es genügt nicht mehr zu wissen, ob jemand einen Honeypot angefasst hat. Honeypots sind nicht mehr zeitgemäß, um die dringendsten Fragen zu beantworten: wer ist warum in meinem Netz, wo kommt er her, wo will er hin, und vor allem, wie lange befindet er sich bereits hier? Hier kommt Deception Technologie ins Spiel.
Um den Angriff zu analysieren, muss man zuerst wissen, wonach man in seinem Datenmeer überhaupt sucht. Es ist hier weniger ein Big-Data-Problem als ein Analyse-Problem. Es ist die Suche nach der Nadel im Heuhaufen.
Was ist das MITRE Shield?
MITRE Shield ist eine freie Wissensbasis für proaktive Verteidigungstechniken. Es besteht aktuell aus 33 verschiedene Kontrollen oder Methoden zum Schutz vor Angriffen, und 27 der 33 Kontrollen sind Deception. CyberTRAP deckt weit über 80% des Rahmenwerks von MITRE Shield ab, und das ist ein sehr starkes Signal an die Welt, wie wichtig es ist, die CyberTRAP Deception-Technologie einzusetzen.
Wie gehen Cyberkriminielle bei einem Angriff im Netzwerk vor?
Am einfachsten wäre es, den Angreifer zu fragen. Er könnte diese Fragen ganz schnell beantworten. Alternativ wäre es praktisch, ihm einfach während seiner Arbeit über die Schulter zu schauen. Dann würde sich die Nadel im Heuhaufen auf dem Silbertablett präsentieren.
Wonach suchen Angreifer oft im Unternehmensnetzwerk?
RDP-Credentials, verteckte Shareb, Putty-Anmeldinformationen, Zugangsdaten in Skripten, Browserhistorie
Was ist Threat Intelligence?
Die Definition bzw. Übersetzung von Threat Intelligence auf Deutsch wäre „Wissen über Bedrohungen“. Es beschreibt die Sammlung aller sicherheitsrelevanten Informationsquellen. Dafür können interne und externe Quellen (bspw. über Service Anbieter) genutzt werden. Aktualität, Schnelligkeit und der Kontext für die eigene Organisation sind wichtig.
Wo kommt Threat Intelligence zum Einsatz?
Deception-Tools wie CyberTRAP unterstützen Security Teams, indem kontextbezogene und individuelle Threat Intelligence in Echtzeit zur Verfügung gestellt wird. Dadurch ist dem Sysadmin oder IT Security Verantwortlichen des attackierten Unternehmens ein Einblick in einen Angriff in Echtzeit möglich.
Was ist die Dwell Time?
Verweilzeit eines Angreifers im Netzwerk, von der ersten Komprimitierung bis zu seiner Entdeckung.
Wie hoch ist die Dwell Time im Durchschnitt?
Statistiken dazu sind sehr unterschiedlich (Quelle der Reports, Branche, Land etc.) und reichen bis zu 206 Tagen. Die Rückverfolgung der initialen Kompromittierung ist sehr schwer bis unmöglich. Im Zusammenhang mit der Shitrix Lücke, waren viele Angreifer über 6 Monate unentdeckt im Netzwerk, bevor die Ransomware aktiviert wurde.
Wie kann die Dwell Time reduziert werden?
Deception hilft dabei, diese Zeit um 90 bis 97% zu verkürzen. Mit Hilfe individueller Köder und Ablenkungsmanöver, wird das Unternehmen bereits beim ersten Versuch einer lateralen Bewegung alarmiert.
Was ist die Response Gap?
Die Zeit zwischen Erkennen eines Sicherheitsvorfalls und den Gegenmaßnahmen wird als „Reaktionslücke“ (Response Gap) bezeichnet. Dabei gilt: Je größer die Reaktionslücke, desto schwerer die Folgen.
Wie kann man den Response Gap verkleinern?
Deception Tools wie CyberTRAP können die Zeit signifikant verkürzen. Das Security Team wird unterstützt und entlastet, indem kontextbezogene und individuelle Threat-Intelligence in einen laufenden Angriff zur Verfügung gestellt wird. Aus den gewonnen Erkenntnissen können gezielt und priorisiert Gegenmaßnahmen erfolgen.
Deception – Was ist das?
Die wortwörtliche Übersetzung für „Deception“ aus dem Englischen bedeutet einfach „Täuschung“. Wenn man den Blick auf die IT-Security legt, nutzen Angreifer wie Verteidiger verschiedenste Deception-Technologien und Methoden wie Phishing, Scamming, Social Engineering auf der einen, Honey-/User-Token und Honeypots auf der anderen Seite.
Braucht Ihr Unternehmen eine Deception-Technologie?
Deception-Technologie verwendet Köder und Fallen, die wie echte Daten oder Systeme aussehen. Die Angreifer sind die einzigen, die sich mit ihnen beschäftigen. Wie Gartner in seinem „Hype Cycle for Security Operations 2020“ feststellt: „Mit diesen Artefakten sollte ein normaler Benutzer nicht interagieren – daher gibt es fast keine Fehlalarme – aber Angreifer suchen genau diese, wenn sie in Netzwerken sich weiterbewegen wollen. Das neue MITRE Shield-Rahmenwerk steht als Beweis für die wachsende Bedeutung der Deception-Technologie.
