Was ist Deception?

Oder: Wie schützt man sich als Unternehmen gegen immer raffiniertere Angriffe?

Zu mehr Sicherheit in 3 Schritten

Cybertrap Step 1

Kosten-Nutzen-Rechnung erstellen

Viele Security-Versicherungen haben Hacker-Schäden aus Ihrer Deckung exkludiert und zahlen in solchen Fällen nichts mehr aus. Aber wie viel Geld kann Deception-Technologie nun wirklich einsparen? Diese und weitere Fragen beantworten wir in unserem Leitfaden: Wie erkläre ich meinem Finanzchef den Wert von Deception Technologie?

Cybertrap Step 2

Deployment vereinbaren

Bis die Lösung einsatzbereit ist, dauert es nur wenige Stunden. Den Termin legen Sie mit unserem Vertrieb individuell fest.

Sie bestimmen dabei selbst, ob sich Ihre IT um die laufende Betreuung kümmern soll, oder diese Aufgabe an uns ausgelagert wird, bis intern entsprechendes Know-How vorhanden ist.

Cybertrap Step 3

Hacker aussperren

Wenn die Angreifer einmal in der Deception-Umgebung gelandet sind, gibt es keinen direkten Weg zurück ins Produktivsystem. Durch sogenannte Threat Intelligence kann man Schlüsse ziehen, worauf man es abgesehen hatte und wie die Angreifer eingebrochen sind.

Was andere sagen

Meiner Meinung nach ist Deception Technologie eine viel zu wenig genutzte Technologie. Sie bietet den Vorteil, dass die Signale an das SOC fast keine false positives sind, und für Kunden, die kein SOC oder SIEM haben, wäre das der beste Euro, den man für IT Sicherheit ausgeben kann.

Automotive CISO

Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden.

Bundesamt für Sicherheit in der Informationstechnikin einer Aussendung zum Microsoft Exchange Hack

Der Angreifer hat den Vorteil gegenüber den Verteidigern. Jahrzehntelang haben Geld, Patente und Anstrengungen nichts daran geändert, und jetzt erfahren wir durch den SolarWinds-Hack, dass die Verteidiger eher noch weiter zurückfallen. Die oberste Priorität muss sein, dies umzukehren, damit die Verteidiger es leichter haben.

Jason HealeyCyber-Konfliktforscher an der Columbia University und ehemaliger Sicherheitsbeauftragter des Weißen Hauses

Die Verweildauer von Hackern in Produktivsystemen extrem lang. Man stelle sich nur vor, was man als Einbrecher, der 2 Monate unentdeckt bleibt, alles machen kann.

IT-Experte zum SolarWinds Hack

Welche Deception Lösung ist die Richtige für mein Unternehmen?

Aktuell bieten wir drei verschiedene Lösungen an, die Sie nach kurzer Einschulung entweder selbst verwalten oder optional als Managed Service beziehen können.

Modernste Sicherheits-Technologie bietet sich natürlich besonders für Banken-, Finanz-, Pharma- und Industrie-Unternehmen an. Aber auch KMUs, denen oft die IT-Expertise gänzlich fehlt, sehen sich der steigenden Anzahl von Hacker-Angriffen immer öfter ausgeliefert – die sogenannte Herdenimmunität wirkt leider weder gegen gezielte noch zufällige Angriffe.

Endpoint Deception

Auch wenn einzelne Geräte im Netzwerk kompromittiert werden, ist die restliche Infrastruktur geschützt. Die Köder werden für Ihr Netzwerk maßgeschneidert entwickelt und angepasst, sodass ein Angreifer sie nicht von den tatsächlichen Netzwerkelementen unterscheiden kann.

Erfahren Sie Mehr

Active Directory Deception

Durch den Zugang zum Active Directory erhoffen sich Angreifer, sich vor den Sicherheitsteams und ihren Werkzeugen zu verstecken. Unbemerkt scannen Sie das gesamte Active Directory und suchen nach Admin Usern. Unsere Lösung sendet solche Daten zurück, erkennt den Angriff und leitet damit die Angreifer um.

gratis testen

Web Application Deception

Wir platzieren autonome Köder (Lures) an strategischen Positionen Ihrer Web-Applikationen. Diese Köder verweisen auf ein täuschend echt wirkendes Fallensystem (Decoy), auf dem der Angreifer sich austoben und keinen Schaden anrichten kann. Dabei wird ein digitaler Steckbrief des Angreifers erstellt und anderen Systemen zur Verfügung gestellt.

Erfahren Sie Mehr

Rückruf vereinbaren

Ihre Zufriedenheit steht für uns an oberster Stelle. Hinterlassen Sie uns einfach eine kurze Nachricht, wir melden uns umgehend bei Ihnen.

Ihr Ansprechpartner

Angelika Hiebl

Angelika Hiebl

„Unser Ziel ist es, mit CYBERTRAP etwaige Angreifer mit ihren eigenen Waffen zu schlagen und somit Unternehmen mehr Sicherheit mit wenig Aufwand zu bieten.“

„Unterbrich niemals deinen Feind während er einen Fehler macht.“
– Napoleon Bonaparte

Wozu Deception?

Angreifer benutzen Täuschung. Dazu gehört alles, von gefälschten E-Mails bis hin zu gestohlenen Zugangsdaten, und sie benutzen sie, um Organisationen dazu zu bringen, Schadsoftware herunterzuladen oder ihnen Zugang zu wertvollen Daten zu gewähren.

Der Sinn der Deception-Technologie besteht also darin, den Angreifern den Spieß umzudrehen und im Grunde genommen jeden Endpunkt in eine Falle zu verwandeln. Dies ermöglicht es Unternehmen, die Deception-Technologie als Teil ihrer Cybersecurity Strategie einsetzen, die Unternehmensdaten aktiv gegen unauthorisierten Zugriff zu verteidigen.

Deception ist kein Honig-Schlecken

Eine der größten Herausforderungen ist die Fehleinschätzung, dass Deception gleichbedeutend mit Honeypots ist. Viele Menschen denken sofort an Honeypots (die es übrigens schon seit 25 Jahren gibt), wenn sie Deception hören, was ganz und gar nicht der Fall ist.

Im Gegensatz zu Honeypots stoppt die CYBERTRAP Deception-Technologie die Bewegungen der Angreifer und leitet diese um in eine überwachte Umgebung, wo kein Schaden angerichtet werden kann. Außerdem verwendet sie Analysen, was bedeutet, dass sie bessere Informationen und forensische Daten für eine schnellere Reaktion liefert.

Wir können nicht weiterhin einen reaktiven Sicherheitsansatz verfolgen und erwarten, dass er gegen die Gegner wirkt, die heute da draußen sind. (F. Weber, CYBERTRAP)

Nahezu alle Technologien im Sicherheitsbereich werden mit einer reaktiven Denkweise gebaut, und das bedeutet, dass Angreifer immer einen First-Mover-Advantage haben. Das nutzen diese aus, und sie sind uns immer einen Schritt voraus. Wir holen auf, und wir können nicht schnell genug aufholen.

FAQ – Deception Technologie

Was ist der Unterschied zwischen Deception und Honeypot?

Honeypots waren bis vor einiger Zeit noch State-of-The Art um zu erkennen, ob ein Angreifer den Honeypot angegriffen hat. Cyberkriminelle und auch die IT Security haben sich jedoch weiterentwickelt und es genügt nicht mehr zu wissen, ob jemand einen Honeypot angefasst hat. Honeypots sind nicht mehr zeitgemäß, um die dringendsten Fragen zu beantworten: wer ist warum in meinem Netz, wo kommt er her, wo will er hin, und vor allem, wie lange befindet er sich bereits hier? Hier kommt Deception Technologie ins Spiel.

Um den Angriff zu analysieren, muss man zuerst wissen, wonach man in seinem Datenmeer überhaupt sucht. Es ist hier weniger ein Big-Data-Problem als ein Analyse-Problem. Es ist die Suche nach der Nadel im Heuhaufen.

Was ist das MITRE Shield?

MITRE Shield ist eine freie Wissensbasis für proaktive Verteidigungstechniken. Es besteht aktuell aus 33 verschiedene Kontrollen oder Methoden zum Schutz vor Angriffen, und 27 der 33 Kontrollen sind Deception. CyberTRAP deckt weit über 80% des Rahmenwerks von MITRE Shield ab, und das ist ein sehr starkes Signal an die Welt, wie wichtig es ist, die CyberTRAP Deception-Technologie einzusetzen.

Wie gehen Cyberkriminielle bei einem Angriff im Netzwerk vor?

Am einfachsten wäre es, den Angreifer zu fragen. Er könnte diese Fragen ganz schnell beantworten. Alternativ wäre es praktisch, ihm einfach während seiner Arbeit über die Schulter zu schauen. Dann würde sich die Nadel im Heuhaufen auf dem Silbertablett präsentieren.

Wonach suchen Angreifer oft im Unternehmensnetzwerk?

RDP-Credentials, verteckte Shareb, Putty-Anmeldinformationen, Zugangsdaten in Skripten, Browserhistorie

Was ist Threat Intelligence?

Die Definition bzw. Übersetzung von Threat Intelligence auf Deutsch wäre „Wissen über Bedrohungen“. Es beschreibt die Sammlung aller sicherheitsrelevanten Informationsquellen. Dafür können interne und externe Quellen (bspw. über Service Anbieter) genutzt werden. Aktualität, Schnelligkeit und der Kontext für die eigene Organisation sind wichtig.

Wo kommt Threat Intelligence zum Einsatz?

Deception-Tools wie CyberTRAP unterstützen Security Teams, indem kontextbezogene und individuelle Threat Intelligence in Echtzeit zur Verfügung gestellt wird. Dadurch ist dem Sysadmin oder IT Security Verantwortlichen des attackierten Unternehmens ein Einblick in einen Angriff in Echtzeit möglich.

Was ist die Dwell Time?

Verweilzeit eines Angreifers im Netzwerk, von der ersten Komprimitierung bis zu seiner Entdeckung.

Wie hoch ist die Dwell Time im Durchschnitt?

Statistiken dazu sind sehr unterschiedlich (Quelle der Reports, Branche, Land etc.) und reichen bis zu 206 Tagen. Die Rückverfolgung der initialen Kompromittierung ist sehr schwer bis unmöglich. Im Zusammenhang mit der Shitrix Lücke, waren viele Angreifer über 6 Monate unentdeckt im Netzwerk, bevor die Ransomware aktiviert wurde.

Wie kann die Dwell Time reduziert werden?

Deception hilft dabei, diese Zeit um 90 bis 97% zu verkürzen. Mit Hilfe individueller Köder und Ablenkungsmanöver, wird das Unternehmen bereits beim ersten Versuch einer lateralen Bewegung alarmiert.

Was ist die Response Gap?

Die Zeit zwischen Erkennen eines Sicherheitsvorfalls und den Gegenmaßnahmen wird als  „Reaktionslücke“ (Response Gap) bezeichnet. Dabei gilt: Je größer die Reaktionslücke, desto schwerer die Folgen.

Wie kann man den Response Gap verkleinern?

Deception Tools wie CyberTRAP können die Zeit signifikant verkürzen. Das Security Team wird unterstützt und entlastet, indem kontextbezogene und individuelle Threat-Intelligence in einen laufenden Angriff zur Verfügung gestellt wird. Aus den gewonnen Erkenntnissen können gezielt und priorisiert Gegenmaßnahmen erfolgen.

Deception – Was ist das?

Die wortwörtliche Übersetzung für „Deception“ aus dem Englischen bedeutet einfach „Täuschung“. Wenn man den Blick auf die IT-Security legt, nutzen Angreifer wie Verteidiger verschiedenste Deception-Technologien und Methoden wie Phishing, Scamming, Social Engineering auf der einen, Honey-/User-Token und Honeypots auf der anderen Seite.

Braucht Ihr Unternehmen eine Deception-Technologie?

Deception-Technologie verwendet Köder und Fallen, die wie echte Daten oder Systeme aussehen. Die Angreifer sind die einzigen, die sich mit ihnen beschäftigen. Wie Gartner in seinem „Hype Cycle for Security Operations 2020“ feststellt: „Mit diesen Artefakten sollte ein normaler Benutzer nicht interagieren – daher gibt es fast keine Fehlalarme – aber Angreifer suchen genau diese, wenn sie in Netzwerken sich weiterbewegen wollen. Das neue MITRE Shield-Rahmenwerk steht als Beweis für die wachsende Bedeutung der Deception-Technologie.