Lösungen

CYBERTRAP legt versteckte Köder (Lures) an Endpoints aus, welche die Angreifer von den Produktivnetzwerk (Production Network) weglocken und zu unseren überwachten Fallen (Decoys) umleiten. Auch wenn Endpoints kompromittiert werden, ist somit die Unternehmensinfrastruktur trotzdem geschützt. Die Köder werden für Ihr Netzwerk maßgeschneidert entwickelt und angepasst, sodass ein Angreifer sie nicht von den tatsächlichen Netzwerkelementen unterscheiden kann. Die Deception Umgebung (Deceptive Environment) besteht aus überwachten Fallen, die genau so aussehen, wie die Server im Produktivnetzwerk.

Wir sind in der Lage, das Verhalten und die Aktionen der Angreifer zu überwachen und zu verfolgen. Auf diese Weise generieren wir wertvolle Threat Intelligence Daten, auf die über das Dashboard oder über automatisierte Risikomanagementberichte zugegriffen werden kann. Diese Daten werden auch in SOC/SIEM-Systeme, Antiviren-Software und Firewalls exportiert, um die Sicherheitsmaßnahmen im Produktivnetzwerk zu verstärken. Diese individuellen Threat Intelligence-Informationen, die in Echtzeit und im MITRE/ATT@CK-Kontext zur Verfügung gestellt werden, helfen dem SOC-Team, sich auf kritische Alarme zu konzentrieren und diese effektiver zu analysieren. Mit unserer massgeschneiderten, europäischen Deception-Technologie kontrollieren wir solche Angriffe und sind so den Angreifern immer einen Schritt voraus.

Wir platzieren autonome Köder (Lures) an strategischen Positionen Ihrer Web-Applikationen. Diese Köder sind für normale Anwender unsichtbar, werden aber bei einem gezielten Angriff schnell gefunden. Sie sind direkt an überwachte Fallen (Decoys) Ihrer Deception Umgebung (Deception Environment) gekoppelt – sobald Angreifer einem dieser Köder folgen, können wir ihr Verhalten überwachen und ihre Aktionen verfolgen.

Genau wie bei Endpoint Deception generieren wir wertvolle Threat Intelligence Daten, auf die über das Dashboard oder über automatisierte Risikomanagement-Berichte für Web Application Deception zugegriffen werden kann. Diese Daten werden auch in SOC/SIEM-Systeme, Antiviren-Software und Firewalls exportiert, um die Sicherheitsmaßnahmen im Produktivnetzwerk zu verstärken.

Active Directory (AD) ist ein Standardwerkzeug, das von den meisten Organisationen verwendet wird, um den Zugriff von Benutzern und Rechnern auf die Ressourcen des Unternehmens zu regeln. Jeder Computer im Unternehmensnetzwerk muss daher einen gewissen Zugang zum AD haben, damit die Netzwerkumgebung korrekt funktioniert.

Angreifer setzen Phishing, Man-in-the-Middle und andere Techniken ein, um sich die Berechtigungen zu verschaffen, die sie benötigen, um in ein Netzwerk einzubrechen. Sobald sie einmal im System sind, setzen sie oft Angriffswerkzeuge wie Bloodhound Scans ein, um die gesamte AD-Umgebung abzubilden. Durch diesen Abgleich können Angreifer die wertvollen Ressourcen, Systeme und privilegierten Benutzerkonten identifizieren, die sie zur Erreichung ihrer Ziele und zur Erstellung eines Angriffsplans benötigen. Durch den Zugang zum AD erhoffen sich Angreifer, sich vor den Sicherheitsteams und ihren Werkzeugen zu verstecken, indem sie z.B. vorhandene Zugangsdaten verwenden oder ihre eigenen Domains erstellen.

Wenn ein Angreifer beispielsweise das Bloodhound-Tool verwendet, um AD nach Admin Konten zu scannen, erhält er falsche Informationen zurück. Damit geht sofort ein Alarm los und das Sicherheitsteam weiß, dass hier jemand unberechtigt nach AD Admin Konten sucht. Nutzt der Angreifer die falschen Informationen, um sich im Netzwerk weiter zu bewegen, wird er sofort wieder in eine sichere Deception Umgebung umgeleitet, wo er weiter beobachtet werden kann. Während dies stattfindet, zeichnen wir die Techniken, Taktiken und Prozeduren der Angreifer auf, die wiederum vom Sicherheitsteam zur Stärkung der Abwehr im Produktivnetzwerk eingesetzt werden, um weitere Angriffe zu verhindern.