Deception-Technologie
Deception (Täuschung) in der IT-Sicherheit verwendet Köder, um Angreifer in die Irre zu führen und sie daran zu hindern, tiefer in das Netzwerk einzudringen und ihr beabsichtigtes Ziel zu erreichen.
Deception-Lösungen arbeiten mit Täuschungsobjekten, die echte IT-Ressourcen im gesamten Netzwerk imitieren. Die Täuschungen werden entweder auf einem echten oder einem emulierten Betriebssystem ausgeführt. Die bereitgestellten Dienste sollen dem Angreifer vorgaukeln, dass er einen Weg gefunden hat, um Anmeldedaten zu stehlen oder die Privilegien zu erweitern. Tatsächlich wurde der Angreifer jedoch lediglich dazu verleitet, einen Köder zu scannen und anzugreifen. Dieser benachrichtigt darauf hin einen speziellen Server, der als Engagement-Server oder Deception-Server bezeichnet wird. Auf dem Deception-Server arbeiten Korrelations-Engines, die identifizieren welchen Köder der Angreifer gescannt hat oder versucht hat anzugreifen und welche Angriffsvektoren verwendet wurden.
Deception-Lösungen ersetzen keine anderen Security-Produkte, die bereits in Unternehmen im Einsatz sind, sondern ergänzen diese. Diese Technologie ist nicht auf Angriffssignaturen angewiesen. Das macht die Technik so effektiv, um in Echtzeit einen Einblick in einen Angriff zu erhalten, der bereits alle anderen Präventionsmaßnahmen umgangen hat. Diese Fähigkeit erweitert die Aufgaben, die von einer regulären SIEM-Plattform (Security Information and Event Management) abgedeckt werden. So lässt sich sicherstellen, dass infizierte Systeme so schnell wie möglich identifiziert und unter Quarantäne gestellt werden.
Da die Deception-Technologie in erster Linie darauf ausgelegt ist, Bedrohungen innerhalb des Netzwerks und deren Seitwärtsbewegungen zu erkennen, sind die Warnungen immer ereignisgesteuert. Dies erlaubt auch direkt forensische Analysen, die bei Bedarf mit den Protokolldaten aus den SIEM-Systemen des Unternehmens abgeglichen und analysiert werden. Sollten während eines Angriffs noch mehr Informationen benötigt werden, können einige Täuschungssysteme sogar die Kommunikation mit dem Command-and-Control-Server (C&C-Server) des Angreifers öffnen, um mehr über die Methoden des Angreifers und die von ihm verwendeten Tools zu erfahren.