Mopic - stock.adobe.com

Mit Deception Tools Cyberangriffen wirksam begegnen

Zum Schutz vor Angriffen können Unternehmen jetzt moderne Deception Tools einsetzen, um Hacker in komplett vorgetäuschte Umgebungen zu locken und um sie unschädlich zu machen.

In den vergangenen Jahren gab es eine vielversprechende Neuentwicklung im Markt für Cybersicherheit, die „aktive“ Techniken zum Schutz von Unternehmen mit dem eher traditionellen Konzept eines Einsatzes von Honeypots und Honeynets kombiniert.

Diese neuen Tools aus dem Bereich Deception Technologies können so konfiguriert werden, dass sie aktuell stattfindende Angriffe erkennen und unterbinden können. Dazu locken sie die Angreifer zu Systemen und Anwendungen, die nur zu dem Zweck eingerichtet wurden, um sie für eine gewisse Zeit zu beschäftigen. Diese Zeitspanne kann dann dazu genutzt werden, um die Angreifer zu beobachten und um gezielte Gegenmaßnahmen gegen sie zu entwickeln: Dadurch werden ihre Aktivitäten blockiert oder es wird sogar zu einer aktiven Gegenmaßnahme gegriffen beziehungsweise eine Kombination aus beiden Vorgehensweisen gewählt.

Einer der wichtigsten Vorteile dieser Täuschungsmaßnahmen ist, dass es dabei praktisch keine False Positives gibt. Jeder, der auf eines der Deception-Systeme oder andere für Ablenkung gedachte Lösungen zugreift, ist entweder aktiv an einem Angriff beteiligt oder verletzt interne Richtlinien absichtlich oder unabsichtlich.

Wie Deception Tools funktionieren

Deception Tools imitieren echte Systeme und Anwendungen, wie sie in einem typischen Unternehmen existieren, um Angreifer damit anzulocken. Um die reale Welt besser nachzubilden, sollten Werkzeuge in diesem Bereich folgende Funktionen bieten: unterschiedliche Betriebssysteme, die als Köder dienen können;

  • Nutzerkonten, die gehackt und die innerhalb der vorgetäuschten Umgebung tatsächlich eingesetzt werden können;
  • gefälschte interne Dokumente und andere Informationen, die für Angreifer interessant sind sowie auch flexible Umgebungen, die typischen betrieblichen Strukturen mit einem Netzwerk aus Servern und Endanwenderclients ähneln;
  • integrierte Cloud-Infrastrukturen; dazu kommt spezialisierte IT-Infrastruktur, die abhängig vom jeweiligen Unternehmen ist. Beispiele für letzteres sind industrielle Kontrollplattformen oder Umgebungen, um etwa Kreditkartenzahlungen abwickeln zu können.

Es gibt viele verschiedene Arten von verdächtigen Aktivitäten, die Deception Tools aufdecken können. Hier ein paar Beispiele:

  • Frühe Erkundungen von Nutzerdaten und vorhandenen Systemen
  • Ausnutzung von Systemen oder Anwendungen für weitere Aktivitäten
  • Diebstahl von Nutzerkonten und ihr anschließender Missbrauch
  • Spätere Bewegungen von einem anfangs gehackten Computer zu anderen Systemen
  • Angriffe gegen Verzeichnisdienste und Lösungen zum Identitätsmanagement
  • Passive Attacken wie Man-in-the-Middle oder das Sniffen von Passwörtern
  • Zugriff auf sensible Daten und ihre Extraktion aus dem Unternehmen

Einsatzmöglichkeiten für Deception-Techniken

Es gibt eine Vielzahl von Einsatzmöglichkeiten für Deception Tools, um die Jagd nach Bedrohungen und die Reaktion auf Vorfälle zu verbessern.

Erstens kann sofort mit der Suche nach einem Angriff gestartet werden, wenn eine der Deception-Fallen aktiviert wurde. Damit lassen sich erfolglose Suchen und False Positives vermeiden, die bei vielen anderen Erkennungsmethoden relativ häufig auftreten. Es wird also weniger Zeit für ergebnislose Tätigkeiten verschwendet. Außerdem reduziert sich die Zeit zwischen der Entdeckung einer Attacke bis zur Gegenwehr für das gesamte Security-Team erheblich, wenn auf Deception gesetzt wird.

Mit Hilfe dieser Tools können sich die Verteidiger sofort auf die jeweiligen schützenswerten Besitztümer eines Unternehmens konzentrieren, die gerade attackiert werden, seien es zum Beispiel Daten, bestimmte Server oder Nutzerkonten. Dabei stellen sich folgende Fragen:

  • Welcher Account oder welches System wurde genutzt, um auf den Köder zuzugreifen?
  • Mit welchen anderen Systemen haben der Account oder das System vor dem Beginn dieser Aktivitäten bereits kommuniziert?
  • Welche Zugriffsmethoden und welche erkennbaren Muster wurden dabei genutzt, die in Zukunft als Indicators of Compromise (IoCs) verwendet werden können, um schneller auf Gefahren reagieren zu können?

Zweitens können Deception Tools eingesetzt werden, um die IT-Umgebung dynamisch zu ändern, die ein Angreifer zu sehen bekommt. Das sorgt für mehr Komplexität, so dass sie für einen verlängerten Zeitraum damit beschäftigt sind, diese Systeme und Anwendungen auszuforschen. Wenn also ein Köder oder eine Falle aktiviert werden, können die Verteidiger zusätzliche Systeme und Nutzer-Accounts dynamisch hinzufügen, während sie die sich entwickelnde Situation weiter in Ruhe untersuchen können. Das verschafft ihnen zusätzliche Zeit, die sie nutzen können, um adäquat zu reagieren oder um einfach nur weitere Daten zu sammeln.

Drittens bieten manche Deception Tools auch Funktionen, um den Standort der Angreifer herauszufinden, wenn sie Daten herunterladen oder anderweitig ausschleusen wollen. Dazu verbergen sie spezielle Cookies auf den Systemen der Hacker und nutzen Techniken wie Geolocation, um ihnen auf die Spur zu kommen.

Schlussendlich können diese Tools auch dazu verwendet werden, um interne Red-Team- versus Blue-Team-Übungen durchzuführen. Damit lassen sich die Verteidigungsmaßnahmen anhand real aufgedeckter Angriffe weiter verbessern und an aktuelle Ereignisse anpassen. Manche Deception-Lösungen haben sogar erweiterbare APIs (Application Programming Interfaces), um sie in andere Anwendungen zum Monitoring und zur Reaktion auf Vorfälle integrieren zu können. So können nach und nach viele wesentliche Aspekte bei der Entdeckung und Reaktion auf Angriffe automatisiert und optimiert werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Cyberangriffe mit aktiven Täuschungsmaßnahmen abwehren

Täuschung zur Verteidigung einsetzen

So sollten Unternehmen Cyberbedrohungen gezielt begegnen

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit