Mopic - stock.adobe.com
Wie man Deception planvoll im Unternehmen integriert
Mit Deception, der gezielten Täuschung, wehren IT-Teams Angriffe ab und gewinnen Erkenntnisse über die Vorgehensweise der Kriminellen. Das will überlegt angegangen werden.
Es ist nicht mehr die Frage, ob Angreifer in ein bestimmtes Unternehmensnetzwerk eindringen, sondern wann - eine Tatsache, die proaktive Cybersicherheitsstrategien wie Threat Hunting und Cyber-Deception zunehmend interessant macht. Die Analysten von Research and Markets prognostizieren, dass der Markt für Täuschungstechnologien bis 2026 auf 4,2 Milliarden US-Dollar anwachsen wird, gegenüber 1,9 Milliarden US-Dollar im Jahr 2020.
Bei der Deception werden Täuschungsobjekte in der IT-Umgebung ausgelegt, um böswillige Hacker von den echten Systemen und Anwendungen wegzulocken. Im besten Fall kann die Cyber-Deception Folgendes bewirken:
- Angreifer mit Ablenkungsmanövern beschäftigen und so deren Zeit und Energie vergeuden.
- Reaktionsteams aktivieren, wenn Angreifer im Unternehmen sind. Und dies bei kaum auftretenden Fehlalarmen.
- Stärkung der Bedrohungsaufklärung, indem Sicherheitsteams in die Lage versetzt werden, die Taktiken, Techniken und Verfahren von Angreifern zu beobachten und aufzuzeichnen.
All dies ist jedoch leichter gesagt als getan. Um ein Deception-Programm aufzubauen, das die oben genannten Vorteile verwirklicht, benötigen Sicherheitsverantwortliche einen durchdachten und strategischen Ansatz. Beachten Sie die folgenden Best Practices.
1. Die Führungskräfte einbinden
Während frühe Deception-Versuche in dem Ruf standen, die Ziele von Organisationen nicht direkt zu unterstützen - in einigen Fällen wurden Zeit und Ressourcen verschwendet - haben sich die Techniken und Technologien zur Cybertäuschung seit den Anfängen der rudimentären Honeypots stark weiterentwickelt.
Es ist wichtig, den Führungskräften, einschließlich CISOs, CIOs und anderen C-Level-Führungskräften, mitzuteilen, dass Cyber-Deception jetzt ein wichtiger Teil der aktiven Verteidigung geworden ist, mit dem Potenzial, einen erheblichen ROI zu liefern. Je mehr Unterstützung das Cyber-Deception-Programm durch die Führungsebene erfährt, desto wahrscheinlicher ist sein Erfolg.
2. Ausarbeitung eines ersten Plans zur Täuschung
Es ist leicht, sich für das unbegrenzte konzeptionelle Potenzial der Cyber-Deception zu begeistern und dabei die operativen und logistischen Beschränkungen zu übersehen. Anstatt sich jedoch zu ehrgeizige Ziele zu setzen, sollte man versuchen, die verfügbaren Ressourcen realistisch einzuschätzen und klein anzufangen.
Betrachten Sie zunächst die Schwachstellen des Unternehmens und ermitteln Sie die wichtigsten Vermögenswerte, bevor Sie die Wahrscheinlichkeit und den potenziellen Schweregrad verschiedener Angriffsszenarien abwägen. Priorisieren Sie risikoreiche Bedrohungen, die relativ wahrscheinlich und relativ schwerwiegend sind.
Ziehen Sie dann Ressourcen wie Threat Intelligence Feeds, Berichte über Vorfälle und Mitre ATT&CK heran, um wahrscheinliche Angriffswege und -methoden zu identifizieren. Diese Informationen sollten den Teams Aufschluss darüber geben, wo und wie sie Ressource zur Täuschung einsetzen, um die Chancen auf ein effektives Abfangen der Bedrohungsakteure zu maximieren.
Der Täuschungsplan selbst sollte die Ziele des Programms, wahrscheinliche Bedrohungsakteure, Angriffe und Angriffswege, Deception-Werkzeuge und -techniken sowie Mess- und Überwachungsstrategien dokumentieren.
3. Implementierung und Integration von Deception-Technologien
Die Deception-Technologie hat in den letzten Jahren erhebliche Fortschritte gemacht, und es gibt inzwischen eine Vielzahl von kommerziellen und Open-Source-Optionen. Prüfen und wählen Sie die Technologie aus, die den Anforderungen Ihres Vorhabens am besten entspricht, und berücksichtigen Sie dabei Skalierbarkeit, Tiefe und Breite der Abdeckung, Bereitstellungsmodelle, Verwaltungsschnittstellen und Automatisierungsfunktionen. Da jede Täuschungstechnologie das Sicherheitspersonal vor verdächtigen Aktivitäten warnen muss, ist es von entscheidender Bedeutung, dass sie sich in bestehende Erkennungstechnologien und andere Tools im SOC (Security Operations Center) integrieren lässt.
Nach der Auswahl der Täuschungstechnologie für den Einsatz muss das Sicherheitspersonal die Ressourcen sorgfältig einrichten und konfigurieren. Dies damit diese wie ihre „echten“ Gegenstücke aussehen und sich verhalten. Denken Sie daran, dass eine erfolgreiche Täuschung nicht nur von der Technologie, sondern auch von Psychologie und Social Engineering abhängt. Wenn ein Täuschungsobjekt wie eine Ente aussieht, wie eine Ente schwimmt und wie eine Ente quakt, werden Angreifer eher glauben, dass es sich um eine Ente handelt. Vor diesem Hintergrund sollten Sie auch den Einsatz vorhandener Technologien in Erwägung ziehen, um die Glaubwürdigkeit zu erhöhen, zum Beispiel durch die Einrichtung falscher Benutzerkonten und E-Mail-Adressen auf Produktionssystemen.
4. Umsetzen des Deception-Plans
Nach dem Einsatz und Testen der Täuschungstechnologie und der Schulung der Mitarbeiter ist es an der Zeit, den Betrieb aufzunehmen. Implementierungen von Deception müssen ständig überwacht, verwaltet und gewartet werden. Echte Produktionssysteme ändern sich von einem Moment auf den anderen aufgrund der täglichen Nutzung, des Patchings und anderer betrieblicher Aktivitäten. Die Täuschungsressourcen müssen in ähnlicher Weise „lebendig sein“, sonst können sie die Angreifer nicht überzeugen.
Stellen Sie außerdem sicher, dass die Überwachungsdaten auf einem separaten, sicheren System gespeichert werden - und nicht nur auf der Täuschungstechnologie selbst -, um eine Backup-Aufzeichnung von Ereignissen und wesentlichen Kennzahlen zu haben.
5. Überprüfung und Überarbeitung des Deception-Plans
Bewerten Sie regelmäßig die Wirksamkeit des Plans, aktualisieren Sie ihn, um ihn effektiver zu gestalten, und wenden Sie die gewonnenen Erkenntnisse an. Verwenden Sie Protokolle und andere Aufzeichnungen, um die Leistung zu messen und die Ergebnisse zu beurteilen. Besprechen Sie die Täuschungsressourcen mit dem zuständigen Sicherheitspersonal und konzentrieren Sie sich dabei auf alle aufgetretenen Probleme und deren Verbesserungsvorschläge.
Schließlich ist es ratsam, der Umgebung regelmäßig neue Täuschungsinstanzen hinzuzufügen, um andere Arten von Angriffen zu erkennen und zusätzliche Bedrohungen zu finden.