Strategien für Deception-Täuschungstechniken

Veröffentlicht am: 31.Okt.2018

Strategien für Deception-Täuschungstechniken: Eindämmung versus Erkennung von Angriffen

Die Diskussionen zu Deception führen oft zum Thema Honeypots und dies kann für Verwirrung sorgen. Sprechen wir dann noch über weitere Begriffe, die im Zusammenhang mit Täuschungstechnologien oftmals genannt werden – wie Breadcrumbs, Decoys (Köder für Angreifer), Fallen, Beacons, Lockvögel und Teergruben – denken die meisten Menschen, die sich erstmals mit dem Thema befassen, es handelt sich um ein Forschungsprojekt. Deception-Technologien werden in Diskussionen oftmals mit Deployment-Technologien verwechselt und diese Wahrnehmung verankert sich fälschlicherweise in unseren Köpfen. Inzwischen gibt es bedeutende Innovationen in der Angriffsabwehr mit Täuschungstechniken, die auch die Deployment-Strategien beeinflussen.

Honeypots auf regulären Betriebssystemen dienen dazu, Bedrohungen einzudämmen, gleichzeitig aber auch dazu, Kompromittierungen zu ermöglichen, um Informationen über Angriffsmuster und Angriffsverhalten zu erhalten und Sicherheitsanalysen durchzuführen. Doch der Einsatz von Tausenden von Honeypots in Ihrem Netzwerk für die Post-Breach-Detection vergrößert auch Ihre Angriffsfläche und erhöht damit Ihr Risiko. Ebenso wie wir fähige Strafverfolgungsbeamte benötigen, um Paketbomben zu erkennen und Scharfschützen festzusetzen, benötigen wir erfahrene Sicherheitsanalysten, die Angriffswerkzeuge und -methoden aufdecken, um Zuordnungen treffen zu können und zu lernen, wie wir Attacken abwehren können. Diese Erkenntnisse sorgen oftmals für Schlagzeilen und Meldungen, die beschreiben, wie die Malware der Hacker arbeitet und welche Methoden der Cyber Kill Chain zum Einsatz kommen.

Eine tiefgehende Diskussion über Honeypots in der Sicherheitsanalyse sollte sich daher auf die Eindämmung als Deployment-Strategie konzentrieren. Ein Honeypot muss als möglichst reale Umgebung aufgesetzt sein, damit Angreifer diesen nicht entdecken, sie ihre Tools installieren und Methoden ausführen, sodass Sicherheitsexperten von den Angriffsversuchen lernen können. Täuschungstechniken als Post-Breach-Verteidigung fokussieren hingegen die Erkennung (im Gegensatz zur Eindämmung), die als Deployment-Strategie auch zahlreiche Innovationen bietet. Im Laufe der Zeit haben sich klassische Honeypots, die auf gängigen Betriebssystemen eingesetzt wurden, zu virtuellen Maschinen entwickelt, die ein Zurücksetzen vereinfachen. Mit der Emulation von Diensten haben sich Honeypots zu Decoys entwickelt, die keine Kompromittierungen mehr ermöglichen, jedoch eine Automatisierung und Skalierung erlauben.

Setzen Unternehmen auf eine Strategie für Post-Breach-Deception, dauert es länger bis Angreifer wahrnehmen, dass ein Medium- oder Low-Interaction-Decoy eine Emulation von Diensten und Daten ist – und das Ziel, die Bedrohungserkennung, ist längst erreicht. Um eine Täuschung gezielt zu steuern (und der Angreifer nicht mehr oder minder zufällig auf Decoys stoßen zu lassen), werden die Köder oder Lockmittel auf realen Assets abgelegt, um die Angreifer dann zu den Decoys zu führen. Diese Köder oder Lockmittel sind auch bekannt als Breadcrumbs, kontaminierte Daten (Poisoned Data), fingierte Benutzerinformationen, Traps, Mini-Traps oder Beacons. Moderne Technologien für die Täuschung verbinden beispielsweise Breadcrumbs und Decoys, um eine möglichst effektive Erkennung von Angriffen zu ermöglichen.

Wir alle wissen, dass die meisten Angriffe über Phishing, Social-Engineering oder Drive-by-Attacken erfolgen, um sich Zutritt zum Unternehmensnetzwerk zu verschaffen. Nur in seltenen Fällen liefert der Eintrittspunkt das gewünschte Asset oder die gewünschten Daten, sodass Angreifer die Attacke fortführen und weitere Wege in der Netzwerkumgebung auskundschaften, um an ihr Ziel zu gelangen. Und hier liegt die Chance einer Detection-Deployment-Strategie – den Angreifer anzulocken, aufzuspüren und sich mittels Täuschungstechnologien zu verteidigen. Die Bedrohungslandschaft ändert sich kontinuierlich. Dies belegt auch die Erkenntnis, dass heute fast 60 Prozent der Angriffe keine Malware mehr enthalten, über 40 Prozent der kompromittierten Systeme keine Anzeichen von Malware zeigen, über 95 Prozent der Malware nur einmal auftritt und nahezu die Hälfte der Nutzer innerhalb nur einer Stunde nach der Zustellung eine E-Mail öffnet und auf die Anhänge klickt. Dies alles erfordert eine schnelle Erkennung von Bedrohungen, sobald ein Sicherheitsverstoß aufgetreten ist.

Wie kann Automatisierung Unternehmen dabei unterstützen, Täuschungstechnologien für eine möglichst frühzeitige Post-Breach-Verteidigung einzusetzen? Automatisierung ermöglicht es, Netzwerke und Profiling-Assets abzubilden und diese den automatisch erstellten, emulierten Decoys, die auf diese Umgebung zugeschnitten sind, zuzuordnen. Die automatisierte Lösung stellt die Decoys bereit, streut Brotkrumen (Breadcrumbs), überwacht die Veränderungen in der IT-Umgebung und erzeugt Deception-Ebenen, die so realistisch wie möglich sind – mit minimalem personellem Aufwand. Da die Komponenten der Täuschungstechnik den Nutzern nicht bekannt sind, müssen die Warnmeldungen eine hohe Genauigkeit und eine geringe Zahl an False-Positives (Falschmeldungen) vorweisen können, wenn sie neu kompromittierte Systeme, Angriffsfortführungen im Netzwerk oder interne Bedrohungen erkennen. Diese Täuschungstechniken eigenen sich auch für Assets, auf denen keine Abwehrmechanismen installiert werden können, wie beispielsweise IoT- und Legacy-Systeme. Eine moderne, automatisierte Deception-Lösung kann von einem Tier-1-Sicherheitspezialisten in weniger als fünf Stunden pro Woche administriert und überwacht werden.

Im Endeffekt bedeutet dies, dass es zwei gegensätzliche Ansätze für eine Deception-Deployment-Strategie gibt. Auf der einen Seite steht der klassische Honeypot für die Sicherheitsanalyse, der die Eindämmung fokussiert und offen ist für Kompromittierungen als Mittel für die Cyberüberwachung. Hier ist eine Emulation nicht effektiv, um Informationen zur Malware und zu Angriffswerkzeugen zu sammeln. Auf der anderen Seite steht ein intelligentes Post-Breach-Warnsystem, das sich auf die Erkennung konzentriert. Dank der Emulation ist eine Automatisierung und Skalierung möglich – ohne das Risiko einer Kompromittierung im Netzwerk einzugehen. Da eine Deployment-Strategie auf Erkennung ausgerichtet sein sollte, ist es nicht erforderlich, das Risiko eines Decoys oder eines Honeypots, der auf einem regulären Betriebssystem läuft, einzugehen.

Sollten Sie sich das nächste Mal mit Deception-Technologien auseinandersetzen, sollten Sie sich damit befassen, ob die Eindämmung oder die Erkennung im Fokus Ihrer Deployment-Strategie steht, bevor Sie sich mit den technischen Details beschäftigen. Veraltete Auffassungen von Honeypots könnten Sie davon abhalten, moderne Täuschungstechnologien als Deployment-Strategie für Ihre Post-Breach-Detection einzusetzen.

 

Dieser Beitrag stammt von Roland Messmer (Fidelis Cybersecurity, Sales Director – DACH)

Das könnte Sie interessieren:

Schreiben Sie einen Kommentar