apops - Fotolia

Täuschung und Verschleierung zur Verteidigung einsetzen

Sicherheits-Tools zur Täuschung und Verschleierung können eine sinnvolle Ergänzung zum Abwehren von Angriffen auf die IT sein.

Laut einem Gartner-Bericht (hier auf Englisch) haben sich die Täuschungstechniken bei IT-Security-Tools deutlich verbessert. Dies könnte entsprechenden Lösungen zu mehr Popularität verhelfen.

Gartner räumt ein, dass solche Tools für die Täuschung, Irreführung oder Verschleierung prinzipiell nicht neu sind. Sogenannte Honeypots gibt es schon sehr lange. Experten raten auch schon seit geraumer Zeit zum Einsatz von Verschleierung und Irreführung als proaktive IT-Sicherheitswerkzeuge (siehe auch Honeypots einsetzen – die Aktivitäten eines Angreifers verfolgen).

Die Technologie hat sich in der Zwischenzeit dahingehend verbessert, dass sie sich einfacher implementieren lässt.

Was leisten Verschleierungs-Tools und was nicht?

Greg Enriquez ist CEO der Cybersecurity-Firma TrapX Security Inc, die ihren Sitz in San Mateo in Kalifornien hat. Seiner Ansicht nach sind die neuen Varianten von Irreführungs-Tools nicht mehr so kompliziert zu installieren wie in der Vergangenheit. Auch die Verwaltung ist einfacher als bei einem herkömmlichen Honeypot.

„Honeypots gibt es schon seit Ende der 90er Jahre und viele Unternehmen würden so eine Technologie gerne einsetzen“, sagte Enriquez. „In der Vergangenheit war der Einsatz häufig ein Problem, weil Fachleute mit entsprechendem Wissen für eine Installation erforderlich waren. Sie mussten sich selbst Lösungen basteln, sich mit Open-Source-Tools befassen und auch vollständige Betriebssysteme nutzen. Das Patchen und Updaten dieser Lösungen musste über Netzwerk- oder Sicherheits-Tools erfolgen. Gleichzeitig galt es sicherzustellen, dass sich das Setup nicht für einen tatsächlichen Angriff ausnutzen lässt.“ Laut Enriquez können die neueren Verschleierungs-Tools, wie TrapX DetectionGrid, die komplexen Prozesse größtenteils automatisieren. Zudem vereinfache der Einsatz von Emulationen die Verwaltung.

„Ein Betriebssystem wird emuliert, es steckt aber nicht ein komplettes Betriebssystem dahinter. Deswegen lässt es sich nicht gegen die Firma einsetzen oder weiterführend ausnutzen. Administratoren haben die komplette Kontrolle über die Umgebung“, sagte Enriquez. „Sobald ein Angreifer erkannt wird, gibt es einen Alarm. Danach lassen sich andere Tools updaten oder die Angreifer tiefer in das System ziehen. Wir setzen auf ein VLAN und scannen die Umgebung. Dann platzieren wir eine Emulation neben die produktiven Betriebsmittel. Jeder interne Anwender, der darauf Zugriff braucht, wird auf eine sogenannte Whitelist gesetzt“, erklärt Enriquez. False Positives sind reduziert, da ein Alarm laut Enriquez nur dann ausgelöst wird, wenn ein Einbruch passiert ist und ein Angreifer versucht, seine Rechte auszuweiten oder sich in der Umgebung einzunisten.

Gezielte Angriffe sind problematisch

Der CEO hat aber zugegeben, dass DetectionGrid keine gezielten Angriffe entdecken kann. Sollte ein Angreifer genau wissen, was er will oder wo er es finden kann, dann könnte er Erfolg haben. „Weiß ein Angreifer genau, wo er den Hebel ansetzen muss, dann haben sie ein Endgerät geknackt. Wenn Sie Opfer eines sogenannten Spear-Phishing-Angriffs werden, dann haben die Cyberkriminellen dadurch den Zugriff auf das entsprechende System. Solche Angriffe sieht unser Tool wahrscheinlich nicht“, sagte Enriquez. „Wenn die Cyberkriminellen einen Endanwender infiltrieren und wissen, wer der Administrator ist, dann schlüpfen sie sehr wahrscheinlich unter unserem Radar durch. Sollten die Bösewichte einen Nutzer kompromittieren und dann erst anfangen, nach den interessanten Betriebsmitteln zu suchen, dann sehen wir das schon.“

DeceptionGrid ermöglicht erweiterte Einblicke bei sogenanntem East-West-Traffic. Das ist Datenverkehr, der zwischen den Geräten und den Anwendungen in einem Netzwerk fließt. Die Irreführungstechnologie ist weniger kompliziert und andere Sicherheitslösungen werden mit Warnungen in Echtzeit gefüttert. Eingepflanzte Malware lässt sich aufzeichnen und an eine Sandbox weiterleiten. Firewall-Regeln werden aktualisiert und es lassen sich IP-Adressen blockieren.

Je nachdem, wo der Angreifer entdeckt wird, kann das System Gegenmaßnahmen einleiten. Es lassen sich sogar falsche Informationen an den C&C-Server (Command and Control) schicken. Auch das Legen von Fährten ist realisierbar, um die Angreifer auf unechte Betriebsmittel zu locken. Das Abfangen von Malware ist möglich und die Tools der Angreifer lassen sich unwirksam machen. Auch das Bereitstellen falscher Anmeldeinformationen ist denkbar. Im Bericht von Gartner ist zu lesen, dass die Cyberkriminellen bis zu einer Woche brauchen, um die Anmeldeinformationen zu knacken. Abgesehen davon sind diese natürlich nutzlos.

Angriffe erschweren

Charles Henderson von Trustwave Holdings Inc. ist der Meinung, dass diese Art an Sicherheitstechnologie sehr nützlich ist, da ein Angriff wesentlich schwieriger wird. Die Zeit für einen erfolgreichen Angriff zieht sich in die Länge, wodurch natürlich die Kosten steigen. Das gilt aber nur für gewisse Unternehmen. „Unternehmen, die ihre IT-Sicherheit prinzipiell im Griff haben, sorgen sich vielleicht um zielstrebige Angreifer. In diesem Fall verhindert Irreführung den Angriff nicht unbedingt, verzögert den Erfolg allerdings“, sagte Henderson. „Nehmen Sie noch die anderen Systeme wie zum Beispiel ein SIEM in die Gleichung auf, dann haben sie unterm Strich mehr Zeit, um einen Angriff zu erkennen und diesen abzuwehren. Weil ein Angriff komplizierter wird, kommt Ihrer Firma das zugute.“

Laut Henderson ist die Täuschungstechnologie für Organisationen wie das Verteidigungsministerium sehr wertvoll. Die Tools lassen sich jeweils auf die entsprechende Umgebung anpassen. Er warnte aber auch vor einem Nachteil: Je populärer sie werden, desto weniger brauchbar sind die Tools möglicherweise.

„Firmen werden keine kommerziell verfügbaren Technologien für Täuschung von der Stange verwenden“, glaubt Henderson. „Der Grund ist offensichtlich: Sobald die Cyberkriminellen Zugriff auf die Technologie erhalten, können sie ihre Angriffe entsprechend modellieren und darauf anpassen. Die Technologie ist also nur nützlich, wenn die Angreifer nichts davon mitbekommen oder die Tools nicht in ihrer eigenen Umgebung untersuchen können.“ Der Schlüssel für den erfolgreichen Einsatz von Täuschungstechnologie ist laut Henderson ein limitierter Einsatz oder der Einsatz unterschiedlicher Tools in verschiedenen Umgebungen. Auf diese Weise können sich die Gegner nicht anpassen und ihre Angriffe entsprechend optimieren.

„Wenn Sie jemanden anlügen, dann erzählen Sie besser eine einzigartige Lüge“, sagte Henderson. „Selbst, wenn es in Ihrer Täuschungstechnologie eingebaute Entropie gibt, schlägt sich das System selbst, wenn das Tool bekannt oder kommerziell verfügbar wird. Ein breiter Markt ist dafür Gift.“

Für Henderson hat Technologie für die Täuschung einen klaren Mehrwert für die IT-Sicherheit, weil sich damit Angriffe komplizierter machen lassen. Allerdings warnte er, dass Unternehmen die Basisanforderungen an die IT-Sicherheit niemals außer Acht lassen sollten.

„Wie so oft beim Thema Sicherheit ist die Gefahr bei dieser Technologie, dass Leute sie sehen und sofort implementieren wollen. Dabei meinen sie, die grundsätzlichen Anforderungen an die Sicherheit nicht weiter beachten zu müssen“, sagte Henderson. „Wir haben solche Szenarien schon öfter gesehen. Das Beachten der Grundlagen wie zum Beispiel das Testen der Sicherheit, die Verwendung komplexer Passwörter, Multifaktor-Authentifizierung und das Finden und Flicken von Schwachstellen ist nicht hinfällig. Solche Dinge sind immer von größerer Bedeutung als eine neue und attraktive Technologie. Die Grundlagen der IT-Sicherheit sind immer noch das A und O.“

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close