vectorfusionart - stock.adobe.co
Aktive Täuschungsmaßnahmen zur Abwehr von Angreifern
Gestohlene Accounts und fehlerhafte Konfigurationen sorgen in der Cloud für viele Sicherheitsprobleme. Aktive Deception-Techniken haben das Potenzial, diese Risiken einzugrenzen.
Aktive Maßnahmen, um gegen Cyberangriffe auf lokale Infrastrukturen vorzugehen, sind in den vergangenen Jahren immer beliebter geworden. So haben bereits viele Unternehmen Honeypots On-Premises eingesetzt. Sie sollen Hacker mit relativ leicht erreichbaren Zielen anlocken, so dass die Security-Teams ihre Aktivitäten besser überwachen können.
Ihr Erfolg hat dazu geführt, dass weitere aktive Verteidigungsstrategien entwickelt wurden. Der Bereich wird auch Cyber Deception genannt. Neue Maßnahmen sind etwa spezielle IP-Adressen im Netzwerk, um Angreifer abzulenken, sowie der Einsatz von Tracking Cookies und andere Mechanismen, mit denen der echte Aufenthaltsort eines Hackers ermittelt werden soll. Auch für das Web wurden Maßnahmen entwickelt, die das Verhalten eines Servers oder einer Applikation verändern, sobald böswillige Verbindungsversuche oder Attacken entdeckt werden. So sollen Angreifer verlangsamt oder sogar dazu gebracht werden, sich lieber ein einfacheres Ziel zu suchen.
Nach und nach finden diese Täuschungsmaßnahmen und andere aktive Schritte zum Schutz von Netzwerken auch ihren Weg in Cloud-Umgebungen. So hat etwa Fidelis Cybersecurity eine Plattform veröffentlicht, die Cyber Deception für den Schutz der Cloud als eine wichtige Funktion bewirbt. Das Fidelis Deception Toolkit, das zur Elevate-Plattform des Anbieters gehört, soll es Security- und Cloud-Administratoren ermöglichen, Täuschungsmaßnahmen in den Umgebungen ihrer Cloud-Provider zu verwenden, um sich so vor Angriffen zu schützen.
Aktive Täuschungsmaßnahmen
Es gibt viele verschiedene Ansätze und Techniken, um Cyber Deception aktiv durchzuführen. Das Toolkit von Fidelis nutzt einige von ihnen:
- Honey Tokens: Dabei handelt es sich um Dokumente und andere Dateien, die gefälschte Daten enthalten, die für einen Angreifer so wirken sollen wie echte sensible Informationen des Unternehmens.
- Honey Accounts: Diese gefälschten Benutzerkonten sehen so aus, als würden sie einem Hacker eine Möglichkeit bieten, die zugewiesenen Rechte zu ändern oder sogar zu erhöhen, um sich so Zugriff zu anderen interessanten Bereichen des Netzwerks zu verschaffen.
- Lockmittel und Brotkrumen: Das sind Dienste oder andere interessante Bereiche im Firmennetz, die vermeintlich erforscht werden können. Beispiele dafür sind verwundbare Betriebssysteme oder Anwendungen, auf die sich Angreifer konzentrieren und mit denen sie viel Zeit verbringen sollen, um sie zu untersuchen und in sie einzudringen.
- Honeypots: Diese kompletten Systeme werden von Grund auf vorbereitet oder als Kopie existierender Server oder Rechner in einem Unternehmen aufgebaut. Sie haben aber keinen echten Zweck in der IT-Infrastruktur, außer Angreifer für einen längeren Zeitraum zu beschäftigen.
Herausforderungen beim Täuschen von Angreifern
Der interne Einsatz aktiver Techniken zur Ablenkung von Angreifern ist jedoch kein leichtes Unterfangen. Der Aufwand, sie zu überwachen und die verschiedenen eingesetzten Maßnahmen zu kontrollieren, ist relativ hoch. Außerdem müssen mögliche Risiken beachtet werden, die dadurch in den Augen der Unternehmensführung und auf Rechtsfragen spezialisierten Kollegen entstehen können. Zudem ist es äußerst anspruchsvoll, die vorgenommen Täuschungsmaßnahmen in einem großen Unternehmen mit vielen Legacy-Systemen und einem heterogenen Netzwerk aktuell zu halten. Niemand möchte ein Deception-System aufsetzen und dann die Kontrolle darüber verlieren.
In der Cloud kann es deutlich einfacher sein, so ein System aufzusetzen und in Betrieb zu halten. Hier gibt es nur eine einzige einheitliche technische Basis zu beachten. Außerdem gibt es hier in der Regel eine Vielzahl API-basierter Möglichkeiten, um Abfragen zur Überwachung zu erstellen. So sind zum Beispiel alle auswählbaren Assets bei AWS (Amazon Web Services) und Microsoft Azure mit einem zentralen Inventar verlinkt, das es den Security-Teams erleichtert, den Überblick über alle genutzten Ressourcen zu behalten. Darüber hinaus gibt es mittlerweile viele Cloud-Tools für Logging und automatisierte Events, die zusammen mit einem Deception-Toolkit eingesetzt werden können, um passende Alerts einzurichten.
Moderne Deception-Techniken versprechen schnelle Erfolge. Denn jedes Mal, wenn jemand oder etwas mit einem Honey Token, einem Brotkrumen oder einem Honeypot agiert, ist es verdächtig. Die eingesetzten Security-Teams können ihre Maßnahmen darauf abstimmen und müssen sich deswegen nicht mehr mit vielen False Positives beschäftigen.
Vor- und Nachteiler aktiver Täuschungsmaßnahmen
Der Einsatz aktiver Täuschungsmaßnahmen hat das Potenzial, vielen verbreiteten Angriffstechniken auf die Cloud Einhalt zu gebieten. Dazu gehören unter anderem heimlich übernommene Benutzer-Accounts sowie mangelhafte Konfigurationen von Cloud-Instanzen und ihre Zugriffskontrollen. Da alle Instanzen in der Cloud virtuell oder softwarebasiert sind, ist es normalerweise kein Problem, neue Assets schnell und ohne großen Aufwand zu erstellen.
Es gibt aber auch einen Nachteil dieser Maßnahmen, der in Betracht gezogen werden muss. Durch die zusätzlichen Instanzen entstehen weitere Kosten, die ebenfalls einkalkuliert werden müssen. Unternehmen sollten deswegen zunächst die zusätzlichen Kosten mit den erwarteten Vorteilen in Relation setzen, bevor sie sich für den Einsatz von Deception-Techniken entscheiden. Viele in Produktivumgebungen eingesetzte Täuschungsmaßnahmen sorgen zudem für einen relativ hohen technischen Overhead, der nicht zu vernachlässigen ist.
Sobald aber erst einmal auch bekannte Anbieter von Sicherheitstechniken diese Art von Maßnahmen unterstützen und ins Programm aufnehmen, wird sich die Installation, der Betrieb und die Überwachung aktiver Deception-Techniken voraussichtlich weiterverbreiten. Die Vorgehensweise sollte auf jeden Fall im Auge behalten werden, da sie auch einen vielversprechenden Schutz für die Cloud bietet.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
