Deception in der Praxis: Maßnahmen zum Schutz vor Angreifern

Der Bereich Deception, also die Täuschung und Ablenkung von Angreifern, wird in Unternehmen als Methode zur Abwehr von Cyberbedrohungen immer wichtiger. Die Angebote der Hersteller unterscheiden sich dabei jedoch deutlich sowohl in ihrem Umfang als auch in den enthaltenen Funktionen. Es gibt allerdings eine Reihe von Grundlagen, die alle Produkte unterstützen sollten, die Sie in die engere Wahl einbeziehen.

Das hilft Ihnen dabei, Ihre Schutzmaßnahmen zu verbessern. Im Folgenden finden Sie fünf konkrete Maßnahmen, mit denen Sie in kurzer Zeit Ihre Fähigkeiten in den Bereichen Entdeckung von Angriffen und die Reaktion darauf verbessern können:

1. Priorisieren und optimieren Sie die Zusammenführung von Daten und die dadurch in Ihrem SOC (Security Operations Center) ausgelösten Alarme. Zu den wichtigsten Vorteilen moderner Deception-Technologien gehören die äußerst zuverlässigen Ergebnisse und Alerts, die sie auslösen. Das liegt daran, dass sie vor allem dazu dienen, echte Angreifer und andere Personen mit bösartigen oder verdächtigen Absichten anzulocken. Deswegen werden damit normalerweise nur berechtigte Alarme ausgelöst, die keine oder nur wenig False Positives enthalten. Nur selten entstehen Fehler, wenn etwa ein Anwender aus Versehen die falsche IP-Adresse aufgerufen hat. In der Regel gibt es keine legitimen Gründe, um ein Honeypot-System aufzurufen, falsche Zugangsdaten zu verwenden oder um auf bestimmte Dokumente zuzugreifen, die als Lockmittel für Angreifer bereitgestellt wurden. In den meisten Fällen können die Sicherheitsteams deswegen die durch die Deception-Systeme ausgelösten Alerts priorisieren. Die Frage, ob diese Alarme berechtigt sind oder nicht, ist also zweitrangig. Unterm Strich erhalten Sie mit Deception-Techniken eine schnellere Durchführung der Untersuchungen und meist auch schneller greifbare Ergebnisse.

2. Dokumentieren Sie, wie ein Insider vorgehen würde, und erstellen Sie Leitfäden, wie Sie im Fall einer solchen Bedrohung vorgehen sollten. Mit Deception-Techniken ist es nicht nur möglich, heimliche Eindringlinge aus dem Internet aufzuspüren. Sie eignen sich auch hervorragend dazu, Insider zu identifizieren, die versuchen, Daten zu stehlen. Die meisten gefährlichen Insider sind bestrebt, Zugang zu interessanten oder wertvollen Informationen zu erhalten. Dieser Prozess der Suche allein wird sie in vielen Fällen zu den für die Täuschung von Angreifern bereitgestellten Dokumenten und dafür angelegten Benutzerkonten führen. Dadurch werden die Sicherheitsteams im Unternehmen auf sie aufmerksam und können die Gefahr stoppen. Für diese Situationen sollten Sie jedoch bereits im Vorfeld einen oder mehrere Leitfäden erstellen, um schnell die richtigen Maßnahmen treffen zu können. In der Vergangenheit war eine schnelle Reaktion in vielen Situationen oft schwierig, da Befürchtungen wegen der Privatsphäre der Nutzer und einem versehentlichen Auslösen der Fallen bestanden. Mit vorher erstellten Richtlinien lässt sich das vermeiden.

3. Erwägen Sie auch den Einsatz automatisierter Verfahren, um schneller auf Angreifer reagieren zu können. Zu den mächtigsten Funktionen aktueller Deception-Lösungen gehört die Fähigkeit, automatisiert aktiv zu werden und direkt auf neu erkannte Bedrohungen reagieren zu können. Entweder erledigen die Werkzeuge diese Aufgaben selbst oder sie greifen auf Lösungen anderer Anbieter aus dem Bereich Incident Response oder auf eine geeignete Orchestration-Plattform zurück. Dabei geht es aber nicht immer sofort um konkrete Gegenmaßnahmen. Automatisierte Aktionen können auch das Erstellen neuer „Brotkrümel“ umfassen, um einen Angreifer zunächst auf eine falsche Fährte zu locken. Das kann zum Beispiel ein zusätzliches Deception-System sein, um ihn weiter abzulenken und zu beschäftigen. Sinnvoll ist auch eine automatisierte forensische Aufzeichnung aller Aktionen des Angreifers.

4. Sammeln Sie so viele Daten wie möglich über alle auf Sie erfolgten Angriffe. Viele Experten aus der Threat-Intelligence-Community werden Ihnen sagen, dass die besten Daten über Angriffe direkt aus Ihrer eigenen Umgebung stammen. Deception-Technologien können das Sammeln und Aufbereiten dieser Daten erheblich erleichtern. Kritische Informationen wie Indikatoren auf Dateiebene, die auf Malware und für Angriffe häufig verwendete Toolkits hindeuten, etwaige laufende Prozesse, geöffnete Ports, bestimmte Angriffsmuster oder verdächtiger Netzwerkverkehr können in den als Fallen aufgestellten Systemen leicht aufgezeichnet werden. Später sollten sie dann genutzt werden, um an anderen Stellen in der IT-Umgebung eines Unternehmens nach denselben Indikatoren und Vorgehensweisen zu suchen. So lassen sich bislang übersehene Angriffe leichter entdecken.

5. Reduzieren (oder verlängern) Sie die Zeitspanne, die ein Angreifer in Ihrer Umgebung verbringt und verkürzen Sie die Zeit, die Sie benötigen, um auf Angriffe zu reagieren. Deception-Technologien ermöglichen mit ihren schnellen Reaktionszeiten auf unerwünschte Aktivitäten eine deutlich detailliertere Kontrolle über die Zeit, die ein Angreifer in Ihrer Infrastruktur verbringt. Diese Zeit, in der ein Eindringling sich in einer IT-Umgebung aufhält und die er zur Vorbereitung oder Durchführung böswilliger Aktionen benötigt, wollen die meisten IT-Sicherheitsteams normalerweise so kurz wie möglich halten. Eine Ausnahme besteht aber dann, wenn sie einen Angreifer während seiner Aktivitäten erst beobachten wollen, bevor sie ihn stoppen. Mit Hilfe moderner Deception-Lösungen können Sie diesen Zeitraum entweder verkürzen oder verlängern, ganz so wie Sie es wollen und wie es die aktuelle Situation erfordert.

Wie beschrieben, haben Lösungen zum Täuschen von Angreifern ein großes Potenzial, wenn es um das Verbessern oder sogar Neuerfinden vieler grundsätzlicher Methoden und Vorgehensweisen geht, die bislang schon zum Schutz von Unternehmen eingesetzt werden.