Wie Deception-Technologie die Sicherheit einer Firma stärkt
Bei Deception wird eine Kombination aus Social Engineering und Technologie eingesetzt, um Angreifer zu täuschen und so Bedrohungen frühzeitig zu erkennen und auszuwerten.
Nachdem sie jahrzehntelang eine untergeordnete Rolle gespielt hat, ist die Deception-Technologie in letzter Zeit als wichtige Verteidigungswaffe im Arsenal der Cybersicherheit von Unternehmen in den Vordergrund gerückt (siehe auch Deception in der Praxis: Maßnahmen zum Schutz vor Angreifern).
Cyber Deception, also in etwa Cybertäuschung ist ein weit gefasster Begriff für eine Vielzahl von Techniken, mit denen Angreifer dazu gebracht werden, sich mit fingierten digitalen Ressourcen zu beschäftigen, die nicht für autorisierte Unternehmensnutzer bestimmt sind. Der einzige Zweck dieser Täuschungen - zu denen Server, Dienste, Netzwerke, Dateien, Benutzerkonten und E-Mail-Konten gehören können - besteht darin, laufende Angriffe aufzudecken.
Die Bedeutung der Deception-Technologie
Man sagt, Angriff ist die beste Verteidigung, und Deception-Technologie hat den Vorteil, dass sie eher eine proaktive als eine reaktive Strategie ist. Sie ermöglicht es den Sicherheitsteams von Unternehmen, Angreifer mit ihren eigenen Waffen zu schlagen.
Zu den Vorteilen der Deception-Technologie gehören die folgenden:
Schnellere Erkennung von Bedrohungen und kürzere Verweildauer von Angreifern. Durch die Bereitstellung und ständige Überwachung von Lockvogel-Ressourcen können Sicherheitsteams Angreifer in ihren Umgebungen schneller und effizienter identifizieren, als es sonst wahrscheinlich möglich wäre.
Zuverlässige Alarmierung. Da Deception-Ressourcen nicht für legitime Unternehmensaktivitäten genutzt werden, ist es sehr wahrscheinlich, dass es sich bei den Nutzern um Angreifer handelt, die glaubwürdige, zuverlässige interne Alarme auslösen. Die Deception-Technologie erzeugt nur wenige falsch positive Alarme.
Detaillierte Angriffsdaten und Metriken generieren. Durch die Aufzeichnung aller Aktivitäten, an denen Cyber-Täuschungs-Ressourcen beteiligt sind - mit einem Detaillierungsgrad, der unmöglich für alle IT-Ressourcen verwendet werden kann - können Sicherheitsteams unschätzbare Einblicke in Folgendes gewinnen:
Angreifer;
ihre Taktiken, Techniken und Verfahren und
welche Anfälligkeiten und Schwachstellen sie ausnutzen.
Und Sicherheitsexperten können all diese Informationen sammeln, während sie gleichzeitig vorgeben, nichts von der Anwesenheit der Eindringlinge zu wissen, und sicherstellen, dass diese nicht auf authentische Ressourcen zugreifen, was dem Unternehmen einen strategischen Vorteil verschafft.
Wie man Deception-Technologie einsetzt
Unternehmen können Deception-Technologie auf verschiedene Weise einsetzen. Frühe Täuschungsmethoden umfassten hauptsächlich Honeypots und Honeynets - gefälschte Hosts beziehungsweise Netzwerke. Heute sind die Möglichkeiten jedoch nahezu unbegrenzt.
Sicherheitsteams können täuschende Websites, E-Mail-Konten, Datendateien, Domänennamen, IP-Adressen und so ziemlich jede andere vorstellbare Ressource einsetzen. Viele kommerzielle Produkte und Dienste unterstützen Täuschungsmanöver. Sicherheitsteams können auch ihre eigenen Täuschungstechnologien entwickeln und einsetzen.
Abbildung 1: Honeypots werden in der DMZ des Netzwerks platziert und erscheinen Angreifern als ein verwundbarer, unverteidigter Teil des Netzwerks. Je überzeugender sie dabei wirken, desto erfolgreicher erfüllen sie ihren Zweck.
Bei der Täuschung geht es nicht nur um Technologie, sondern auch um Psychologie: Angreifer sollen davon überzeugt werden, dass gefälschte Ressourcen legitim sind. Deception basiert auf Social Engineering, das die Angreifer dazu verleitet, sich sicher zu wähnen, während das Sicherheitsteam Daten sammelt und gezielte Schwachstellen entschärft.
Deception-Technologie hat den Vorteil, dass sie eher eine proaktive als eine reaktive Strategie ist.
Cybertäuschung erfordert häufige, kontinuierliche Wartung. Das Mitre Engage-Framework beschreibt dies als einen Prozess – „nicht als eine Technologie, die man schnell wieder abhakt“. So müssen die Sicherheitsteams beispielsweise die Täuschungsressourcen häufig aktualisieren, überarbeiten und aus dem Verkehr ziehen, um das digitale Leben ihrer echten Gegenstücke widerzuspiegeln. Je mehr Deception-Technologie ein Unternehmen einsetzt, desto mehr Arbeit müssen die Mitarbeiter aufwenden, um die Täuschungen angemessen und überzeugend zu pflegen.
Wie man die bestehende Security um Deception ergänzt
Für Deception-Vorhaben sind in der Regel mehrere Teams und Funktionen gemeinsam verantwortlich, darunter auch die folgenden:
Leitende Mitarbeiter im Security-Bereich. Identifizierung der Arten von Ressourcen und der logischen und physischen Standorte, an denen die Täuschungsmanöver am wertvollsten wären.
Administratoren. Erstellen und pflegen die Täuschungsressourcen.
Techniker. Implementierung von Technologien, die erkennen, wann Lockvogel-Ressourcen von Angreifern angegangen werden und das Security-Team alarmieren.
Security-Spezialisten und Mitarbeiter, die sich mit der Vorfallreaktion beschäftigen. Diese untersuchen jeden Einsatz von Täuschungsressourcen und schlagen Alarm, sobald eine größere Bedrohung festgestellt wird
Und schließlich haben alle diese Beteiligten ein Interesse daran, zu erfahren, welche Aktivitäten sich durch den Täuschungsansatz aufdecken lassen. Diese Informationen können dazu beitragen, den Einsatz von Deception-Technologien und -Techniken sowie die allgemeine Sicherheitslage der Organisation zu verbessern.
Deception wird immer mehr zu einer Kernkomponente einer proaktiven Cyberabwehrstrategie, die häufig andere proaktive Techniken wie das Threat Hunting ergänzt. Heute sind diese Techniken im Allgemeinen für Unternehmen mit ausgereifteren Cyberfähigkeiten geeignet. Es scheint jedoch wahrscheinlich, dass die Security-Branche in den kommenden Jahren dazu übergehen wird, Deception und Threat Hunting als grundlegendere Funktionen zu betrachten, die ein typisches Unternehmen zumindest bis zu einem gewissen Grad einsetzen sollte.
