Deception Technology, übersetzt „Täuschungstechnologie“, ist ein Segment der IT-Security. Täuschungen, wie gefälschte E-Mails und gestohlene Zugangsdaten, werden von Angreifern als Hilfsmittel benutzt, um Organisationen zu schaden und Zugang zu deren geschäftskritischen Anwendungen zu erlangen. Diesen Spieß dreht die Deception Technologie um: Jeder Endpunkt wird für Angreifer zu einer Falle. So können Unternehmen Deception Technologie als Teil ihrer Cybersecurity Strategie einsetzen, um die wertvollen Unternehmensdaten proaktiv gegen unautorisierten Zugriff zu verteidigen.

Deception ist kein Honig-Schlecken

Eine der größten Herausforderungen ist die Fehleinschätzung, dass Deception gleichbedeutend mit Honeypots ist.

Während Honeypots bloß ablenken, stoppt die CYBERTRAP Deception Technologie die Angreifer und leitet diese in eine überwachte Umgebung, wo kein Schaden angerichtet werden kann. Zusätzlich verfügt diese Art der Technologie über Analysen, die bessere Informationen und forensische Daten für eine schnelle Reaktion liefert.

Aus heutiger Sicht sind Honeypots nicht mehr zeitgemäß, weil sie die dringendsten Fragen nicht beantworten können: Wer ist warum in meinem Netz? Wo kommt er her? Wo will er hin? Wie lange befindet er sich bereits hier?

Deception Technologie reduziert Dwell Time

Die Dwell Time, die Verweilzeit eines Angreifers im Netz von der ersten Kompromittierung bis zu seiner Entdeckung, kann durch Täuschungen um 90 bis 97% verkürzt werden.

Für gewöhnlich ist es schwer den Zeitpunkt der initialen Kompromittierung auszumachen, zumal Angreifer oft einige Zeit still in einem Netzwerk verweilen, bis Ransomware von ihnen aktiviert wird. Mithilfe individueller Köder und Ablenkungsmanöver, wird das Unternehmen bereits beim ersten Versuch einer lateralen Bewegung alarmiert.

Gegenmaßnahmen

Während eine große Response Gap für gewöhnlich problematisch ist und zu schwerwiegenden Folgen führen kann, können Unternehmen mit Deception Technologie- Strategie sich entspannt zurücklehnen und nach Möglichkeiten zur Bekämpfung suchen, während der Angreifer auf dem Täusch-Server in die Irre geführt wird.

Wie sieht Deception Technologie an einem praktischen Beispiel aus? [2]

Das Wiener Deception-Unternehmen Cybertrap zum Beispiel baut in ein Firmennetzwerk Köder und Fallen in Form von Diensten, Software und Servern inklusive perfekt gefakter Daten ein. Man stelle sich vor: Ein Hacker dringt unbemerkt in dieses Netzwerk ein, etwa mit gestohlenen Zugangsdaten. In diesem Moment hilft die vorhandene Endpoint-Security-Lösung nicht weiter, da aus deren Perspektive noch kein Sicherheitsverstoß vorliegt. Auch ein EDR oder ein SIEM sind an dieser Stelle noch ahnungslos. Der Hacker versucht sich nun vertikal durch das Netz zu bewegen. Er schaut sich vorsichtig um und ist darauf bedacht, nicht aufzufallen. Sein Ziel: Er will höherwertige Accounts finden, etwa solche mit Admin-Rechten, oder Daten, die ihn interessieren.

Genau hier kommt die Deception-Lösung ins Spiel, während EDR und SIEM immer noch nichts aufzeichnen. Jeder Angreifer muss nämlich selbst für einen kleinen Rundumblick im Netzwerk bestimmte Software-Tools benutzen. Deren Einsatz könnte man zwar unterbinden, aber dann wäre ein Angreifer auch gewarnt. Im Beispiel sorgt Cybertrap dafür, dass der Hacker seine Tools nutzen kann; etwa einen Spürhund, der Active Directorys (AD) aufzeigt. Seine Suche führt den Hacker auf ein vorbereitetes AD – die erste Falle ist damit zugeschnappt. Denn alle weiteren attraktiven Wege, die dem Hacker nun scheinbar offenstehen und vermeintlich zu interessanten Servern und Diensten führen, sind von Cybertrap vorgetäuscht.

Hacker suchen an diesem Punkt des Angriffs zum Beispiel gerne nach Zugriffen auf Server via RDP (Remote Desktop Protocol). Diese Zugriffe sind im echten Netzwerk gesperrt, im gefälschten Netzwerk klappt aber auch das: Die Verbindungen lenken den Angreifer immer weiter in ein Scheinnetzwerk hinein. Dort findet der Hacker alles, was er gesucht hat: Dienste mit Admin-Rechten, Datei-Server, Verzeichnisse und Datensätze. Aus den Aktivitäten des Hackers lässt sich jetzt meist ableiten, worauf er es wirklich abgesehen hat.  Er greift sich die Daten, derentwegen er gekommen ist. Oft legt er etwa gezielt verseuchte Software mit Trojanern ab, installiert Türen auf externe Server oder versteckt Exploits für Schwachstellen. Die Cybertrap-Lösung protokolliert jede noch so kleine Aktion.

Das Fazit des geschilderten Angriffs lautet: Der Weg des Angreifers wurde aufgezeichnet und kann gesperrt werden. Auch durch den Hacker ausgenutzte Schwachstellen sind nun bekannt und können gefixt werden. Und aus den Suchanfragen des Hackers können Unternehmen ableiten, was er eigentlich an Daten oder Informationen stehlen wollte. Mit diesem Wissen kann eine Firma weitere Wirtschaftsspionage besser abwehren, da sie die besonders bedrohten Projekte nun ja kennt.

Deception Technologie versus SIEM

SIEM (Security Information and Event Management) bewertet das Userverhalten, um auffällige Angreifer zu enttarnen. Die Analyse des Nutzers braucht allerdings eine gewisse „Lernzeit“. Zusätzlich müssen für die Analyse große Mengen an Daten aufgezeichnet und über einen langen Zeitraum gespeichert werden.

Ein SIEM bemerkt, wenn ein Mitarbeiter aus Abteilung A häufig versucht auf Daten der Abteilung X zuzugreifen. Jede Anomalie eines Anwenders bekommt Risikopunkte zugeordnet. Ab einem gewissen Punktestand schlägt das System Alarm und der Zugang wird isoliert. Bis zum Zeitpunkt der Isolation vergeht viel Zeit.

Achtung vor Deception Technologie-Anbietern mit Hauptsitz außerhalb Europas!

Durch den US Cloud Act haben US-Behörden das Recht auf Daten auf EU-Servern zuzugreifen, sofern der Besitzer US-Bürger, in den USA lebt, oder es sich um eine in den USA registrierte Firma handelt. So wird der Deception-Anbieter durch Bereitstellung einer virtuellen Festplatte in einem fremden Netzwerk zum Besitzer. (vgl. Quelle [3])

Dieser Beitrag basiert auf Franz Webers Artikel vom 18.11.2020, veröffentlicht im CYBERTRAP-Blog [Link nicht mehr verfügbar].

Quellen

[1] Deception Technologie – Was ist das? von Franz Weber am 18.11.2020: https://cybertrap.com/blog/deception-technologie-was-ist-das/  [Link nicht mehr verfügbar]

[2] Schutz durch Deception – Hacker abwehren durch Ködern und Täuschen von Markus Selinger am 26.03.2020: https://www.com-magazin.de/praxis/sicherheit/hacker-abwehren-koedern-taeuschen-2519795.html

[3] DSGVO vs. US Cloud Act: wie Sie nicht zwischen die Fronten geraten von Christian Golz am 23.07.2019: [Artikel leider nicht mehr verfügbar]