Es gibt Unternehmen, die wissen, dass man ständig angegriffen wird und solche, die ständig angegriffen werden, es aber nicht wissen. Aber warum überhaupt warten, bis kritische Ressourcen kompromittiert sind? Mit Deception Security existiert ein aufstrebender Sicherheitsansatz, der Angreifer in die Falle locken und deren Spuren zurückverfolgen kann.

Die initialen Angriffsvektoren haben sich zunehmend verlagert ­– Antiviren-Pattern reichen allein nicht aus und durch Zero-Day- oder Man-in-the-Middle-Attacken sind Zeit, Verhalten und Kontext zu entscheidenden Größen gewachsen. Dennoch senden viele Lösungen erst eine Warnung, wenn bereits wichtige Systeme kompromittiert sind.

Andere Lösungen, die lediglich Protokoll- und Netzwerkdaten analysieren, liefern hingegen keine wichtigen Details zum Angriff. In beiden Fällen gestaltet sich eine geplante Gegenreaktion also schwierig.

Was ist Deception Security?

Mit Deception Security wird hingegen ein sicherheitstechnisches Konzept bezeichnet, das Angreifer anlocken, täuschen und so lange beschäftigen soll, bis sich die Angriffsvektoren zurückverfolgen und gezielte Maßnahmen einleiten lassen.

Vereinfacht gesagt handelt es sich also um Täuschungstechnologie, die von den „Kronjuwelen“ eines Unternehmens ablenkt und beim Tappen in die Falle einen Alarm auslöst. So ähnelt das Prinzip den bis in die Nullerjahre oft verwendeten Honeypot-Systemen. Und da allein die Prävention heute nicht mehr ausreicht, haben Deception-Security-Systeme erneuet starken Aufwind gewonnen.

Wie funktioniert Deception Security?

Das Prinzip ist einfach: Durch bewusst angelegte Infrastrukturen gaukelt man dem Angreifer legitime technische Ressourcen vor. Während dieser also glaubt, im Produktivsystem wichtige Daten zu stehlen, werden Benachrichtigungen gesendet und die genutzten Angriffsvektoren aufgezeichnet. Dabei nutzt man in der Regel drei Schichten, die sich gezielt zur Täuschung vorbereiten lassen:

  • Virtuelle Fakesysteme, die wie echte angelegt sind, aber nicht als Produktivsystem genutzt werden.
  • Nutzer im System, bzw. in der Active Directory, die nicht verwendet werden und zur Alarmauslösung angelegt sind – häufig handelt es sich um per Default verwendete User wie Administratoren oder Root-Nutzer.
  • Decoy Daten und Ordner, die im Netzwerk abgelegt sind und Wichtigkeit suggerieren.

Selbst machen oder out-of-the-Box kaufen?

Aktuell wird das Thema Deception Security unterschiedlich am Markt betrachtet: Sie können fertige Lösungen diverser Hersteller kaufen, die meist spezielle Angriffsvektoren bedienen. Oder Sie werden mit bereits vorhandenen Security Produkten aktiv, stellen die „Honeypots“ selbst auf und generieren mit ihnen Alarme.

So kann Deception-Technologie unter anderem die Sicherheit von Endpoint-Security-Lösungen verbessern, indem man Köder in Form gefälschter Anmeldedaten, Dateifreigaben oder Diensten auf Endpunkten platziert. Die Endpoint Security Software misst dann die Zugriffe, protokolliert sie und übergibt die Logs an ein SIEM (Security Information and Event Management), das wiederum einen entsprechenden Alarm ausgibt.

Vier wichtige Vorteile von Deception Security

Frühzeitige Post-Breach-Erkennung: Die Täuschungstechnologie hilft, Angreifern ein falsches Gefühl der Sicherheit zu vermitteln, indem sie ihnen vorgaukelt, sie hätten in Ihrem Netzwerk Fuß gefasst. Sie hingegen gewinnen Zeit, das Verhalten der Angreifer zu überwachen und aufzeichnen. Die gewonnen Informationen helfen dann, Ihr Netzwerk vor weiteren Angriffen zu schützen.

Weniger Fehlalarme: Fehlalarme können wichtige Ressourcen binden. Und zu viele davon können dazu führen, dass Cyber Security Teams selbstgefällig werden und echte Bedrohungen möglicherweise ignorieren. Deception Security generiert hochgradig zuverlässige Warnmeldungen, die dazu noch mit nützlichen Daten angereichert sind.

Risikoarme Technologie: Deception-Technologie ist risikoarm, da sie weder echte Daten gefährdet noch Auswirkungen auf bestehende Prozesse hat. Wenn ein Hacker auf einen Teil der Täuschungsschicht zugreift, wird lediglich ein echter und präziser Alarm generiert, der Verantwortlichen mitteilt, dass sie Maßnahmen ergreifen müssen.

Beliebig skalieren und automatisieren: Oft sind die Ressourcen knapp, um die Flut neuer Bedrohungen zu bewältigen. Automatisierte Warnmeldungen machen manuelle Eingriffe überflüssig und die Deception-Technologie lässt sich problemlos skalieren, wenn das Unternehmen und die Bedrohungslage wachsen.

Dynamische Täuschung dank moderner Technologie

Eine der wichtigsten Voraussetzungen für die erfolgreiche Implementierung von Täuschungstechnologien ist, dass sie für den Angreifer ununterscheidbar und frisch bleiben müssen. Wenn der Angreifer vermutet, dass er getäuscht wird, wird er alles tun, um den Fallen zu entgehen.

Viele dedizierte Deception-Security-Lösungen haben daher maschinelles Lernen in ihrem Kern integriert. So sorgen die selbstlernenden Mechanismen nicht nur dafür, dass die Täuschungstechniken dynamisch bleiben, sondern sie tragen auch dazu bei, den operativen Aufwand und die Auswirkungen auf die Sicherheitsteams zu verringern, da sie nicht ständig neue Täuschungskampagnen erstellen müssen.

Deception Technologie optimiert die Cyber-Security-Strategie

In Verbindung mit konventionellen Perimeter-Schutzmaßnahmen und Endpoint Security ergänzt und verbessert Deception Security Ihre Defense-in-Depth-Strategie. Je nach Budget, bereits vorhandenen Sicherheitslösungen und den eigenen Anforderungen können Sie die Basis selbst schaffen, weiter ausbauen oder auch auf dedizierte Herstellerlösungen zurückgreifen.

In der Realität trifft man leider nur allzu häufig Sicherheitskonzepte und -ansätze, bei denen es schon an der Basis mangelt. Deshalb empfehle ich, zunächst das Thema Prävention bewusst anzugehen, sich dann der Erkennung zu widmen, um die eigene Sicherheit anschließend sinnvoll mit Technologien wie Deception Security zu bereichern. Welche Best Practices dafür in Frage kommen, kann ich Ihnen gerne in einem unverbindlichen Gespräch näher erläutern.

BEN KRÖGER | TECHNISCHE LEITUNG CYBER SECURITY Ben Kröger ist seit 2002 Senior Security Consultant und Leiter Support & Managed Service bei Axians IT Security. Seit 2014 verantwortet er gesamten technischen Bereich mit den Schwerpunkten Firewalling, Sandboxing, E-Mail-, Proxy- und Surf-Security.