Schutz durch Deception
01.04.2020, 06:18 Uhr
Hacker abwehren durch Ködern und Täuschen
Deception-Lösungen locken Angreifer in Scheinnetze, wo sie keinen Schaden anrichten. Als Ergänzung zu herkömmlichen IT-Security-Massnahmen können diese einen grossen Vorteil bringen.
Während Endpoint-Security-Suiten gut bekannte Schutzlösungen für Unternehmensnetzwerke sind, sind Deception-Konzepte für viele Verantwortliche noch Neuland. Selbst Gartner oder Forrester haben bislang nur kleine Firmenstudien im Angebot, keine den Markt abbildenden Waves oder Quadranten. com! professional erklärt, was hinter dieser neuen Technik steckt.
Jedes Unternehmensnetzwerk wird ständig auf die ein oder andere Art angegriffen. Meist sind es Versuche, sich in Accounts einzuloggen oder auf Ports zuzugreifen. Klappt das nicht, kommen Spam oder verseuchte Links in E-Mails zum Einsatz. All das hat eine gute Client-Server-Schutzlösung eigentlich im Griff. Und für den Fall, dass es einem Angreifer gelingt, ins Netzwerk einzudringen, empfehlen sich zusätzliche Security-Systeme, die Hacker im Netz verfolgen und alle Schritte aufzeichnen, wie EDR (Endpoint Detection and Response) oder SIEM (Security Information and Event Management). Beide Techniken sind definitiv zu empfehlen, haben aber ihre Schwächen. So lässt sich via EDR ein Angriff nur auswerten, wenn die Attacke und das Eindringen auch bemerkt wurden. Und das ist oft genug nicht der Fall, wie Ex-Cisco-Chef John Chambers pointiert formuliert: «Es gibt zwei Sorten von Unternehmen - solche, die wissen, dass sie gehackt wurden, und solche, die das nicht wissen.» Ein SIEM-System wiederum bewertet Nutzer nach ihrem Verhalten, um auffällige Angreifer zu enttarnen, braucht also zunächst eine gewisse Lernzeit.
“Es gibt zwei Sorten von Unternehmen – solche, die wissen, dass sie gehackt wurden, und solche, die das nicht wissen.„
John Chambers, Ex-CEO von Cisco
Die Täuschung für Hacker
Deception geht einen anderen Weg: Das Wiener Deception-Unternehmen Cybertrap zum Beispiel baut in ein Firmennetzwerk Köder und Fallen in Form von Diensten, Software und Servern inklusive perfekt gefakter Daten ein. Man stelle sich vor: Ein Hacker dringt unbemerkt in dieses Netzwerk ein, etwa mit gestohlenen Zugangsdaten. In diesem Moment hilft die vorhandene Endpoint-Security-Lösung nicht weiter, da aus deren Perspektive noch kein Sicherheitsverstoss vorliegt. Auch ein EDR oder ein SIEM sind an dieser Stelle noch ahnungslos. Der Hacker versucht sich nun vertikal durch das Netz zu bewegen. Er schaut sich vorsichtig um und ist darauf bedacht, nicht aufzufallen. Sein Ziel: Er will höherwertige Accounts finden, etwa solche mit Admin-Rechten, oder Daten, die ihn interessieren.
Genau hier kommt die Deception-Lösung ins Spiel, während EDR und SIEM immer noch nichts aufzeichnen. Jeder Angreifer muss nämlich selbst für einen kleinen Rundumblick im Netzwerk bestimmte Software-Tools benutzen. Deren Einsatz könnte man zwar unterbinden, aber dann wäre ein Angreifer auch gewarnt. Im Beispiel sorgt Cybertrap dafür, dass der Hacker seine Tools nutzen kann; etwa einen Spürhund, der Active Directorys (AD) aufzeigt. Seine Suche führt den Hacker auf ein vorbereitetes AD - die erste Falle ist damit zugeschnappt. Denn alle weiteren attraktiven Wege, die dem Hacker nun scheinbar offenstehen und vermeintlich zu interessanten Servern und Diensten führen, sind von Cybertrap vorgetäuscht.
Hacker suchen an diesem Punkt des Angriffs zum Beispiel gerne nach Zugriffen auf Server via RDP (Remote Desktop Protocol). Diese Zugriffe sind im echten Netzwerk gesperrt, im gefälschten Netzwerk klappt aber auch das: Die Verbindungen lenken den Angreifer immer weiter in ein Scheinnetzwerk hinein. Dort findet der Hacker alles, was er gesucht hat: Dienste mit Admin-Rechten, Datei-Server, Verzeichnisse und Datensätze. Aus den Aktivitäten des Hackers lässt sich jetzt meist ableiten, worauf er es wirklich abgesehen hat. Er greift sich die Daten, derentwegen er gekommen ist. Oft legt er etwa gezielt verseuchte Software mit Trojanern ab, installiert Türen auf externe Server oder versteckt Exploits für Schwachstellen. Die Cybertrap-Lösung protokolliert jede noch so kleine Aktion.
Das Fazit des geschilderten Angriffs lautet: Der Weg des Angreifers wurde aufgezeichnet und kann gesperrt werden. Auch durch den Hacker ausgenutzte Schwachstellen sind nun bekannt und können gefixt werden. Und aus den Suchanfragen des Hackers können Unternehmen ableiten, was er eigentlich an Daten oder Informationen stehlen wollte. Mit diesem Wissen kann eine Firma weitere Wirtschaftsspionage besser abwehren, da sie die besonders bedrohten Projekte nun ja kennt.
Einfache Bedienung per Konsole
Möchte ein Unternehmen eine Deception-Lösung einsetzen, so braucht die vorhandene Netzwerkstruktur nicht verändert zu werden. Bei der Lösung von Cybertrap spielt es zum Beispiel auch keine Rolle, ob der Täuschungs-Server (Decoy) physisch im Netzwerk vorhanden ist. Ein komplettes Decoy-Netzwerk kann auch nur virtuell und extern existieren. Lediglich die Köder und Software-Agenten müssen auf den Endgeräten im Netzwerk tatsächlich «ausgelegt» sein.
Der Einsatz einer Deception-Lösung ist dennoch nicht ganz so trivial wie etwa das Ausrollen
einer Endpoint-Security-Lösung. Der Deception-Anbieter muss das Unternehmensnetzwerk analysieren und dann seine Fallen (die Decoys) und seine Köder (die Lures) integrieren. Das sind in der Regel nicht einmal sehr viele, sie müssen nur richtig platziert sein. Auch die Endpunkte erhalten einen kleinen Agenten, für den Fall, dass ein Hacker dort eindringt.
einer Endpoint-Security-Lösung. Der Deception-Anbieter muss das Unternehmensnetzwerk analysieren und dann seine Fallen (die Decoys) und seine Köder (die Lures) integrieren. Das sind in der Regel nicht einmal sehr viele, sie müssen nur richtig platziert sein. Auch die Endpunkte erhalten einen kleinen Agenten, für den Fall, dass ein Hacker dort eindringt.
Der Mitarbeiter am PC bekommt von den Software-Agenten oder einem ausgelegten Köder nichts mit. Nur der eingeweihte Netzwerk-Administrator kann die Software erkennen. Im Fall von Cybertrap hat das Unternehmen die Wahl, ob es die Lösung nach der Einrichtung selbst betreuen und verwalten will oder ob Cybertrap das Management übernehmen soll.
Für die Verwaltung der Deception-Lösung steht eine webbasierte Konsole zur Verfügung, wie sie Administratoren von den meisten Security-Lösungen her kennen. Auch Struktur und Funktionsweise sind ähnlich. Sobald ein Köder oder die Fallen etwas registrieren, gibt das System Alarm und startet die Aufzeichnung.
Hier zeigt sich ein weiterer Nachteil von EDR und SIEM: Sie müssen ständig sehr viele Daten aufzeichnen und auch über einen längeren Zeitraum speichern. Je nach Umfang kostet der Lagerplatz für die Daten viel Geld und auch die Auswertung der grossen Datenmengen dauert lange.
Deception-Lösungen dagegen zeichnen nur auf, was der Angreifer macht. Die Datenmenge ist in der Regel sehr überschaubar. Jeder Schritt eines Angreifers lässt sich einfach per Mausklick nachvollziehen. Abgelegte Dateien, Scripts oder Datenpakete kann man via Konsole direkt im Online-Virenscanner VirusTotal analysieren lassen und damit wertvolle Informationen für seine Endpoint-Security-Lösung generieren. Handelt es sich um eine noch unbekannte Malware oder eine verdächtige Datei, lassen sich via Konsole auch Hash-Werte erstellen und in einer Datenbank ablegen. Administratoren können der Attacke entspannt zusehen, da der Angreifer, einmal auf dem Täuschungs-Server gelandet, nicht mehr ins echte Netzwerk zurückkann.
Deception-Anbieter
Technische Aspekte erläutert der Artikel am Beispiel der Deception-Lösung des österreichischen Anbieters Cybertrap. Jede Deception-Anwendung arbeitet etwas anders. Anders als die meisten anderen Anbieter setzt Cybertraps Lösung zudem keine Administrator-Rechte voraus.
Die drei unten genannten Deception-Unternehmen haben ihren Sitz außerhalb Europas. Da Firmen die Anbieter tief ins eigene Netzwerk lassen müssen, kann das heikel für sie sein, besonders wenn der Deception-Anbieter aus den USA stammt. Denn durch den US CLOUD Act ist selbst die (virtuelle) Festplatte des Deception-Anbieters in einem fremden Netzwerk rechtlich gesehen amerikanisches Hoheitsgebiet.
Ein weiteres Manko ausländischer Anbieter: Die auf den Deception-Servern als Köder ausgelegten Unterlagen sollten in korrektem Deutsch abgefasst sein. Wie gut das die ausländischen Anbieter hinbekommen, ist nicht belegt.
TrapX: Das Unternehmen mit Sitz in Kalifornien gehört zu den größten Anbietern von Deception-Lösungen. TrapX wendet sich hauptsächlich an große Industrie- und Finanzunternehmen, die zum Beispiel ATM- und SWIFT-Vorgänge verwalten.
Attivo Networks: Das ebenfalls im Kalifornien beheimatete Unternehmen bietet Deception-Lösungen nach Einsatzgebieten an. Es unterscheidet nach Endpunkten, Netzwerken und anderen Plattformen sowie verschiedenen Auswertungs-Tools.
Illusive Networks: Der Security-Spezialist ist in Israel und den USA ansässig. Er bietet ein großes Portfolio speziell für Industrie- und Medizinunternehmen an. Illusive wendet sich direkt an SOCs und CISOs.
Weitere Anbieter von Deception-Technologie finden sich in einer Top-20-Liste unter https://blog.aimultiple.com/deception-tech-companies.
Weitere Anbieter von Deception-Technologie finden sich in einer Top-20-Liste unter https://blog.aimultiple.com/deception-tech-companies.
Wenn Hacker bleiben dürfen
Eine besonderer Vorteil von Deception-Lösungen ist, dass ein Unternehmen Zeit hat, zu überlegen, wie es auf den Angriff reagieren will. Normalerweise muss nach einer bemerkten Attacke unmittelbar gehandelt werden. Geschieht das dann, bleiben trotzdem viele Fragen offen - etwa was der Angreifer wollte und welche Professionalität er hatte. Ist der Angreifer in die Deception-Falle gegangen, dann stellt sich die Frage der Strategie gar nicht, man hat sie bereits. So sieht das auch Tom Haak, CEO von Cybertrap: «Bei erfolgreich angegriffenen Netzen liegt die mittlere unerkannte Verweildauer von Hackern bei 150 Tagen. Wurde der Angreifer durch Cybertrap erkannt und tobt sich in einem Decoy aus, so können wir während der ganzen Zeit, in der er agiert, vieles aus seinen Aktionen ableiten und auch lernen.»
“Bei erfolgreich angegriffenen Netzen liegt die mittlere unerkannte Verweildauer von Hackern bei 150 Tagen.„
Tom Haak
, CEO von Cybertrap
, CEO von Cybertrap
Das Deception-System funktioniert nicht nur mit Unternehmensnetzwerken. Auch der Schutz kleinerer Netze mit einer Webserver-Anbindung ist machbar. Denn allzu oft sind Zugänge auf der Firmen-Webseite, etwa für Bewerber, direkt an das eigene Netzwerk angebunden. Hacker wissen das und suchen daher auch gezielt nach diesen Zugängen. Auch hier lässt sich ein Täusch-Server (Decoy) aufstellen, der mit Ködern Angreifer auf einen vorgetäuschten Webserver lockt.
Kooperation mit SIEM und Co.
Unternehmen, die bereits auf ein SIEM setzen, können dessen Wirkungsweise durch ein Deception-System verbessern. Denn ein SIEM versucht in seiner anfänglichen Lernzeit das Verhalten der registrierten Netzwerknutzer zu analysieren. So fällt zum Beispiel je nach Account auf, wenn ein Mitarbeiter aus der Fertigung plötzlich ständig versucht, auf die Server der Buchhaltung zuzugreifen. Das SIEM vergibt dann für alle Anomalien des Anwenders Risikopunkte. Ab einem gewissen Punktestand wird Alarm ausgelöst und der Zugang isoliert. Mit den durch ein Deception-System aufgezeichneten Werten und dem Verhalten eines Accounts lässt sich die Echtzeitanalyse eines SIEM feiner justieren. Das verbesserte Zusammenspiel senkt die Fehlalarme und die Menge der aufgezeichneten und zu analysierenden Daten. Auf Dauer reduziert das die Kosten für die Datenaufbewahrung spürbar.
Fazit & Ausblick
Der Digitalverband Bitkom hat Mitte 2019 1070 Unternehmen ab zehn Mitarbeitern gefragt, ob sie in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen waren. Ergebnis: Drei Viertel der Unternehmen (75 Prozent) waren von Angriffen betroffen gewesen, weitere 13 Prozent vermuteten dies. 2016/2017 waren es nur 53 Prozent beziehungsweise 26 Prozent gewesen.
Der deutschen Wirtschaft entsteht laut Bitkom aufgrund dieser Attacken derzeit jährlich ein Schaden in Höhe von mehr als 100 Milliarden Euro.
Um angesichts immer zahlreicherer und immer raffinierterer Attacken Schäden zu vermeiden oder wenigstens zu minimieren, braucht es neue Herangehensweisen. Übliche IT-Security-Massnahmen leisten zwar gute Arbeit, aber sie benötigen Vorabinformationen, um optimal zu funktionieren. Gut ausgebildete oder interne Angreifer kennen ihr Angriffsziel und wissen, wie sie sich unentdeckt in der Unternehmensinfrastruktur bewegen.
Im Citrix-Netzwerk hielten sich Angreifer von Oktober 2018 bis März 2019 auf und wären weiter nicht bemerkt worden, wäre nicht das FBI auf Citrix zugegangen. Ein Deception-System mit internen Fallen hätte Citrix mit Sicherheit geholfen.