Hacker abwehren durch Ködern und Täuschen
Einfache Bedienung per Konsole
Möchte ein Unternehmen eine Deception-Lösung einsetzen, so braucht die vorhandene Netzwerkstruktur nicht verändert zu werden. Bei der Lösung von Cybertrap spielt es zum Beispiel auch keine Rolle, ob der Täuschungs-Server (Decoy) physisch im Netzwerk vorhanden ist. Ein komplettes Decoy-Netzwerk kann auch nur virtuell und extern existieren. Lediglich die Köder und Software-Agenten müssen auf den Endgeräten im Netzwerk tatsächlich «ausgelegt» sein.
Der Einsatz einer Deception-Lösung ist dennoch nicht ganz so trivial wie etwa das Ausrollen
einer Endpoint-Security-Lösung. Der Deception-Anbieter muss das Unternehmensnetzwerk analysieren und dann seine Fallen (die Decoys) und seine Köder (die Lures) integrieren. Das sind in der Regel nicht einmal sehr viele, sie müssen nur richtig platziert sein. Auch die Endpunkte erhalten einen kleinen Agenten, für den Fall, dass ein Hacker dort eindringt.
einer Endpoint-Security-Lösung. Der Deception-Anbieter muss das Unternehmensnetzwerk analysieren und dann seine Fallen (die Decoys) und seine Köder (die Lures) integrieren. Das sind in der Regel nicht einmal sehr viele, sie müssen nur richtig platziert sein. Auch die Endpunkte erhalten einen kleinen Agenten, für den Fall, dass ein Hacker dort eindringt.
Der Mitarbeiter am PC bekommt von den Software-Agenten oder einem ausgelegten Köder nichts mit. Nur der eingeweihte Netzwerk-Administrator kann die Software erkennen. Im Fall von Cybertrap hat das Unternehmen die Wahl, ob es die Lösung nach der Einrichtung selbst betreuen und verwalten will oder ob Cybertrap das Management übernehmen soll.
Für die Verwaltung der Deception-Lösung steht eine webbasierte Konsole zur Verfügung, wie sie Administratoren von den meisten Security-Lösungen her kennen. Auch Struktur und Funktionsweise sind ähnlich. Sobald ein Köder oder die Fallen etwas registrieren, gibt das System Alarm und startet die Aufzeichnung.
Hier zeigt sich ein weiterer Nachteil von EDR und SIEM: Sie müssen ständig sehr viele Daten aufzeichnen und auch über einen längeren Zeitraum speichern. Je nach Umfang kostet der Lagerplatz für die Daten viel Geld und auch die Auswertung der grossen Datenmengen dauert lange.
Deception-Lösungen dagegen zeichnen nur auf, was der Angreifer macht. Die Datenmenge ist in der Regel sehr überschaubar. Jeder Schritt eines Angreifers lässt sich einfach per Mausklick nachvollziehen. Abgelegte Dateien, Scripts oder Datenpakete kann man via Konsole direkt im Online-Virenscanner VirusTotal analysieren lassen und damit wertvolle Informationen für seine Endpoint-Security-Lösung generieren. Handelt es sich um eine noch unbekannte Malware oder eine verdächtige Datei, lassen sich via Konsole auch Hash-Werte erstellen und in einer Datenbank ablegen. Administratoren können der Attacke entspannt zusehen, da der Angreifer, einmal auf dem Täuschungs-Server gelandet, nicht mehr ins echte Netzwerk zurückkann.
Deception-Anbieter
Technische Aspekte erläutert der Artikel am Beispiel der Deception-Lösung des österreichischen Anbieters Cybertrap. Jede Deception-Anwendung arbeitet etwas anders. Anders als die meisten anderen Anbieter setzt Cybertraps Lösung zudem keine Administrator-Rechte voraus.
Die drei unten genannten Deception-Unternehmen haben ihren Sitz außerhalb Europas. Da Firmen die Anbieter tief ins eigene Netzwerk lassen müssen, kann das heikel für sie sein, besonders wenn der Deception-Anbieter aus den USA stammt. Denn durch den US CLOUD Act ist selbst die (virtuelle) Festplatte des Deception-Anbieters in einem fremden Netzwerk rechtlich gesehen amerikanisches Hoheitsgebiet.
Ein weiteres Manko ausländischer Anbieter: Die auf den Deception-Servern als Köder ausgelegten Unterlagen sollten in korrektem Deutsch abgefasst sein. Wie gut das die ausländischen Anbieter hinbekommen, ist nicht belegt.
TrapX: Das Unternehmen mit Sitz in Kalifornien gehört zu den größten Anbietern von Deception-Lösungen. TrapX wendet sich hauptsächlich an große Industrie- und Finanzunternehmen, die zum Beispiel ATM- und SWIFT-Vorgänge verwalten.
Attivo Networks: Das ebenfalls im Kalifornien beheimatete Unternehmen bietet Deception-Lösungen nach Einsatzgebieten an. Es unterscheidet nach Endpunkten, Netzwerken und anderen Plattformen sowie verschiedenen Auswertungs-Tools.
Illusive Networks: Der Security-Spezialist ist in Israel und den USA ansässig. Er bietet ein großes Portfolio speziell für Industrie- und Medizinunternehmen an. Illusive wendet sich direkt an SOCs und CISOs.
Weitere Anbieter von Deception-Technologie finden sich in einer Top-20-Liste unter https://blog.aimultiple.com/deception-tech-companies.
Weitere Anbieter von Deception-Technologie finden sich in einer Top-20-Liste unter https://blog.aimultiple.com/deception-tech-companies.