Tricks, Fallen und Technologie
Täuschungstechnologie ist eine Kategorie der Erkennungs- und Reaktionstechnologie, die Sicherheitsteams hilft, fortschrittliche Bedrohungen zu erkennen, zu analysieren und zu bekämpfen, indem sie Angreifer auffordert, mit falschen IT-Assets zu interagieren, die in Ihrem Netzwerk bereitgestellt sind. Der Täuschungsansatz kann hochpräzise Warnmeldungen über spezifische bösartige Verhaltensweisen an Sie ausgeben, die sich häufig durch Protokollanalyse oder mit einem SIEM-Tool im Alleingang nur schwer identifizieren lassen. Ihr Vorteil: Sie können eine verdächtige Aktivität schon früh im Angriffsverlauf erkennen und den Gegner in Ihrem internen Netzwerk verwirren und irreführen. Diese Seite gibt einen Überblick über die Täuschungstechnologie und befasst sich näher mit drei Beispielen: Honeypots, Honey-User und Honey-Zugangsdaten.
Ganz gleich, ob Sie sich die Täuschungstechnologie als Wurm am Angelhaken, als Käseecke in der Mausefalle oder Gesang der Sirenen, die die Segler in den Tod locken, vorstellen möchten, das Ergebnis ist dasselbe: Täuschungstechnologie ist ein Köder. Indem Sie unwiderstehliche Fallen aufstellen, die wie rechtmäßige IT-Assets wirken, locken Sie Angreifer in Ihr internes Netzwerk und laden diese zur Interaktion ein, was eine Warnmeldung auslöst und Ihrem Team Zeit, Erkenntnisse und Kontext verschafft, die sie zur wirksamen Reaktion brauchen. Da sich niemand in Ihrem Unternehmen im Rahmen seiner Zuständigkeit mit der Täuschungstechnologie befassen muss, wird jegliche Aktivität automatisch als suspekt aufzeichnet. Der Hauptvorteil der Täuschungstechnologie liegt daher in den hochpräzisen Warnmeldungen, die sehr spezifische bösartige Verhaltensweisen identifizieren.
Täuschungstechnologie kann die Verweildauer des Angreifers in Ihrem Netzwerk reduzieren und die durchschnittliche Zeit bis zur Erkennung und Behebung beschleunigen, die Warnungsermüdung reduzieren und wichtige Informationen zu Indikatoren der Kompromittierung (IOCs) und Taktiken, Techniken und Verfahren (TTPs) bereitstellen.
Täuschungstechnologie kann auch zur Erkennung folgender Bedrohungsarten beitragen:
Damit die Täuschungstechnologie erfolgreich ist, muss sie ausreichend legitim erscheinen, um einen raffinierten Angreifer zu täuschen, aber gleichzeitig perfekt in Ihre vorhandenen Maßnahmen gegen Bedrohungen hineinpassen. Im Idealfall lässt sich die Täuschungstechnologie leicht implementieren, aktualisiert sich bei Bedarf automatisch und kann ausgegebene Warnmeldungen direkt in Ihre Sicherheitsinformations- und Vorfall-Management-Plattform (SIEM) einspeisen.
Hier einige Beispiele von Täuschungstechnologie:
Honeypots sind Ködersysteme oder Server, die neben Produktionssystemen in Ihrem Netzwerk eingesetzt werden. Sie können wie jeder andere Rechner im Netzwerk aussehen oder so bereitgestellt werden, dass sie für einen Angreifer attraktiv wirken. Für Honeypots gibt es viele Anwendungen und Anwendungsfälle, deren Sinn es ist, bösartigen Datenverkehr von wichtigen Systemen fernzuhalten, anomale Netzwerkscans zu identifizieren und Informationen über Angreifer und deren Methoden bekanntzumachen.
Für diese Zwecke gibt es zwei Arten von Honeypots. Honeypots für Forschungszwecke sammeln Informationen über Angriffe und werden speziell zur Untersuchung von im weitesten Sinne bösartigen Verhaltensweisen verwendet. Sie sammeln aus sowohl Ihrer Umgebung als auch global Informationen über Trends unter Angreifern, Malware-Versionen und Sicherheitslücken, die von Hackern aktiv anvisiert werden. Daraus können Sie Informationen für Ihre Abwehr, Patch-Priorisierung und zukünftige Investitionen ziehen.
Honeypots für die Produktion, die in Ihrem Netzwerk bereitgestellt werden, helfen Ihnen, interne Schwachstellen in Ihrer Umgebung aufzudecken und geben Ihrem Team mehr Zeit, darauf zu reagieren. Das Sammeln von Informationen steht weiter ganz oben, da Honeypots zusätzliche Überwachungsmöglichkeiten für Sie schaffen und geläufige Erkennungslücken bei der Identifizierung von Netzwerkscans und der Ausbreitung im Netzwerk füllen.
Honeypots sind überschaubar und bedürfen nur geringer Wartung. Sie helfen Ihnen, eine Angriffsfolge zu unterbrechen und behindern die Hacker mithilfe von hochpräzisen Warnmeldungen und kontextbezogenen Informationen. Möchten Sie mehr über Honeypots erfahren? Werfen Sie einen Blick auf unsere Seite über Honeypot-Technologie.
Honey-User sind gefälschte Benutzerkonten, die in der Regel im Active Directory bereitgestellt werden und Versuche böswilliger Akteure, Passwörter zu erraten, erkennen und melden. Sobald ein Angreifer internen Zugriff auf Ihr Netzwerk hat, wird er wahrscheinlich einen vertikalen Brute-Force-Angriff ausführen. Dabei fragt er das Active Directory nach Mitarbeiterkonten ab und versucht dann anhand einer kleinen Anzahl häufig verwendeter Passwörter, die Konten zu knacken. Durch die Definition und Überwachung eines Honey-Users, einem Konto ohne jeglichen geschäftlichen Sinn, können Sie sehr leicht die Passwort-Rate-Methodik des Angreifers bestimmen.
Angreifer greifen mit hoher Wahrscheinlichkeit Konten mit reizvollen (aber noch glaubwürdigen) Beschreibungen auf, weshalb Bezeichnungen wie „PatchAdmin“ oder ähnliches zu Lockzwecken empfehlenswert sind. Beachten Sie dabei, dass dieses Scheinkonto auf keinen Fall mit einer echten Person in Ihrem Unternehmen verbunden werden darf und niemals zu Authentifizierungszwecken verwendet werden sollte.
Sobald ein Angreifer ein Endgerät kompromittiert hat, greift er normalerweise Passwörter von dieser Ressource ab und wendet diese andernorts an, um auf weitere Ressourcen im Netzwerk zuzugreifen. Honey-Zugangsdaten helfen Ihnen, dagegen vorzugehen, indem sie gefälschte Zugangsdaten auf das Endgerät projizieren. Wenn eine Authentifizierung unter Einsatz der Honey-Zugangsdaten versucht wird, wird eine Warnmeldung ausgegeben. Ganz gleich, ob ein Benutzer versucht, sich mit Honey-Zugangsdaten an einem Gerät anzumelden oder versucht, die Honey-Zugangsdaten für den Wechsel auf ein anderes Gerät zu verwenden, erteilen diese Zugangsdaten ihm keinen Zugriff auf die Systeme und sind somit sehr sicher.
Honey-Zugangsdaten bilden auch den Weg des Eindringlings klar ab, wie er sich durch ihr Netzwerk bewegt. Das ist vergleichbar mit Banken, die Geldtransporte mit explodierenden Tintenbeuteln versehen, um das Geld zu markieren und es später identifizieren zu können.
Der Einsatz von Täuschungstechnologie zusätzlich zu anderen Sicherheitsmaßnahmen hilft Ihnen, Ihre Abwehr zu stärken und Kompromittierungen frühzeitig zu erkennen. Obwohl jede Art der Täuschungstechnologie sinnvoll ist, entsteht durch Verwendung der richtigen Art zum Stopfen vorhandener Erkennungslücken der effektivste tiefgreifende Ansatz zur Abwehr von Angriffen.
[The Lost Bots] Episode 4: Deception Technology
Täuschungstechnologie: Aktuelles aus dem Rapid7 Blog