Security-Startups im Blickpunkt: Cybertrap

Hacker jagen mit dem Honeypot Deluxe

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Wo klassische Honeypot-Systeme durch intelligente Angriffe an Ihre Grenzen stoßen, sind Deception-Systeme eine interessante Ergänzug der Security-Infrastruktur.
Wo klassische Honeypot-Systeme durch intelligente Angriffe an Ihre Grenzen stoßen, sind Deception-Systeme eine interessante Ergänzug der Security-Infrastruktur. (Bild: Pixabay / CC0)

Unternehmen müssen heute eine Vielzahl an Schutzmechanismen auffahren um Hacker, Malware und Insider-Bedrohungen abwehren zu können. Das österreichische Startup Cybertrap hat einen ganz eigenen Ansatz, um Hacker wirksam zu bekämpfen: Man sperrt sie nicht aus, sondern öffnet ihnen die Türen!

Schadsoftware, Hacker und leider auch der eigene Mitarbeiter, zählen zu den großen IT-Bedrohungen der Gegenwart. Security-Verantwortliche greifen daher auf ein breit gefächertes Spektrum an Lösungen zurück, um diese Bedrohungen zu eliminieren. Für Hacker ist dies üblicherweise ein komplexes Paket an Schutzmaßnahmen, um den Zugang zur Infrastruktur und den Daten zu erschweren und damit den Datendiebstahl, Spionage und Cyber-Vandalismus zu verhindern.

Security-Insider stellt innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit neuen, innovativen Ideen die IT-Sicherheit nach vorn bringen wollen. Eines dieser Startups ist das aus Wiener Neustadt stammende, österreichische Unternehmen Cybertrap. Denn Cybertrap propagiert einen anderen Ansatz, um Hacker wirksam zu bekämpfen – man sperrt sie nicht aus, sondern öffnet ihnen die Türen! Um es genau zu sagen, man lässt sie in eine überwachte Umgebung, in der sie nach Herzenslust „spionieren“ können.

Das Prinzip ist nicht neu und unter dem englischen Begriff Honeypot verbreitet. Aber Cybertrap geht mit seiner Lösung noch einen Schritt weiter! Man bietet dem potentiellen Hacker oder Cyberspion nicht nur eine Pseudo-Datenwelt an, sondern überwacht diese auch zeitnah und intensiv.

Dies sind auch zwei der technologischen Highlights der Cybertrap-Lösung, die Avi Kravitz, CTO und Co-Founder, unter dem Motto „Deception und Monitoring“ bündelt. Deception ist ein Begriff aus dem militärischen Umfeld, der die Schaffung einer falschen Realität zum Inhalt hat. Berichte über den 2. Weltkrieg geben hier zahlreiche Beispiele wieder, wie man dies beispielsweise auch mit Attrappen erreichte:

  • Aufblasbare Gummi-Panzerattrappen anstatt realer Kampfpanzer
  • Sperrholzmodelle von Flugzeugen anstatt echter Bomber oder Jagdflugzeuge
  • Nicht funktionsfähige Feldgeschütze aus Holz und Eisen
  • Funkverkehr zwischen erfundenen Kampfgruppen und Streitkräften

Cybertrap agiert ebenso und benutzt eine Vielzahl von nachgemachten digitalen Ködern, um einen Datendieb zu beschäftigen. Dazu zählen auch:

  • Dokumente
  • Log-Dateien
  • Datenbanken
  • Netzwerk-Verbindungen (Shares)
  • Registry-Einträge
  • Anwender-Zertifikate

Die Deception-Umgebungen werden dabei je Kunde individuell angelegt. Dies ist kein Standard-Prozess, sondern erfolgt durch menschliche Aktivitäten und automatisierte Systeme. Je nach Unternehmensgröße und Kundenwunsch werden hier zwischen 5 und 50 Systeme aufgesetzt. Kreatives und genaues Arbeiten hat oberste Priorität. Denn wenn das Deception-Umfeld als solches zu enttarnen ist, sucht der Angreifer andere Ziele. Hier sind es oft simple Nachlässigkeiten, die Honeypot-Systeme von cleveren unterscheiden. Ein bekannter Fehler ist das Anlegen eines (veralteten) Browsers, ohne die dazu passende Agenda, also Browser-History, Cachedateien oder Favoriten. Hier erkennt selbst der Hacker-Anfänger, dass dies kein genutztes System ist und vermutlich lediglich die Komponente in einem Honeypot-Verbund darstellt.

Die US-Sicherheitsfirma Mandiant, die 2013 von Fireeye übernommen wurde veröffentlicht jährlich den Report „M-Trends“. Der Report betrachtet die Sicherheitslage und analysiert die durchschnittliche Zeit, die vergeht bis ein Hackerangriff erkannt wird. Lag diese Zeitspanne im Jahr 2015 noch bei 144 Tagen, verkürzte sie sich auf 99 Tage für das vergangene Jahr 2016. Dies ist ein Trend, der sich sicher im aktuellen Jahr noch verbessern wird. Aber bis zu drei Monate, in denen ein Hacker unerkannt agieren kann ist viel zu lang!

Das zweite Highlight im Cybertrap-Portfolio ist deshalb das Monitoring der Umgebung und die Erkennung der Aktivitäten eines Angreifers. Cybertrap erkennt Angriffe auf die Deception-Umgebung innerhalb eines Tages und schlägt damit deutlich den Durchschnittswert. Nach Aussage werden 90 Prozent aller Manipulationen sogar in real-time erkannt. Ein Zeitfaktor, der geeignet ist, selbst kritische CISOs zufriedenzustellen!

Sie kommen immer wieder!

Untersuchungen von Cybertrap ergeben, dass Hacker immer wieder kommen. Wenn es ihnen einmal gelungen ist, ein Unternehmen erfolgreich zu penetrieren, kommen sie immer wieder zurück. Avi Kravitz und sein Mitstreitern, gelingt es, Hacker an Ihrem Modus Operandi zu identifizieren.

Angreifer nutzen immer wieder gleiche Tools, gleiche Kommandos, identische Strategien und hinterlassen damit einen digitalen Fingerabdruck, der eine Identifizierung zulässt. Über ihre Interessen kann man manchmal sogar auf Ihre Motivation schließen (Auftrag, eigene kriminelle Energie, Hobby, Aufdecken von Schwachstellen) und durch Fehler, die sie machen erhält man manchmal sogar Hinweise auf die Personen selbst. Mitunter ist es auch möglich, die Täter festzunehmen und vor Gericht zu stellen, wobei die rechtliche Lage hier komplex ist. Denn die Zusammenarbeit zwischen den Ländern bei internationalen digitalen Verbrechen steckt teilweise noch in den Kinderschuhen.

Der große Vorteil ist aber, dass man gewissermaßen „den Angreifern über die Schulter schaut“ und so an Ihrem Wissen und ihren Tricks teilhaben kann! Dieses Wissen fließt dann wieder in die eigenen Tools ein, um sich davor zu schützen. Auch der Weg, den die gestohlenen Dateien aus der Cybertrap-Umgebung nehmen, lässt sich nachverfolgen – und daraus wiederum neue Erkenntnisse gewinnen.

Cybertrap arbeitet auch mit digitalen Köderdateien. Dabei werden Dateien so gekennzeichnet, dass jederzeit eine eindeutige Identifikation möglich ist. Sollten also Dateien an anderer Stelle wieder auftauchen lässt sich nachweisen, dass diese unberechtigt entwendet wurden (TrackDown-Service). Wie dies technisch im Detail geschieht, darüber lässt man sich bei Cybertrap nicht aus. Das die Kennzeichnung deutlich über dem Niveau eines einfachen Hash-Wertes rangiert, liegt aber auf der Hand.

Bei Cybertrap greifen viele Rädchen ineinander, um dem Kunden einen bestmöglichen Schutz zu bieten. Das in der Lösung einiges an Mannjahren Entwicklungsaufwand stecken, sieht man an vielen Details und durchdachten Optionen.

Ergänzendes zum Thema
 
Im Gespräch mit Avi Kravitz, Co-Founder von CyberTrap

Praxisbezug

Das Deception-Prinzip, um sich vor Hackern und anderen Cyberangreifern zu schützen stellt eine Weiterentwicklung der Honeypots dar. 2016 prognostizierte Gartner, dass im Jahr 2018 10 Prozent aller Firmen auf Deception-Technologien setzen werden, um Angreifer abzuwehren.

Deception, als Komponente in einem Schutzsystem aus Anti-Malware, SIEM, Firewall, DLP und IDS/IPS macht als Abwehrmaßnahme für Hacker-Angriffe durchaus Sinn. Allerdings dürfte die Planung und der Betrieb eins solchen Systems vom personellen und finanziellen Aufwand her auf manche Unternehmen abschreckend wirken. Cybertrap hat darauf reagiert und offeriert seine Schutzlösung auch als „Cybertrap-as-a-Service“ ab etwa 3.500 Euro pro Monat. Der genaue Umfang und die Kosten ergeben sich letztendlich als Summenwert für die gewünschten Dienstleistungen und deren Komplexität bzw. Intensität.

Letztendlich dürfte es in jedem Fall günstiger sein, sich mit dieser Thematik auseinanderzusetzen, als das eigene Unternehmen als Schlagzeile in der Presse wiederzufinden. Denn ein erfolgreicher Datendiebstahl oder Hackerangriff schädigt nachhaltig die eigene Reputation und das Vertrauen der Kunden in das betroffene Unternehmen?

Ergänzendes zum Thema
 
Security-Startups gesucht!

Resümee

Klassische Honeypot-Systeme kommen an Ihre Grenzen, bedingt durch die zunehmende Aktivität von intelligenten Angreifern! Wer weiterhin einen zuverlässigen Frühwarnservice haben will, wird um Deception-Systeme, die eine vorhandenen Security-Infrastruktur ergänzen, nicht herumkommen. Ein detaillierter Blick auf Cybertrap lohnt daher allemal.

Wer die Gelegenheit hat, einmal Avi Kravitz auf einer Veranstaltung sprechen zu hören, sollte dies wahrnehmen, denn seine „Success Stories“ sind vergleichbar zu einem Sherlock Holmes-Roman für Security-Leute. Wer plant, die it-sa in Nürnberg zu besuchen, kann sich in Hallo 10.1-106 auf dem SEC Consult Standauch selbst eine Meinung über Cybertrap bilden, denn die Experten sind im Oktober vor Ort. Alternativ ist Cybertrap auch auf der GovWare in Singapur vertreten.

Cybertrap auf einen Blick
Name Cybertrap
Webseite https://www.cybertrap.com/
Geschäftsform GmbH
Standort Wiener Neustadt, Austria
Gründungszeitpunkt 03/2015
Geschäftsführer Avi Kravitz, Jack Wagner
Anzahl Mitarbeiter 17
Security-Sparte Deception Technologie
Produkt Cybertrap
Innovation Cybertrap hat mit ihrer Deception Technology zum Ziel Cyber-Fallen im Unternehmen auszulegen, die für Eindringlinge als solche nicht erkennbar sind. Mit diesen Fallen werden Eindringlinge unbewusst in „isolierte" Bereiche geleitet und es wird ihnen vorgegaukelt, dass sie unerkannt ihren kriminellen Absichten folgen können.
Unternehmens-Blog Nein
Investitionen möglich Ja
Startfinanzierung / Umsatz letztes Jahr ---

Hacker in der Honigfalle

IT-Sicherheit in Verwaltungen

Hacker in der Honigfalle

04.08.17 - Cyberattacken in Echtzeit erkennen, unmittelbar reagieren und ­wertvolle Informationen erlangen: Honeypots locken Hacker mit ­virtuellen Ködern in die Falle. Die sächsische Landesverwaltung hat eine solche Lösung bereits im Einsatz. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44841666 / Security-Startups)