Wie man mit „Fake-Assets“ Angreifer ausbremst Deceptive Security – Die Kunst der Täuschung

Autor / Redakteur: Jochen Rummel / Peter Schmitz

Die Chancen zwischen Cyberkriminellen und den Verteidigern in den Unternehmen sind bekanntermaßen ungleich verteilt. Mit einem Trick allerdings lässt sich das Ungleichgewicht günstig verschieben: Es gilt, auf die Angreifer genau dort zu warten, wo sie aus der Deckung kommen müssen – und ihnen Fallen zu stellen.

Firmen zum Thema

Security-Teams müssen herausfinden, wie Cyberkriminelle ins Firmennetzwerk gelangen. Mit Tricks und moderner Technik ist es möglich, die Angreifer hier und da ans Tageslicht zu zwingen.
Security-Teams müssen herausfinden, wie Cyberkriminelle ins Firmennetzwerk gelangen. Mit Tricks und moderner Technik ist es möglich, die Angreifer hier und da ans Tageslicht zu zwingen.
(© Alexander Limbach - stock.adobe.com)

Es ist wirklich unfair, während sich Cyberkriminelle nur darauf konzentrieren können, eine einzige Schwachstelle zu finden und auszunutzen, müssen Security-Teams in Unternehmen die ganze komplexe Organisationsumgebung lückenlos überwachen.

Vor ein paar Jahren noch ließ sich zur Veranschaulichung der Situation von Spezialisten für Informationssicherheit das gute alte Bild der mittelalterlichen Burg verwenden: Da waren die einen, die um die Mauern schlichen und nach Schlupflöchern suchten oder sich maskiert an der Torwache vorbeimogelten, und die anderen, die vom Turm und den Mauern herab ständig alles im Blick haben mussten, um das Bauwerk und seine Bewohner zu schützen.

Anomalie-Erkennung hat Grenzen

Das Bild allerdings passt nicht mehr, denn moderne IT-Umgebungen haben den Charakter in sich geschlossener Sicherheitszonen verloren. Cloud, Homeoffice, Mobile Computing und Web-Services sowie neue Bereiche wie IoT und OT lassen den Schutzbereich immer weiter ausfransen. Die Mauern verschwinden, und für die Verteidiger ist die Lage noch unübersichtlicher geworden. Sie birgt allerdings auch eine Chance: Mit etwas Geschick ist es möglich, die Gegner hier und da ans Tageslicht zu zwingen und dazu eine Technik einzusetzen, die bekannte Mechanismen zur Angriffserkennung optimal ergänzt. Denn: Auch Angreifer haben es schwer, sich in einem komplexen Netz zu orientieren.

Der Ansatz, der hier näher beschrieben werden soll, spielt seine Vorteile unter anderem im Zusammenhang mit drei Bereichen der Cybersecurity aus, die an sich erfolgreich sind, aber zugleich auf spezifische Limitationen stoßen:

  • Anomalien-Erkennung mit ihren Chancen und Grenzen,
  • Überwachung des Anwenderverhaltens und
  • Monitoring von Systemen, die keine Agenten oder störende Eingriffe dulden.

Anomalien-Erkennung fahndet nach Vorgängen, die gegenüber dem Grundrauschen der täglichen produktiven Arbeit im Netz auffallen. Anomalien-Erkennung schlägt also beispielsweise Alarm, wenn ein Mitarbeiter oder eine Mitarbeiterin aus dem Marketing plötzlich auf Dateien der Software-Entwicklung für IoT-Produkte zugreifen will. Um Maschinen daraufhin zu trainieren, derartige Vorgänge zu erkennen und darauf aufmerksam zu machen, gibt es zwei Möglichkeiten:

  • 1. Man lässt das Systeme eine Weile beobachten, was Tag für Tag im Netz geschieht, und weist es dann an, von einem bestimmten Zeitpunkt an zuvor nicht registrierte Aktionen als „verdächtig“ zu melden, oder
  • 2. man füttert das System mit Mustern bereits bekannter oder vermuteter Angriffsstrategien, die der Organisation gefährlich werden könnten, und lässt es danach fahnden.

Die erste Variante wird oft präferiert, weil sie scheinbar wenig Aufwand seitens der Sicherheits-Teams erfordert - das Security-System verspricht in diesem Fall ja, sich die Grundlage für das Melden von Auffälligkeiten selbsttätig zu erarbeiten.

Dies funktioniert allerdings nur dort gut, wo ein relativ gut vorhersagbares, gleichbleibendes Netzgeschehen vorherrscht. Produktionsumgebungen etwa, in denen Maschinen im Takt eine relativ geringe Produktpalette herstellen, sind ein ideales Ökosystem für dieses Erkennungsmodell. Ein kreatives Unternehmen aber, in dem die Mitarbeiter immer neue Ideen und Business-Bereiche erproben, bringen eine auf Standardvorgänge trainierte Anomalien-Erkennung schnell an ihre Grenzen. Die Reaktion aus dem Beispiel oben etwa, in der unvermittelten Zugriff des Marketings auf Entwickler-Code als Bedrohung klassifiziert wird, könnte ein „False-Positive“-Fall sein: Vielleicht ging es ja nur darum, eine besonders geschickt programmierte Software spontan während einer Online-Konferenz mit einem potenziellen Kunden zu zeigen.

Beschränkung aufs Wesentliche

Die zweite Variante – das Suchen nach Angriffsmustern – gilt gerade in sehr beweglichen Umgebungen als treffsicherer, aber auch als aufwändig. Sie verlangt von den Security-Teams, stetig Informationen über Schwachstellen und neue Strategien von Cyberkriminellen einzuholen, interne Informationen zu klassifizieren und gezielt wie ein Hacker zu denken. Es gilt, „Kill Chains“ zu identifizieren, mit denen Angreifer im eigenen Unternehmen zum Ziel kommen könnten. Dieser Aufwand lässt sich allerdings erheblich reduzieren, wenn man sich auf jene Schritte einer möglichen Attacke konzentriert, die sich im kriminellen Zugriffsfall nicht vermeiden lassen. Um ein Beispiel zu nennen: Liegt das wichtigste geistige Eigentum eines Unternehmens in einer bestimmten, gut gesicherten Datenbank, werden Diebe danach trachten, die notwendigen privilegierten Zugriffsrechte auf diesen Bereich zu erlangen. Sofern sie nicht die Credentials eines passenden Anwenders kapern, müssen sie dazu entweder einen neuen privilegierten User schaffen oder die Rechte eines anderen Users erweitern, wozu sie wiederum Admin-Rechte benötigen. Die Workstation eines Admins und die Systeme zur Rechteverwaltung sind deshalb „Assets“ im Netz, die sich Angreifer mit hoher Wahrscheinlichkeit anschauen werden.

An derartigen Punkten könnte eine treffsichere Mustererkennung ansetzen – oder auch eine selbstlernende Anomalien-Erkennung. Allerdings birgt die Methode auch ein Problem, das bei vielen Monitoring-Aufgaben eine Rolle spielt: Die Überwachung der oben genannten Aspekte richtet sich auch auf die Beobachtung des Anwenderverhaltens. Damit kollidiert der an sich erfolgversprechende Ansatz potenziell massiv mit dem europäischen und deutschen Datenschutz und dem Arbeitsrecht.

Fake macht sicher

Welche Folgen dies hat, lässt sich immer wieder beobachten, wenn Anbieter aus den USA oder Ländern mit vergleichbaren Rechtssystemen möglichen Kunden ihre Monitoring-Lösungen präsentieren. UEBA (User and Entity Behavior Analytics, die Verhaltensanalyse von Usern und Entitäten) etwa wird dann gern anschaulich gemacht, indem man zeigt, wie ein bestimmter User (womöglich repräsentiert durch Bild und detailliierte Namens- und Funktionsangaben) plötzlich unerwartete Dinge tut, worauf man ihm oder ihr dann näher auf den Zahn fühlt. Im besten Sinne natürlich und durchaus mit dem Bewusstsein, dass der auffällige Account möglicherweise gekapert wurde – aber allein das Setting, die permanente Überwachung einzelner Mitarbeiterinnen und Mitarbeiter bei der Arbeit, lässt viele Interessenten zurückschrecken: Das passt nicht zu hiesigen Datenschutzvorstellungen und würde konkret an jedem Betriebsrat scheitern, der seine ihm rechtlich zugewiesene Aufgabe ernst nimmt.

Dabei steckt selbst im problematischen UEBA-Ansatz – eigentlich nichts Anderes als ein Sensor-Bereich für Security Operations Center und ihre Werkzeuge – ein möglicher Ausweg aus dem Dilemma. „Entities“, also Maschinen und maschinelle User, darf und muss die Security überwachen. Wie also wäre es, User anzulegen, die zu keinen realen Menschen gehören, aber möglichen Angreifern äußerst attraktiv erscheinen müssen? Ja, hinter dieser Idee steckt irgendwie der gute alte „Honeypot“-Gedanke, aber die heute als „Deceptive Security“ entwickelte Idee hat das frühere Konzept eines simplen Servers mit vermeintlich interessanten Dateien längst hinter sich gelassen.

Das Unternehmen Illusive beispielsweise ergänzt seine Werkzeuge zur Prävention und Detektion von Attacken aus den genannten Gründe gezielt mit Emulationen höchst verschiedener Assets im Netzwerk, die für Cyberkriminelle interessant sein können. Dazu gehören Anmeldeinformationen, Verbindungen und Angriffspfade, die auf Endpunkten in einem Netzwerk platziert werden und den Angreifern scheinbar gute Ansatzpunkte für Lateral Movement und die Erweiterung von Rechten bieten. Abgesehen davon, dass sich die „Fake-Assets“ einschränkungslos beobachten lassen, bremst die Auseinandersetzung mit den gefälschten Instanzen die Angreifer auch aus und liefert Zeit für intensive Analysen ihres Vorgehens. Werden gleichzeitig echte Konten und Systeme konsequent geschützt, bietet die Kombination aus klassischen Sicherheitsmaßnahmen und Täuschung ein deutlich höheres Schutzniveau als bislang.

Besondere Vorteile für OT und (I)IoT

Einen weiteren Vorteil spielt „Deceptive Security“ dort aus, wo einem intensiven Security Monitoring ganz andere Hindernisse entgegenstehen als der Mitarbeiter-Datenschutz. In Produktionsumgebungen (OT) finden sich häufig Systeme, die weder mit Agenten ausgestattet noch sonst irgendwie durch externe Einflüsse gestört werden dürfen. Etwa weil ihr verlässliches Echtzeit-Verhalten für die Produktionsketten kritisch ist und deshalb keine Eingriffe geduldet werden dürfen. Andere Systeme wie im IoT-Bereich bieten einfach keine Ansatzpunkte für klassische Überwachungstechniken. Die Interessen der Security- und der Betriebsverantwortlichen treffen hier häufig hart aufeinander. Auch in diesem Bereich ist „Täuschung“ deshalb eine gute Idee. So ziehen Emulationen typischer Jump-Server für Wartungszugriffe ebenso wahrscheinlich die Aufmerksamkeit von Cyberkriminellen auf sich wie Workstations, die Produktionsanlagen zu steuern scheinen. Solche Fallen erlauben den Security-Teams Beobachtungen, Eingriffe und Analysen, die sie mit den realen Produktionssystemen niemals anstellen dürften.

Über den Autor: Jochen Rummel ist Regional Director DACH bei Illusive.

(ID:47596406)