:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wie man mit „Fake-Assets“ Angreifer ausbremst Deceptive Security – Die Kunst der Täuschung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Chancen zwischen Cyberkriminellen und den Verteidigern in den Unternehmen sind bekanntermaßen ungleich verteilt. Mit einem Trick allerdings lässt sich das Ungleichgewicht günstig verschieben: Es gilt, auf die Angreifer genau dort zu warten, wo sie aus der Deckung kommen müssen – und ihnen Fallen zu stellen.
Es ist wirklich unfair, während sich Cyberkriminelle nur darauf konzentrieren können, eine einzige Schwachstelle zu finden und auszunutzen, müssen Security-Teams in Unternehmen die ganze komplexe Organisationsumgebung lückenlos überwachen.
Vor ein paar Jahren noch ließ sich zur Veranschaulichung der Situation von Spezialisten für Informationssicherheit das gute alte Bild der mittelalterlichen Burg verwenden: Da waren die einen, die um die Mauern schlichen und nach Schlupflöchern suchten oder sich maskiert an der Torwache vorbeimogelten, und die anderen, die vom Turm und den Mauern herab ständig alles im Blick haben mussten, um das Bauwerk und seine Bewohner zu schützen.
:quality(80)/images.vogel.de/vogelonline/bdb/1380200/1380221/original.jpg "Honeypot und Honeynet sind ein Computersystem oder ein Netzwerk zum gezielten Anlocken von Angriffen. Als Scheinziele sind sie Fallen für Hacker und Cyberkriminelle. (Pixabay)")
Definition Honeypot und Honeynet
Was ist ein Honeypot?
Anomalie-Erkennung hat Grenzen
Das Bild allerdings passt nicht mehr, denn moderne IT-Umgebungen haben den Charakter in sich geschlossener Sicherheitszonen verloren. Cloud, Homeoffice, Mobile Computing und Web-Services sowie neue Bereiche wie IoT und OT lassen den Schutzbereich immer weiter ausfransen. Die Mauern verschwinden, und für die Verteidiger ist die Lage noch unübersichtlicher geworden. Sie birgt allerdings auch eine Chance: Mit etwas Geschick ist es möglich, die Gegner hier und da ans Tageslicht zu zwingen und dazu eine Technik einzusetzen, die bekannte Mechanismen zur Angriffserkennung optimal ergänzt. Denn: Auch Angreifer haben es schwer, sich in einem komplexen Netz zu orientieren.
Der Ansatz, der hier näher beschrieben werden soll, spielt seine Vorteile unter anderem im Zusammenhang mit drei Bereichen der Cybersecurity aus, die an sich erfolgreich sind, aber zugleich auf spezifische Limitationen stoßen:
- Anomalien-Erkennung mit ihren Chancen und Grenzen,
- Überwachung des Anwenderverhaltens und
- Monitoring von Systemen, die keine Agenten oder störende Eingriffe dulden.
Anomalien-Erkennung fahndet nach Vorgängen, die gegenüber dem Grundrauschen der täglichen produktiven Arbeit im Netz auffallen. Anomalien-Erkennung schlägt also beispielsweise Alarm, wenn ein Mitarbeiter oder eine Mitarbeiterin aus dem Marketing plötzlich auf Dateien der Software-Entwicklung für IoT-Produkte zugreifen will. Um Maschinen daraufhin zu trainieren, derartige Vorgänge zu erkennen und darauf aufmerksam zu machen, gibt es zwei Möglichkeiten:
- 1. Man lässt das Systeme eine Weile beobachten, was Tag für Tag im Netz geschieht, und weist es dann an, von einem bestimmten Zeitpunkt an zuvor nicht registrierte Aktionen als „verdächtig“ zu melden, oder
- 2. man füttert das System mit Mustern bereits bekannter oder vermuteter Angriffsstrategien, die der Organisation gefährlich werden könnten, und lässt es danach fahnden.
Die erste Variante wird oft präferiert, weil sie scheinbar wenig Aufwand seitens der Sicherheits-Teams erfordert - das Security-System verspricht in diesem Fall ja, sich die Grundlage für das Melden von Auffälligkeiten selbsttätig zu erarbeiten.
Dies funktioniert allerdings nur dort gut, wo ein relativ gut vorhersagbares, gleichbleibendes Netzgeschehen vorherrscht. Produktionsumgebungen etwa, in denen Maschinen im Takt eine relativ geringe Produktpalette herstellen, sind ein ideales Ökosystem für dieses Erkennungsmodell. Ein kreatives Unternehmen aber, in dem die Mitarbeiter immer neue Ideen und Business-Bereiche erproben, bringen eine auf Standardvorgänge trainierte Anomalien-Erkennung schnell an ihre Grenzen. Die Reaktion aus dem Beispiel oben etwa, in der unvermittelten Zugriff des Marketings auf Entwickler-Code als Bedrohung klassifiziert wird, könnte ein „False-Positive“-Fall sein: Vielleicht ging es ja nur darum, eine besonders geschickt programmierte Software spontan während einer Online-Konferenz mit einem potenziellen Kunden zu zeigen.
Beschränkung aufs Wesentliche
Die zweite Variante – das Suchen nach Angriffsmustern – gilt gerade in sehr beweglichen Umgebungen als treffsicherer, aber auch als aufwändig. Sie verlangt von den Security-Teams, stetig Informationen über Schwachstellen und neue Strategien von Cyberkriminellen einzuholen, interne Informationen zu klassifizieren und gezielt wie ein Hacker zu denken. Es gilt, „Kill Chains“ zu identifizieren, mit denen Angreifer im eigenen Unternehmen zum Ziel kommen könnten. Dieser Aufwand lässt sich allerdings erheblich reduzieren, wenn man sich auf jene Schritte einer möglichen Attacke konzentriert, die sich im kriminellen Zugriffsfall nicht vermeiden lassen. Um ein Beispiel zu nennen: Liegt das wichtigste geistige Eigentum eines Unternehmens in einer bestimmten, gut gesicherten Datenbank, werden Diebe danach trachten, die notwendigen privilegierten Zugriffsrechte auf diesen Bereich zu erlangen. Sofern sie nicht die Credentials eines passenden Anwenders kapern, müssen sie dazu entweder einen neuen privilegierten User schaffen oder die Rechte eines anderen Users erweitern, wozu sie wiederum Admin-Rechte benötigen. Die Workstation eines Admins und die Systeme zur Rechteverwaltung sind deshalb „Assets“ im Netz, die sich Angreifer mit hoher Wahrscheinlichkeit anschauen werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1228900/1228933/original.jpg "Die Lockheed Martin Cyber Kill Chain beschreibt Cyber-Attacken in sieben Stufen. Während der Angreifer nach dem Modell alle sieben Stufen erfolgreich durchlaufen muss, reicht es für die Abwehr, die Cyber Kill Chain an nur einer Stelle zu unterbrechen. Trotzdem muss die Abwehr genau wie der Angriff mehrstufig aufgebaut sein. (Romolo Tavani - Fotolia.com)")
Was ist die Lockheed Martin Cyber Kill Chain?
Cyber Kill Chain - Grundlagen, Anwendung und Entwicklung
An derartigen Punkten könnte eine treffsichere Mustererkennung ansetzen – oder auch eine selbstlernende Anomalien-Erkennung. Allerdings birgt die Methode auch ein Problem, das bei vielen Monitoring-Aufgaben eine Rolle spielt: Die Überwachung der oben genannten Aspekte richtet sich auch auf die Beobachtung des Anwenderverhaltens. Damit kollidiert der an sich erfolgversprechende Ansatz potenziell massiv mit dem europäischen und deutschen Datenschutz und dem Arbeitsrecht.
Fake macht sicher
Welche Folgen dies hat, lässt sich immer wieder beobachten, wenn Anbieter aus den USA oder Ländern mit vergleichbaren Rechtssystemen möglichen Kunden ihre Monitoring-Lösungen präsentieren. UEBA (User and Entity Behavior Analytics, die Verhaltensanalyse von Usern und Entitäten) etwa wird dann gern anschaulich gemacht, indem man zeigt, wie ein bestimmter User (womöglich repräsentiert durch Bild und detailliierte Namens- und Funktionsangaben) plötzlich unerwartete Dinge tut, worauf man ihm oder ihr dann näher auf den Zahn fühlt. Im besten Sinne natürlich und durchaus mit dem Bewusstsein, dass der auffällige Account möglicherweise gekapert wurde – aber allein das Setting, die permanente Überwachung einzelner Mitarbeiterinnen und Mitarbeiter bei der Arbeit, lässt viele Interessenten zurückschrecken: Das passt nicht zu hiesigen Datenschutzvorstellungen und würde konkret an jedem Betriebsrat scheitern, der seine ihm rechtlich zugewiesene Aufgabe ernst nimmt.
Dabei steckt selbst im problematischen UEBA-Ansatz – eigentlich nichts Anderes als ein Sensor-Bereich für Security Operations Center und ihre Werkzeuge – ein möglicher Ausweg aus dem Dilemma. „Entities“, also Maschinen und maschinelle User, darf und muss die Security überwachen. Wie also wäre es, User anzulegen, die zu keinen realen Menschen gehören, aber möglichen Angreifern äußerst attraktiv erscheinen müssen? Ja, hinter dieser Idee steckt irgendwie der gute alte „Honeypot“-Gedanke, aber die heute als „Deceptive Security“ entwickelte Idee hat das frühere Konzept eines simplen Servers mit vermeintlich interessanten Dateien längst hinter sich gelassen.
Das Unternehmen Illusive beispielsweise ergänzt seine Werkzeuge zur Prävention und Detektion von Attacken aus den genannten Gründe gezielt mit Emulationen höchst verschiedener Assets im Netzwerk, die für Cyberkriminelle interessant sein können. Dazu gehören Anmeldeinformationen, Verbindungen und Angriffspfade, die auf Endpunkten in einem Netzwerk platziert werden und den Angreifern scheinbar gute Ansatzpunkte für Lateral Movement und die Erweiterung von Rechten bieten. Abgesehen davon, dass sich die „Fake-Assets“ einschränkungslos beobachten lassen, bremst die Auseinandersetzung mit den gefälschten Instanzen die Angreifer auch aus und liefert Zeit für intensive Analysen ihres Vorgehens. Werden gleichzeitig echte Konten und Systeme konsequent geschützt, bietet die Kombination aus klassischen Sicherheitsmaßnahmen und Täuschung ein deutlich höheres Schutzniveau als bislang.
Besondere Vorteile für OT und (I)IoT
Einen weiteren Vorteil spielt „Deceptive Security“ dort aus, wo einem intensiven Security Monitoring ganz andere Hindernisse entgegenstehen als der Mitarbeiter-Datenschutz. In Produktionsumgebungen (OT) finden sich häufig Systeme, die weder mit Agenten ausgestattet noch sonst irgendwie durch externe Einflüsse gestört werden dürfen. Etwa weil ihr verlässliches Echtzeit-Verhalten für die Produktionsketten kritisch ist und deshalb keine Eingriffe geduldet werden dürfen. Andere Systeme wie im IoT-Bereich bieten einfach keine Ansatzpunkte für klassische Überwachungstechniken. Die Interessen der Security- und der Betriebsverantwortlichen treffen hier häufig hart aufeinander. Auch in diesem Bereich ist „Täuschung“ deshalb eine gute Idee. So ziehen Emulationen typischer Jump-Server für Wartungszugriffe ebenso wahrscheinlich die Aufmerksamkeit von Cyberkriminellen auf sich wie Workstations, die Produktionsanlagen zu steuern scheinen. Solche Fallen erlauben den Security-Teams Beobachtungen, Eingriffe und Analysen, die sie mit den realen Produktionssystemen niemals anstellen dürften.
Über den Autor: Jochen Rummel ist Regional Director DACH bei Illusive.
(ID:47596406)
:quality(80)/images.vogel.de/vogelonline/bdb/1881400/1881492/original.jpg "Eine neue Generation von Incident Response Tools erfüllt den Bedarf an erweiterter, ausgefeilter Erkennung und Abwehr: Extended Detection and Response, kurz XDR. (iStock)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935600/1935688/original.jpg "Der Zero-Trust-Ansatz kann auch in ICS-Umgebungen helfen die Sicherheit drastisch zu verbessern. (wladimir1804 - stock.adobe.com)")