:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wie man mit „Fake-Assets“ Angreifer ausbremst Deceptive Security – Die Kunst der Täuschung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Chancen zwischen Cyberkriminellen und den Verteidigern in den Unternehmen sind bekanntermaßen ungleich verteilt. Mit einem Trick allerdings lässt sich das Ungleichgewicht günstig verschieben: Es gilt, auf die Angreifer genau dort zu warten, wo sie aus der Deckung kommen müssen – und ihnen Fallen zu stellen.
Es ist wirklich unfair, während sich Cyberkriminelle nur darauf konzentrieren können, eine einzige Schwachstelle zu finden und auszunutzen, müssen Security-Teams in Unternehmen die ganze komplexe Organisationsumgebung lückenlos überwachen.
Vor ein paar Jahren noch ließ sich zur Veranschaulichung der Situation von Spezialisten für Informationssicherheit das gute alte Bild der mittelalterlichen Burg verwenden: Da waren die einen, die um die Mauern schlichen und nach Schlupflöchern suchten oder sich maskiert an der Torwache vorbeimogelten, und die anderen, die vom Turm und den Mauern herab ständig alles im Blick haben mussten, um das Bauwerk und seine Bewohner zu schützen.
:quality(80)/images.vogel.de/vogelonline/bdb/1380200/1380221/original.jpg "Honeypot und Honeynet sind ein Computersystem oder ein Netzwerk zum gezielten Anlocken von Angriffen. Als Scheinziele sind sie Fallen für Hacker und Cyberkriminelle. (Pixabay)")
Definition Honeypot und Honeynet
Was ist ein Honeypot?
Anomalie-Erkennung hat Grenzen
Das Bild allerdings passt nicht mehr, denn moderne IT-Umgebungen haben den Charakter in sich geschlossener Sicherheitszonen verloren. Cloud, Homeoffice, Mobile Computing und Web-Services sowie neue Bereiche wie IoT und OT lassen den Schutzbereich immer weiter ausfransen. Die Mauern verschwinden, und für die Verteidiger ist die Lage noch unübersichtlicher geworden. Sie birgt allerdings auch eine Chance: Mit etwas Geschick ist es möglich, die Gegner hier und da ans Tageslicht zu zwingen und dazu eine Technik einzusetzen, die bekannte Mechanismen zur Angriffserkennung optimal ergänzt. Denn: Auch Angreifer haben es schwer, sich in einem komplexen Netz zu orientieren.
Der Ansatz, der hier näher beschrieben werden soll, spielt seine Vorteile unter anderem im Zusammenhang mit drei Bereichen der Cybersecurity aus, die an sich erfolgreich sind, aber zugleich auf spezifische Limitationen stoßen:
- Anomalien-Erkennung mit ihren Chancen und Grenzen,
- Überwachung des Anwenderverhaltens und
- Monitoring von Systemen, die keine Agenten oder störende Eingriffe dulden.
Anomalien-Erkennung fahndet nach Vorgängen, die gegenüber dem Grundrauschen der täglichen produktiven Arbeit im Netz auffallen. Anomalien-Erkennung schlägt also beispielsweise Alarm, wenn ein Mitarbeiter oder eine Mitarbeiterin aus dem Marketing plötzlich auf Dateien der Software-Entwicklung für IoT-Produkte zugreifen will. Um Maschinen daraufhin zu trainieren, derartige Vorgänge zu erkennen und darauf aufmerksam zu machen, gibt es zwei Möglichkeiten:
- 1. Man lässt das Systeme eine Weile beobachten, was Tag für Tag im Netz geschieht, und weist es dann an, von einem bestimmten Zeitpunkt an zuvor nicht registrierte Aktionen als „verdächtig“ zu melden, oder
- 2. man füttert das System mit Mustern bereits bekannter oder vermuteter Angriffsstrategien, die der Organisation gefährlich werden könnten, und lässt es danach fahnden.
Die erste Variante wird oft präferiert, weil sie scheinbar wenig Aufwand seitens der Sicherheits-Teams erfordert - das Security-System verspricht in diesem Fall ja, sich die Grundlage für das Melden von Auffälligkeiten selbsttätig zu erarbeiten.
Dies funktioniert allerdings nur dort gut, wo ein relativ gut vorhersagbares, gleichbleibendes Netzgeschehen vorherrscht. Produktionsumgebungen etwa, in denen Maschinen im Takt eine relativ geringe Produktpalette herstellen, sind ein ideales Ökosystem für dieses Erkennungsmodell. Ein kreatives Unternehmen aber, in dem die Mitarbeiter immer neue Ideen und Business-Bereiche erproben, bringen eine auf Standardvorgänge trainierte Anomalien-Erkennung schnell an ihre Grenzen. Die Reaktion aus dem Beispiel oben etwa, in der unvermittelten Zugriff des Marketings auf Entwickler-Code als Bedrohung klassifiziert wird, könnte ein „False-Positive“-Fall sein: Vielleicht ging es ja nur darum, eine besonders geschickt programmierte Software spontan während einer Online-Konferenz mit einem potenziellen Kunden zu zeigen.
Beschränkung aufs Wesentliche
Die zweite Variante – das Suchen nach Angriffsmustern – gilt gerade in sehr beweglichen Umgebungen als treffsicherer, aber auch als aufwändig. Sie verlangt von den Security-Teams, stetig Informationen über Schwachstellen und neue Strategien von Cyberkriminellen einzuholen, interne Informationen zu klassifizieren und gezielt wie ein Hacker zu denken. Es gilt, „Kill Chains“ zu identifizieren, mit denen Angreifer im eigenen Unternehmen zum Ziel kommen könnten. Dieser Aufwand lässt sich allerdings erheblich reduzieren, wenn man sich auf jene Schritte einer möglichen Attacke konzentriert, die sich im kriminellen Zugriffsfall nicht vermeiden lassen. Um ein Beispiel zu nennen: Liegt das wichtigste geistige Eigentum eines Unternehmens in einer bestimmten, gut gesicherten Datenbank, werden Diebe danach trachten, die notwendigen privilegierten Zugriffsrechte auf diesen Bereich zu erlangen. Sofern sie nicht die Credentials eines passenden Anwenders kapern, müssen sie dazu entweder einen neuen privilegierten User schaffen oder die Rechte eines anderen Users erweitern, wozu sie wiederum Admin-Rechte benötigen. Die Workstation eines Admins und die Systeme zur Rechteverwaltung sind deshalb „Assets“ im Netz, die sich Angreifer mit hoher Wahrscheinlichkeit anschauen werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1228900/1228933/original.jpg "Die Lockheed Martin Cyber Kill Chain beschreibt Cyber-Attacken in sieben Stufen. Während der Angreifer nach dem Modell alle sieben Stufen erfolgreich durchlaufen muss, reicht es für die Abwehr, die Cyber Kill Chain an nur einer Stelle zu unterbrechen. Trotzdem muss die Abwehr genau wie der Angriff mehrstufig aufgebaut sein. (Romolo Tavani - Fotolia.com)")
Was ist die Lockheed Martin Cyber Kill Chain?
Cyber Kill Chain - Grundlagen, Anwendung und Entwicklung
An derartigen Punkten könnte eine treffsichere Mustererkennung ansetzen – oder auch eine selbstlernende Anomalien-Erkennung. Allerdings birgt die Methode auch ein Problem, das bei vielen Monitoring-Aufgaben eine Rolle spielt: Die Überwachung der oben genannten Aspekte richtet sich auch auf die Beobachtung des Anwenderverhaltens. Damit kollidiert der an sich erfolgversprechende Ansatz potenziell massiv mit dem europäischen und deutschen Datenschutz und dem Arbeitsrecht.
Fake macht sicher
Welche Folgen dies hat, lässt sich immer wieder beobachten, wenn Anbieter aus den USA oder Ländern mit vergleichbaren Rechtssystemen möglichen Kunden ihre Monitoring-Lösungen präsentieren. UEBA (User and Entity Behavior Analytics, die Verhaltensanalyse von Usern und Entitäten) etwa wird dann gern anschaulich gemacht, indem man zeigt, wie ein bestimmter User (womöglich repräsentiert durch Bild und detailliierte Namens- und Funktionsangaben) plötzlich unerwartete Dinge tut, worauf man ihm oder ihr dann näher auf den Zahn fühlt. Im besten Sinne natürlich und durchaus mit dem Bewusstsein, dass der auffällige Account möglicherweise gekapert wurde – aber allein das Setting, die permanente Überwachung einzelner Mitarbeiterinnen und Mitarbeiter bei der Arbeit, lässt viele Interessenten zurückschrecken: Das passt nicht zu hiesigen Datenschutzvorstellungen und würde konkret an jedem Betriebsrat scheitern, der seine ihm rechtlich zugewiesene Aufgabe ernst nimmt.
Dabei steckt selbst im problematischen UEBA-Ansatz – eigentlich nichts Anderes als ein Sensor-Bereich für Security Operations Center und ihre Werkzeuge – ein möglicher Ausweg aus dem Dilemma. „Entities“, also Maschinen und maschinelle User, darf und muss die Security überwachen. Wie also wäre es, User anzulegen, die zu keinen realen Menschen gehören, aber möglichen Angreifern äußerst attraktiv erscheinen müssen? Ja, hinter dieser Idee steckt irgendwie der gute alte „Honeypot“-Gedanke, aber die heute als „Deceptive Security“ entwickelte Idee hat das frühere Konzept eines simplen Servers mit vermeintlich interessanten Dateien längst hinter sich gelassen.
Das Unternehmen Illusive beispielsweise ergänzt seine Werkzeuge zur Prävention und Detektion von Attacken aus den genannten Gründe gezielt mit Emulationen höchst verschiedener Assets im Netzwerk, die für Cyberkriminelle interessant sein können. Dazu gehören Anmeldeinformationen, Verbindungen und Angriffspfade, die auf Endpunkten in einem Netzwerk platziert werden und den Angreifern scheinbar gute Ansatzpunkte für Lateral Movement und die Erweiterung von Rechten bieten. Abgesehen davon, dass sich die „Fake-Assets“ einschränkungslos beobachten lassen, bremst die Auseinandersetzung mit den gefälschten Instanzen die Angreifer auch aus und liefert Zeit für intensive Analysen ihres Vorgehens. Werden gleichzeitig echte Konten und Systeme konsequent geschützt, bietet die Kombination aus klassischen Sicherheitsmaßnahmen und Täuschung ein deutlich höheres Schutzniveau als bislang.
Besondere Vorteile für OT und (I)IoT
Einen weiteren Vorteil spielt „Deceptive Security“ dort aus, wo einem intensiven Security Monitoring ganz andere Hindernisse entgegenstehen als der Mitarbeiter-Datenschutz. In Produktionsumgebungen (OT) finden sich häufig Systeme, die weder mit Agenten ausgestattet noch sonst irgendwie durch externe Einflüsse gestört werden dürfen. Etwa weil ihr verlässliches Echtzeit-Verhalten für die Produktionsketten kritisch ist und deshalb keine Eingriffe geduldet werden dürfen. Andere Systeme wie im IoT-Bereich bieten einfach keine Ansatzpunkte für klassische Überwachungstechniken. Die Interessen der Security- und der Betriebsverantwortlichen treffen hier häufig hart aufeinander. Auch in diesem Bereich ist „Täuschung“ deshalb eine gute Idee. So ziehen Emulationen typischer Jump-Server für Wartungszugriffe ebenso wahrscheinlich die Aufmerksamkeit von Cyberkriminellen auf sich wie Workstations, die Produktionsanlagen zu steuern scheinen. Solche Fallen erlauben den Security-Teams Beobachtungen, Eingriffe und Analysen, die sie mit den realen Produktionssystemen niemals anstellen dürften.
Über den Autor: Jochen Rummel ist Regional Director DACH bei Illusive.
(ID:47596406)
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/f4/20f4b72e48d284cb23c48e611d9df9b4/0115089304.jpeg "Perimeter-basierte Security-Lösungen eignen sich heute insbesondere für lokale Netzwerk-Operationen. (Bild: Funtap - stock.adobe.com)")