Hacker abwehren durch Ködern und Täuschen

Während Endpoint-Security-Suiten gut bekannte Schutzlösungen für Unternehmensnetzwerke sind, sind Deception-Konzepte für viele Verantwortliche noch Neuland. Selbst Gartner oder Forrester haben bislang nur kleine Firmenstudien im Angebot, keine den Markt abbildenden Waves oder Quadranten. com! professional erklärt, was hinter dieser neuen Technik steckt.

Jedes Unternehmensnetzwerk wird ständig auf die ein oder andere Art angegriffen. Meist sind es Versuche, sich in Accounts einzuloggen oder auf Ports zuzugreifen. Klappt das nicht, kommen Spam oder verseuchte Links in E-Mails zum Einsatz. All das hat eine gute Client-Server-Schutzlösung eigentlich im Griff. Und für den Fall, dass es einem Angreifer gelingt, ins Netzwerk einzudringen, empfehlen sich zusätzliche Security-Systeme, die Hacker im Netz verfolgen und alle Schritte aufzeichnen, wie EDR (Endpoint Detection and Response) oder SIEM (Security Information and Event Management). Beide Techniken sind definitiv zu empfehlen, haben aber ihre Schwächen. So lässt sich via EDR ein Angriff nur auswerten, wenn die Attacke und das Eindringen auch bemerkt wurden. Und das ist oft genug nicht der Fall, wie Ex-Cisco-Chef Johann Chambers pointiert formuliert: „Es gibt zwei Sorten von Unternehmen - solche, die wissen, dass sie gehackt wurden, und solche, die das nicht wissen.“ Ein SIEM-System wiederum bewertet Nutzer nach ihrem Verhalten, um auffällige Angreifer zu enttarnen, braucht also zunächst eine gewisse Lernzeit.

Deception geht einen anderen Weg: Das Wiener Deception-Unternehmen Cybertrap zum Beispiel baut in ein Firmennetzwerk Köder und Fallen in Form von Diensten, Software und Servern inklusive perfekt gefakter Daten ein. Man stelle sich vor: Ein Hacker dringt unbemerkt in dieses Netzwerk ein, etwa mit gestohlenen Zugangsdaten. In diesem Moment hilft die vorhandene Endpoint-Security-Lösung nicht weiter, da aus deren Perspektive noch kein Sicherheitsverstoß vorliegt. Auch ein EDR oder ein SIEM sind an dieser Stelle noch ahnungslos. Der Hacker versucht sich nun vertikal durch das Netz zu bewegen. Er schaut sich vorsichtig um und ist darauf bedacht, nicht aufzufallen. Sein Ziel: Er will höherwertige Accounts finden, etwa solche mit Admin-Rechten, oder Daten, die ihn interessieren.

Genau hier kommt die Deception-Lösung ins Spiel, während EDR und SIEM immer noch nichts aufzeichnen. Jeder Angreifer muss nämlich selbst für einen kleinen Rundumblick im Netzwerk bestimmte Software-Tools benutzen. Deren Einsatz könnte man zwar unterbinden, aber dann wäre ein Angreifer auch gewarnt. Im Beispiel sorgt Cybertrap dafür, dass der Hacker seine Tools nutzen kann; etwa einen Spürhund, der Active Directorys (AD) aufzeigt. Seine Suche führt den Hacker auf ein vorbereitetes AD - die erste Falle ist damit zugeschnappt. Denn alle weiteren attraktiven Wege, die dem Hacker nun scheinbar offenstehen und vermeintlich zu interessanten Servern und Diensten führen, sind von Cybertrap vorgetäuscht.

Hacker suchen an diesem Punkt des Angriffs zum Beispiel gerne nach Zugriffen auf Server via RDP (Remote Desktop Protocol). Diese Zugriffe sind im echten Netzwerk gesperrt, im gefälschten Netzwerk klappt aber auch das: Die Verbindungen lenken den Angreifer immer weiter in ein Scheinnetzwerk hinein. Dort findet der Hacker alles, was er gesucht hat: Dienste mit Admin-Rechten, Datei-Server, Verzeichnisse und Datensätze. Aus den Aktivitäten des Hackers lässt sich jetzt meist ableiten, worauf er es wirklich abgesehen hat.  Er greift sich die Daten, derentwegen er gekommen ist. Oft legt er etwa gezielt verseuchte Software mit Trojanern ab, installiert Türen auf externe Server oder versteckt Exploits für Schwachstellen. Die Cybertrap-Lösung protokolliert jede noch so kleine Aktion.

Das Fazit des geschilderten Angriffs lautet: Der Weg des Angreifers wurde aufgezeichnet und kann gesperrt werden. Auch durch den Hacker ausgenutzte Schwachstellen sind nun bekannt und können gefixt werden. Und aus den Suchanfragen des Hackers können Unternehmen ableiten, was er eigentlich an Daten oder Informationen stehlen wollte. Mit diesem Wissen kann eine Firma weitere Wirtschaftsspionage besser abwehren, da sie die besonders bedrohten Projekte nun ja kennt.