Hacker abwehren durch Ködern und Täuschen
Einfache Bedienung per Konsole
von Markus Selinger - 26.03.2020
Möchte ein Unternehmen eine Deception-Lösung einsetzen, so braucht die vorhandene Netzwerkstruktur nicht verändert zu werden. Bei der Lösung von Cybertrap spielt es zum Beispiel auch keine Rolle, ob der Täuschungs-Server (Decoy) physisch im Netzwerk vorhanden ist. Ein komplettes Decoy-Netzwerk kann auch nur virtuell und extern existieren. Lediglich die Köder und Software-Agenten müssen auf den Endgeräten im Netzwerk tatsächlich „ausgelegt“ sein.
Der Einsatz einer Deception-Lösung ist dennoch nicht ganz so trivial wie etwa das Ausrollen
einer Endpoint-Security-Lösung. Der Deception-Anbieter muss das Unternehmensnetzwerk analysieren und dann seine Fallen (die Decoys) und seine Köder (die Lures) integrieren. Das sind in der Regel nicht einmal sehr viele, sie müssen nur richtig platziert sein. Auch die Endpunkte erhalten einen kleinen Agenten, für den Fall, dass ein Hacker dort eindringt.
einer Endpoint-Security-Lösung. Der Deception-Anbieter muss das Unternehmensnetzwerk analysieren und dann seine Fallen (die Decoys) und seine Köder (die Lures) integrieren. Das sind in der Regel nicht einmal sehr viele, sie müssen nur richtig platziert sein. Auch die Endpunkte erhalten einen kleinen Agenten, für den Fall, dass ein Hacker dort eindringt.
Der Mitarbeiter am PC bekommt von den Software-Agenten oder einem ausgelegten Köder nichts mit. Nur der eingeweihte Netzwerk-Administrator kann die Software erkennen. Im Fall von Cybertrap hat das Unternehmen die Wahl, ob es die Lösung nach der Einrichtung selbst betreuen und verwalten will oder ob Cybertrap das Management übernehmen soll.
Für die Verwaltung der Deception-Lösung steht eine webbasierte Konsole zur Verfügung, wie sie Administratoren von den meisten Security-Lösungen her kennen. Auch Struktur und Funktionsweise sind ähnlich. Sobald ein Köder oder die Fallen etwas registrieren, gibt das System Alarm und startet die Aufzeichnung.
Hier zeigt sich ein weiterer Nachteil von EDR und SIEM: Sie müssen ständig sehr viele Daten aufzeichnen und auch über einen längeren Zeitraum speichern. Je nach Umfang kostet der Lagerplatz für die Daten viel Geld und auch die Auswertung der großen Datenmengen dauert lange.
Deception-Lösungen dagegen zeichnen nur auf, was der Angreifer macht. Die Datenmenge ist in der Regel sehr überschaubar. Jeder Schritt eines Angreifers lässt sich einfach per Mausklick nachvollziehen. Abgelegte Dateien, Scripts oder Datenpakete kann man via Konsole direkt im Online-Virenscanner VirusTotal analysieren lassen und damit wertvolle Informationen für seine Endpoint-Security-Lösung generieren. Handelt es sich um eine noch unbekannte Malware oder eine verdächtige Datei, lassen sich via Konsole auch Hash-Werte erstellen und in einer Datenbank ablegen. Administratoren können der Attacke entspannt zusehen, da der Angreifer, einmal auf dem Täuschungs-Server gelandet, nicht mehr ins echte Netzwerk zurückkann.