Hacker abwehren durch Ködern und Täuschen

Wenn Hacker bleiben dürfen

von - 26.03.2020
Durchschnittlicher Schaden durch Cybercrime 2019
(Quelle: Cybercrimereview.com)
Eine besonderer Vorteil von Deception-Lösungen ist, dass ein Unternehmen Zeit hat, zu überlegen, wie es auf den Angriff reagieren will. Normalerweise muss nach einer bemerkten Attacke unmittelbar gehandelt werden. Geschieht das dann, bleiben trotzdem viele Fragen offen - etwa was der Angreifer wollte und welche Professionalität er hatte. Ist der Angreifer in die Deception-Falle gegangen, dann stellt sich die Frage der Strategie gar nicht, man hat sie bereits. So sieht das auch Tom Haak, CEO von Cybertrap: „Bei erfolgreich angegriffenen Netzen liegt die mittlere unerkannte Verweildauer von Hackern bei 150 Tagen. Wurde der Angreifer durch Cybertrap erkannt und tobt sich in einem Decoy aus, so können wir während der ganzen Zeit, in der er agiert, vieles aus seinen Aktionen ableiten und auch lernen.“
Tom Haak
Tom Haak
CEO Cybertrap
www.cybertrap.com
Foto: Cybertrap
„Bei erfolgreich ­angegriffenen Netzen liegt die mittlere ­unerkannte Verweildauer von Hackern bei 150 Tagen.“
Das Deception-System funktioniert nicht nur mit Unternehmensnetzwerken. Auch der Schutz kleinerer Netze mit einer Webserver-Anbindung ist machbar. Denn allzu oft sind Zugänge auf der Firmen-Webseite, etwa für Bewerber, direkt an das eigene Netzwerk angebunden. Hacker wissen das und suchen daher auch gezielt nach diesen Zugängen. Auch hier lässt sich ein Täusch-Server (Decoy) aufstellen, der mit Ködern Angreifer auf einen vorgetäuschten Webserver lockt.

Kooperation mit SIEM und Co.

Unternehmen, die bereits auf ein SIEM setzen, können dessen Wirkungsweise durch ein Deception-System verbessern. Denn ein SIEM versucht in seiner anfänglichen Lernzeit das Verhalten der registrierten Netzwerknutzer zu analysieren. So fällt zum Beispiel je nach Account auf, wenn ein Mitarbeiter aus der Fertigung plötzlich ständig versucht, auf die Server der Buchhaltung zuzugreifen. Das SIEM vergibt dann für alle Anomalien des Anwenders Risikopunkte. Ab einem gewissen Punktestand wird Alarm ausgelöst und der Zugang isoliert. Mit den durch ein Deception-System aufgezeichneten Werten und dem Verhalten eines Accounts lässt sich die Echtzeitanalyse eines SIEM feiner justieren. Das verbesserte Zusammenspiel senkt die Fehlalarme und die Menge der aufgezeichneten und zu analysierenden Daten. Auf Dauer reduziert das die Kosten für die Datenaufbewahrung spürbar.

Fazit & Ausblick

Der Digitalverband Bitkom hat Mitte 2019 1070 Unternehmen ab zehn Mitarbeitern gefragt, ob sie in den vergangenen zwei Jahren von Datendiebstahl, Industrie­spionage oder Sabotage betroffen waren. Ergebnis: Drei Viertel der Unternehmen (75 Prozent) waren von Angriffen betroffen gewesen, weitere 13 Prozent vermuteten dies. 2016/2017 waren es nur 53 Prozent beziehungsweise 26 Prozent gewesen. 
Der deutschen Wirtschaft entsteht laut Bitkom aufgrund dieser Attacken derzeit jährlich ein Schaden in Höhe von mehr als 100 Milliarden Euro.
Um angesichts immer zahlreicherer und immer raffinierterer Attacken Schäden zu vermeiden oder wenigstens zu minimieren, braucht es neue Herangehensweisen. Übliche IT-Security-Maßnahmen leisten zwar gute Arbeit, aber sie benötigen Vorabinformationen, um optimal zu funktionieren. Gut ausgebildete oder interne Angreifer kennen ihr Angriffsziel und wissen, wie sie sich unentdeckt in der Unternehmens­infrastruktur bewegen.
Im Citrix-Netzwerk hielten sich Angreifer von Oktober 2018 bis März 2019 auf und wären weiter nicht bemerkt worden, wäre nicht das FBI auf Citrix zugegangen. Ein Deception-System mit internen Fallen hätte Citrix mit Sicherheit geholfen.
Honeypots vs. Deception-Server
Deception-Systeme werden gerne mit Honeypots gleichgesetzt. Das ist allerdings nicht korrekt. Klassische Honeypots arbeiten anders. Sie haben in der Regel nichts mit einem produktiven Netzwerk zu tun, sondern werden ausschließlich als vorgetäuschtes Netzwerk betrieben. So hat etwa das Security-Unternehmen Trend Micro Ende letzten Jahres einen Honeypot gebaut, der aus realer ICS-Hardware bestand, einer Mischung aus physischen Hosts und virtuellen Maschinen zum Betrieb einer Fabrik. Dazu gehörten unter anderem speicherprogrammierbare Steuerungen (SPS), Human-Machine-Interfaces (HMIs), separate Roboter- und Engineering-Workstations sowie ein Datei-Server. Der Honeypot regis­trierte ständig, wie und mit welchen Mechanismen er angegriffen wurde. Waren Angreifer eingedrungen, wurden der weitere Verlauf, die genutzten Werkzeuge, die eingesetzte Software sowie das Ziel der Angreifer analysiert.
All diese Erkenntnisse fließen in die Weiterentwicklung von Schutzlösungen ein. Denn genauso, wie die Angreifer ihre Strategien weiterentwickeln, muss sich auch die Seite der Verteidiger permanent um Innovationen bemühen.
Seite
  1. Teil: Hacker abwehren durch Ködern und Täuschen
  2. Teil: Einfache Bedienung per Konsole
  3. Teil: Wenn Hacker bleiben dürfen
Verwandte Themen

Mehr zum Thema