Wie einfach die Lösung sein kann, wenn Sie Deception zusätzlich zu Ihren bestehenden Cybersicherheitsmaßnahmen einsetzen, zeigen wir Ihnen in diesem Blogartikel:
Die meisten herkömmlichen XDR-Lösungen konzentrieren sich auf die Suche nach dem "Bösen", entweder über eine Signaturübereinstimmung, eine Verhaltensübereinstimmung oder eines heuristischen Algorithmus. Leider gelingt es den Angreifern sehr gut, das "Böse" als "nicht böse" erscheinen zu lassen, so dass herkömmliche Security-Lösungen die Aktivitäten von Angreifern nicht erfassen können. Erschwerend kommt hinzu, dass viele Unternehmen täglich zwischen 10.000 und 150.000 Warnmeldungen erhalten (=7 bis 104 Warnungen pro Minute oder einer Alarmierung alle 2 bis 9 Sekunden.) Selbst wenn 08/15-Lösungen bösartige Aktivitäten aufspüren, gehen diese meist im "Grundrauschen" unter.
Die Lösung: Deception ändert das Paradigma.
Anstatt nach dem "Bösen" zu suchen, lässt sich eine Deception Lösung in gewisser Weise finden. Nachdem sich der Angreifer Zugang verschafft hat, beginnt er nach Möglichkeiten zu suchen, um sich mit dem geringsten Aufwand, den schnellsten Weg zu den höchstmöglichen Rechten zu bahnen. In dieser Phase ist es sehr oft möglich, aktive Sicherheitssysteme und Vorkehrungen zu täuschen, diese zu umgehen oder zu deaktivieren. Deception verfolgt hier einen anderen Ansatz. Es werden passive Köder im Produktiv-Netzwerk verteilt, welche den Angreifer in ein täuschend echt wirkendes Decoy-Netzwerk locken. Das kann mittels unterschiedlichster Köder, welche diverse Dienste simulieren, passieren. Sobald der Angreifer einen dieser Köder entdeckt und genutzt hat, erfolgt nicht nur eine direkte Alarmierung mit den wichtigsten Parametern, unter anderem von welchem Client und welchem Benutzer der Angreifer ins Netzwerk kam, sondern ist es diesem auch nicht mehr möglich, den produktiven Betrieb zu stören, sensible Dokumente zu kopieren oder eine Verschlüsselung der Dateien zu forcieren.
Sie denken vielleicht, dass der Versuch, so realistisch wie nur möglich aussehende Köder oder Decoy-Netzwerke aufzubauen wäre eine gewaltige Herausforderung. Jedoch lassen sich diese mit den richtigen Mitteln und Guidelines unkompliziert implementieren. Mit der Hilfe von Sprach-KI‘s lassen sich mit dem richtigen Prompts täuschend echte Firmeninterna erstellen. Mit den richtigen Vorlagen lassen sich zügig ganze Netzwerke nachbauen und die Login-Maske der Intranet Seite ist mit wenigen Klicks kopiert. Für die Köder werden in wenigen Minuten Anwendergruppen definiert und passende Köder zugewiesen. Die IT-Abteilung bekommt z.B. Verweise zum Domain Controller, das HR-Department zum „Personal“-Laufwerk und das OT-Team zum Firmware Verzeichnis usw.
Nachdem der Angreifer aufgedeckt wurde, gewinnt man nicht nur wichtige Zeit, erhält die nötigen Informationen, um einen Wiedereinstieg ins Netzwerk zu verhindern, sondern ist es auch möglich den Angreifer im Decoy-Netzwerk mit einem verdeckten, auf Windows-Kernel Ebene zertifizierten Monitoring Agent, bei den weiteren Schritten zu verfolgen, seine Vorgehensweise zu kategorisieren, und seine Absichten zu katalogisieren. Dies nimmt Ihrem SOC-Team nicht nur den Aufwand der Alarm-Priorisierung ab, sondern Sie erhalten auch durch die Integration der MITRE ATT&CK Matrix die passenden Taktiken und Techniken um dem Angreifer entsprechend kontern zu können. Zusätzlich kann aus der gewonnen Threat Intelligence unter anderem das eigene Netzwerk langfristig und realitätsnah gehärtet werden und Mitarbeiter auf Zielgerichtete Angriffe sensibilisiert werden.
Fazit: Mittels Deception Technologie, setzten Sie der berüchtigten „Alarm-Fautige“ ein Ende, gewinnen wertvolle Zeit, minimieren den Wartungsaufwand, schützen Ihre Daten und bekommen von den Angreifern obendrein noch wertvolle Tipps für die Zukunft.