IT-BUSINESS Aktion:

#ITfightsCorona

Attivo Threat-Defend-Plattform

Attivo lockt Cyber-Kriminelle in die Falle

| Autor: Melanie Staudacher

Der Schlagabtausch zwischen Angreifern und Verteidigern geht weiter: Mit gefälschten Netzwerkumgebungen will Attivo Cyber-Kriminelle ködern.
Der Schlagabtausch zwischen Angreifern und Verteidigern geht weiter: Mit gefälschten Netzwerkumgebungen will Attivo Cyber-Kriminelle ködern. (Bild: Lillian - stock.adobe.com)

IoT-Geräte als Köder und getürkte Netzwerkumgebungen: Mit seiner Threat-Defend-Plattform, hat Attivo Networks bei der Verteidigung gegen Cyber-Kriminelle die Nase vorn. Damit sollen Bedrohungen schnell erkannt und eingedämmt, die Verweildauer von Angreifern im Netzwerk verringert und das Risiko großflächiger Schäden vermindert werden.

Das bekannte Katz-und-Maus-Spiel zwischen Sicherheitsbeauftragten und Cyber-Kriminellen: Mit zunehmender Digitalisierung müssen IT-Verantwortliche weltweit Daten vor Cyber-Attacken schützen. Denn die Angreifer werden immer raffinierter und können Firewalls, Web-Gateways und Antivirus-Software oftmals umgehen. Besonders Endpoint-Geräte wie Smartphones, Notebooks und Tablets sind zu beliebten Zielen geworden. Unternehmen müssen sich also neu aufstellen, um moderne Angriffe abzuwehren. „Seit es den ersten Antivirus und die erste Firewall gibt, legen die Angreifer vor und die Verteidiger jagen hinterher. Die ganze IT-Sicherheits-Branche reagiert und es gibt kaum eine Technologie, die aktiv arbeitet und die Angreifer so zum Schwitzen bringt, wie diese die Verteidiger zum Schwitzen bringen“, erklärt Weidner.

Durchschnittliche Verweildauer von 95 Tagen

Joe Weidner, Regional Director der DACH-Region bei Attivo, ist überzeugt von der Deception-Technologie, weiß jedoch auch, dass sie ständig weiterentwickelt werden muss, um gegen Cyber-Attacken gewappnet zu sein.
Joe Weidner, Regional Director der DACH-Region bei Attivo, ist überzeugt von der Deception-Technologie, weiß jedoch auch, dass sie ständig weiterentwickelt werden muss, um gegen Cyber-Attacken gewappnet zu sein. (Bild: Attivo Networks)

„Wir sind momentan folgender Situation ausgesetzt: Alle Firmen und jeder, der sich mit Cybersecurity befasst, investiert immer mehr Geld in Produkte, Mitarbeiterschulungen und für die Einhaltung neuer Regularien. Und trotz dieser Mehrausgaben steigt die Anzahl der erfolgreichen Cyber-Einbrüche überproportional an“, beschreibt Weidner weiter. Im aktuellen M-Trends Report der Firma Fire Eye ergeben die Befragungen unter Endkunden, dass 91 Prozent der Cyber-Attacken keinen Alarm auslösten. „Ein Grund für diese hohe Zahl ist, dass es Angriffsszenarien und -techniken gibt, die Unternehmen mit herkömmlicher Technologie nicht erkennen können.“

Dadurch, dass Angriffe meist unentdeckt bleiben, bleibt den Cyber-Kriminellen genug Zeit, um sensible Daten zu stehlen. Forschungsergebnissen des kalifornischen Cyber-Technologie-Anbieters und Attivo-Partners Crowdstrike zufolge, hat sich die durchschnittliche Verweildauer im Jahr 2019 von 85 auf 95 Tage erhöht. Dabei ist die Verweildauer die Zeitspanne, in der sich Angreifer in einer Netzwerkumgebung bis zu ihrer Entdeckung und Eliminierung bewegen können.

Angriff ist die beste Verteidigung

Die ThreatDefend-Plattform von Attivo leitet Cyber-Angreifer auf ein falsches Netzwerk um, welches dem wahren Unternehmens-Netzwerk nachempfunden ist.
Die ThreatDefend-Plattform von Attivo leitet Cyber-Angreifer auf ein falsches Netzwerk um, welches dem wahren Unternehmens-Netzwerk nachempfunden ist. (Bild: Attivo Networks)

Als Beispiel, warum herkömmliche Lösungen nicht mehr ausreichen, nennt Weidner Zero-Day-Angriffe. Das sind Attacken, die neue und unbekannte Angriffsmethoden nutzen, die über Pattern-Vergleiche nicht erkannt werden können, weil es keine Vergleichsmuster gibt. „Wenn das der Fall ist, müssen wir eine Methode finden, die nicht mehr auf Mustervergleiche oder Verhaltensanalyse abzielt, sondern wir passen uns daran an, was ein Angreifer eigentlich tut."

Die Attivo Threat-Defend-Plattform basiert auf der Deception-Technologie, einer Technik also, die auf Irreführung und Täuschung beruht. Bisher wurde dieser Ansatz eher von Angreifern selbst verwendet, um zum Beispiel über Phishing-E-Mails falsche Registrierungs-Links zu verschicken. „Die Deception-Technologie unterbricht die Verhaltensmuster eines Angreifers, und zwar mit seinen eigenen Methoden. Der Angreifer glaubt zunächst, er hätte alle Zeit der Welt, um sich in einem Netzwerk aufzuhalten, ohne dass er entdeckt wird. Er rechnet nicht damit, dass er bereits mit dem Suchen nach wertvollen Daten in unserer Deception-Umgebung gelandet ist“, erklärt Weidner. Mit der Täuschungslösung, lockt Attivo also Eindringlinge an, erkennt sie frühzeitig und sammelt Informationen über deren Angriff. Aus den Informationen wird ein forensischer Report über IP-Adressen, Target-IP-Ports, Uhrzeit und weitere Details des Angriffs erstellt. Durch diese neu entstandenen Erkenntnisse ergeben sich wiederum kontinuierlich Fortschritte in Sicherheitsarchitekturen.

Attivo arbeitet mit zahlreichen Technologie-Integrationspartnern zusammen. Für die Threat-Defend-Plattform bedeutet das, dass sie mit Lösungen der Partner automatisch interagiert, ohne dass zusätzliche, händische Schritte getätigt werden müssen, so Weidner. „Das heißt, wenn wir ein unerwünschtes Verhaltensmuster registrieren, löst Attivo Networks einen High-Fidelity-Alert aus. Wir schicken die Informationen, die während des Angriffs gesammelt werden, automatisch an die Lösungen unserer Partner. Enthalten sind dabei auch Informationen darüber, ob zum Beispiel eine IP-Adresse geblockt oder ein Endpunkt isoliert werden soll. Das spart Zeit und Geld und vermeidet gleichzeitig Fehler.“

IoT-Geräte als Köder

Beim Einsatz von Täuschungstechnologien ist es wichtig, dass die falschen Umgebungen möglichst echt aussehen. Dafür entwickelte Attivo sogenannte High Interaction Decoys, also interaktive Köder, in Form von Servern und Endpoints. „Hinter High Interaction Decoys versteckt sich die Möglichkeit, zusätzliche Netzwerkkomponenten virtuell in ein Netzwerk zu projizieren, die aussehen und funktionieren wie echt. Sie verfügen über ein Betriebssystem, eine Management-Oberfläche und laufende Services“, führt Weidner weiter aus. „Damit ein Angreifer erkannt wird, reicht es, wenn er eines unserer erzeugten Assets anfasst. Ein Login-Versuch am Server genügt oder einmal eines unserer falschen Credentials zu verwenden, reicht aus.“

Gemeinsam mit Microsoft hat Attivo diesen Ansatz weiter verfeinert, um Azure IoT-Module als Köder einzusetzen. Dazu wurde die Threat-Defend-Plattform in das Microsoft Azure Security Center integriert. IT-Teams können Attivos Lösung auf IoT-Edge-Geräten installieren und so direkt von der Azure-IoT-Hub-Konsole aus Module als Köder auslegen. Sobald Angreifer auf IoT-Edge-Geräte abzielen, werden sie auf die Köder stoßen, die den echten Systemen nachempfunden sind. Jede aktive Suche nach Daten führt dazu, dass der Angriff in die Täuschungs-Umgebung umgeleitet wird. Threat Defend löst dann einen Alarm aus, der das Azure Security Center automatisch benachrichtigt.

Deception in spezialisierten Umgebungen

Die Köder können auch industrielle Geräte, wie Infusionspumpen in Krankenhäuser oder Kassensysteme nachahmen. Denn diese IoT-Geräte haben, laut Weidner, eine zumeist schlechte oder gar keine Sicherheitsausstattung. Die einzig mögliche Sicherheit sei es dann, mehrere zusätzliche Geräte, die genauso aussehen, neben das Original-Gerät zu stellen. „Das ist etwas ganz Besonderes, dass wir diesen Bereich der Operational Technology (OT) und Supervisory Control and Data Acquisition (SCADA) mit ausstatten können.“

Dabei ist Attivos Lösung nicht standortgebunden: „Wir können unsere Deception-Umgebung über einen Tunnel an remote-gelegene Lokationen ausdehnen. Firmen mit weltweitem Auftritt müssen also keinen unserer Deception Server in jede kleine Niederlassungen stellen“, sagt Weidner.

Täuschend echter Endpoint-Schutz

Auch in einer weiteren Lösung kommt Attivos Netzwerk-Täuschungstechnologie zum Einsatz. So wurde die Threat-Defend-Plattform in den Falcon-Endpoint-Schutz des Anbieters Crowdstrike integriert. Auch damit soll eine frühe und präzise Bedrohungserkennung möglich sein. Außerdem werden bereits kompromittierte Endpoints automatisch unter Quarantäne gestellt. Durch schnelle Erkennung, Einstufung und Reaktion sollen die bei einem Cyber-Angriff auftretenden Risiken verringert werden.

Darüber hinaus erweiterte Attivo vor Kurzem seine Täuschungs-Plattform um weitere Funktionen, um Angreifer am Endpoint abzufangen. Das neue Endpoint-Detection-Net-Modul soll als Schutz-Multiplikator dienen, der Endpoint-Protection- und Endpoint-Detection-and-Response-Lösungen verwendet, indem er Erkennungslücken schließt und die Reaktion auf Vorfälle erleichtert. Durch das Modul wird jeder Endpoint zu einem Köder, der den Angreifer daran hindert, aus dem Endpoint aus- und weiter in das Unternehmens-Netzwerk einzubrechen. Dies soll geschehen, ohne dass eigene Agents am Endgerät eingesetzt werden müssen oder der reguläre Netzwerkbetrieb gestört wird. „Endpoints sind das neue Cyber-Schlachtfeld, und gut abgestimmte Erkennungs- und Reaktionsfähigkeiten sind für Unternehmen der beste Weg, um Angreifer abzuwehren", erklärt Weidner. „Endpoint Detection Net richtet sich an Unternehmen aller Größenordnungen. Es ist eine effektive Möglichkeit, die lateralen Bewegungen eines Angreifers zum Erliegen zu bringen, und zwar bevor er Fuß fasst und materiellen Schaden anrichtet.“

Vorsprung durch Täuschung

Cyber-Angreifer erwarten nur selten Täuschungs-Technologien als Verteidigung.
Cyber-Angreifer erwarten nur selten Täuschungs-Technologien als Verteidigung. (Bild: Attivo Networks)

Die Vorteile der Deception-Technologie sind für Weidner eindeutig die Reduzierung der Verweildauer und die Sichtbarkeit sowie die frühzeitige Erkennung von Angriffen, auf die eine schnelle Reaktion erfolgen kann. „Deception gibt den Verteidigern endlich ein Werkzeug an die Hand, mit dem sie den Angreifern mit den gleichen Methoden begegnen können. Ohne Deception sind Verteidiger ständig auf der Verliererseite, weil sie immer nur reagieren können.“ Laut Umfrage der Enterprise Management Associates konnten Unternehmen, die Täuschungstechnologie einsetzen, die durchschnittliche Verweildauer um 91 Prozent senken.

Den Ergebnissen von Attivos Studie „2019 Top Threat Detection Trends“ zufolge, legen Unternehmen ihren Fokus immer mehr auf neue Technologien wie Täuschungs-Technik. Denn nur selten erwarten Cyber-Angreifer solche Täuschungsversuche. Auf die Frage, ob Kriminelle in Zukunft mehr damit rechnen werden, antwortet Weidner: „Angreifer werden vermehrt damit rechnen. Die Deception-Technologie wird sich jedoch sehr lange halten, sie ist jetzt weltweit im Kommen. Und hier muss sie sich denselben Anforderungen stellen, wie andere Lösungen auch: Deception muss immer weiterentwickelt werden. Wir müssen ständig daran arbeiten, dass sich die Täuschungen so unauffällig wie möglich in das echte Netzwerk integrieren. Das ist eine andauernde Herausforderung und ein Katz-und-Maus-Spiel, wobei wir als Verteidiger dieses Mal den Vorsprung haben.“

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46574195 / Security)