Deception-Technologie Das Trojanische Pferd von Illusive Networks

Wer einmal lügt, dem glaubt man nicht. Genau das ist das Ziel von Illusive. Schließlich versucht der Hersteller mit gefälschten Netzwerkverbindungen Cyberangreifer in die Falle zu locken. So funktioniert die Active Defense Platform, die auf Deception beruht.

Firmen zum Thema

Eskenzi PR Limited

Illusive Networks

Acronis Germany GmbH

SCHNEIDER ELECTRIC GMBH

Kaspersky Labs GmbH

Wer kennt ihn nicht, den Trick mit dem Trojanischen Pferd, mit dem die Griechen damals die Trojaner besiegt haben sollen. Dem Mythos zufolge brachten die Griechen den Trojanern ein riesiges Holzpferd als Geschenk direkt vor die Stadtmauern. Doch das Pferd sollte weder ein Friedensangebot noch ein Zeichen der Kapitulation sein. Stattdessen versteckten sich im Hohlraum des Pferdes die griechischen Soldaten und öffneten nachts ihrer Armee die Tore in die Stadt Troja.

Auch heute noch versteht man unter einem Trojanischen Pferd ein Objekt, das unbedenklich aussieht, in Wahrheit jedoch von einem Angreifer zur Tarnung genutzt wird, um in einen geschützten Bereich eingelassen zu werden.

In der IT ist ein Trojaner ein Computerprogramm, das als Anwendung getarnt ist, im Hintergrund aber eine andere, für Unternehmen gefährliche, Funktion erfüllt. Ein Trojaner liest Passwörter aus, sammelt sensible Daten und öffnet die Tür für weitere Malware.

Jochen Rummel leitet als Director Sales den europäischen Vertrieb bei Illusive.

Das amerikanische Unternehmen Illusive Networks hat es sich zur Aufgabe gemacht, die Cyberangreifer mit ihren eigenen Waffen zu schlagen. Dafür dreht der Hersteller die List des Trojanischen Pferdes mithilfe von Deception-Technologie um. Statt eines hölzernen Pferdes bietet Illusive den Cyberangreifern täuschend echte Assets auf den Endgeräten, die scheinbar relevante Daten enthalten. Deshalb wird der Angreifer versuchen, an diese Daten heranzukommen. Und genau damit tappt er in die Falle des Herstellers und wird aus dem System beseitigt.

Die Active Defense Platform von Illusive besteht aus drei Software-Bestandteilen, die jeweils auch einzeln eingesetzt werden können.

Im ersten Schritt setzt der Hersteller den Attack Surface Manager (ASM) ein. Dieser analysiert die Kommunikationswege und Berechtigungen des Unternehmens und untersucht die Infrastruktur auf bestehende Sicherheitslücken. Danach zeigt die Software ganz konkret auf, wie viele Schritte ein Cyberkrimineller theoretisch brauchen würde, um zum Domain Controller zu gelangen. „Die meisten Unternehmen wissen gar nicht welche Angriffsfläche sie bieten, weil sie diese noch nie visualisiert haben“, sagt Jochen Rummel, Director Sales Central & Eastern Europe bei Illusive.

Die Analyse der IT-Landschaft erfolgt automatisiert einmal am Tag. Man kann sie vergleichen mit einem Penetration-Test, der zu immer verschiedenen Zeitpunkten stattfindet. Mit dieser Bestandsaufnahme des Ist-Zustandes erkennen Unternehmen, ob es Abweichungen vom Normalzustand oder neue Sicherheitslücken gibt.

Nachdem der ASM die Sicherheitslücken, wie Fehlkonfigurationen oder zu weit gefasste Zugriffsberechtigungen, erkannt hat, priorisiert und behebt er sie. „Werden die Top 3 Schwachstellen bereinigt, sinkt das Risiko, Opfer eines Cyberangriffs zu werden, sofort um 50 bis 70 Prozent“, sagt Rummel.

Mit dem Attack Detection System (ADS) kommt dann die Deception-Technologie ins Spiel. In der bereinigten IT-Landschaft legt das System Verbindungen aus, die zu den Ködern führen. Nutzt ein Angreifer diese Verbindungen, um an vermeintlich sensible Daten zu gelangen, alarmiert das System den Administrator darüber, wo im Netzwerk sich ein Angreifer befindet. Fehlalarme gäbe es so gut wie keine, da nur der Cyberkriminelle, aber nicht die Unternehmensmitarbeiter, diese Verbindungen nutzen.

„Dadurch, dass wir im ersten Schritt gelernt haben, wie die Mitarbeiter im Unternehmen kommunizieren und analysiert haben, wer mit wem wie über welche Browser und Verbindungen agiert, können wir für die Täuschungen das Nutzerverhalten optimal nachahmen“, erklärt Rummel. „Der Angreifer kann nicht erkennen, welche Vorgänge und Assets echt und welche gefälscht sind.“

Dank dieser Taktik kommt ein Angreifer, den Erfahrungen des Herstellers zufolge, maximal einen Schritt im Netzwerk vorwärts und somit nicht in die Nähe eines Domain Controller oder eines anderen kritischen Systems. „Und das aber auch nur, wenn er unter der Menge an Verbindungen im Netzwerk zufällig eine echte Verbindung findet, die die Mitarbeiter nutzen und die nicht explizit für ihn als Täuschung ausgelegt wurde“, ergänzt Rummel.

Das Attack Intelligence System (AIS) dokumentiert jede einzelne Aktion eines Angreifers mit Zeitstempel. „Dadurch wissen die Sicherheitsteams immer, wo genau im Netzwerk was passiert und können ihre Reaktion besser vorbereiten und schneller handeln.“

Wird das AIS mit einem Security Information and Event Management System (SIEM) gekoppelt, wird jeder Vorfall, der dort gemeldet wird, automatisch mit den Daten aus der Timeline von Illusive bestückt. Dabei ist es irrelevant, von welchem Anbieter die SIEM-Lösung kommt.

Verfügt ein Unternehmen noch über kein SIEM, kann es die Active Defense Platform als Alternative einsetzen. Das sei jedoch je nach Anforderungsprofil des Kunden individuell abzuwägen. Grundsätzlich sind die beiden Systeme ergänzend zu betrachten. „Es gibt Situationen, je nach Anforderungsprofil, in denen Illusive anstelle eines SIEM beziehungsweise vor einem SIEM eingeführt wird. Das passiert meist, weil es schneller, einfacher und kostengünstiger ist sowie im Betrieb weniger Kosten und Aufwand verursacht“, sagt Rummel.

Neben der Integration in ein SIEM, bietet Illusive viele weitere vorgefertigte Schnittstellen zu gängigen Systemen. Hat der Hersteller zu einem System noch kein API (Application Programming Interface), gibt es sogenannte ReST APIs, mit denen Illusive in kurzer Zeit Verbindungen zu Drittanbieter-Systemen herstellt.