Deception-Technologie Das Trojanische Pferd von Illusive Networks

Autor: Melanie Staudacher

Wer einmal lügt, dem glaubt man nicht. Genau das ist das Ziel von Illusive. Schließlich versucht der Hersteller mit gefälschten Netzwerkverbindungen Cyberangreifer in die Falle zu locken. So funktioniert die Active Defense Platform, die auf Deception beruht.

Firmen zum Thema

Der Ansatz der Deception-Technologie erinnert an eine Cyber-Version des Trojanischen Pferdes.
Der Ansatz der Deception-Technologie erinnert an eine Cyber-Version des Trojanischen Pferdes.
(Bild: Alexander Limbach - stock.adobe.com)

Wer kennt ihn nicht, den Trick mit dem Trojanischen Pferd, mit dem die Griechen damals die Trojaner besiegt haben sollen. Dem Mythos zufolge brachten die Griechen den Trojanern ein riesiges Holzpferd als Geschenk direkt vor die Stadtmauern. Doch das Pferd sollte weder ein Friedensangebot noch ein Zeichen der Kapitulation sein. Stattdessen versteckten sich im Hohlraum des Pferdes die griechischen Soldaten und öffneten nachts ihrer Armee die Tore in die Stadt Troja.

Auch heute noch versteht man unter einem Trojanischen Pferd ein Objekt, das unbedenklich aussieht, in Wahrheit jedoch von einem Angreifer zur Tarnung genutzt wird, um in einen geschützten Bereich eingelassen zu werden.

In der IT ist ein Trojaner ein Computerprogramm, das als Anwendung getarnt ist, im Hintergrund aber eine andere, für Unternehmen gefährliche, Funktion erfüllt. Ein Trojaner liest Passwörter aus, sammelt sensible Daten und öffnet die Tür für weitere Malware.

Jochen Rummel leitet als Director Sales den europäischen Vertrieb bei Illusive.
Jochen Rummel leitet als Director Sales den europäischen Vertrieb bei Illusive.
(Bild: Illusive Networks)

Das amerikanische Unternehmen Illusive Networks hat es sich zur Aufgabe gemacht, die Cyberangreifer mit ihren eigenen Waffen zu schlagen. Dafür dreht der Hersteller die List des Trojanischen Pferdes mithilfe von Deception-Technologie um. Statt eines hölzernen Pferdes bietet Illusive den Cyberangreifern täuschend echte Assets auf den Endgeräten, die scheinbar relevante Daten enthalten. Deshalb wird der Angreifer versuchen, an diese Daten heranzukommen. Und genau damit tappt er in die Falle des Herstellers und wird aus dem System beseitigt.

Illusive arbeitet aus der Sicht des Angreifers und nicht aus der klassischen Verteidigungssicht. Denn diese bringt uns nicht weiter, weil wir dann immer mehrere Schritte hinterher sind.

Jochen Rummel, Director Sales Central & Eastern Europe bei Illusive



Wer ist Illusive Networks?

Illusive ist ein noch sehr junges Unternehmen, das 2019 aus der in Israel ansässigen Unternehmensgruppe Team8 hervorgegangen ist. Auch die Produktentwicklung sitzt in Tel Aviv, Israel. Hauptsitz des Unternehmens ist New York und die deutsche Niederlassung mit einen vierköpfigen Vertriebsteam für die DACH-Region ist in München.

Der Hersteller wirbt damit, dass seine Active Defense Platform von Cyberangreifern entwickelt wurde, um Cyberangreifer zu stoppen. Dafür hat der Anbieter Technologieunternehmen mit Erfahrung in Cyberkriegsführung beauftragt.

In der DACH-Region vertreibt Illusive die Produkte über den Distributor Ectacom, die Service Provider Accenture, Computacenter, CoreTec, DimensionData, Kudelski Security, MHP, NTT und Snapsec sowie über lokale Reseller.

Gemeinsam mit den Channel-Partnern bedient der Hersteller hauptsächlich große und mittelgroße Unternehmen. Die meisten Endkunden kommen aus den Segmenten Finanz- und Versicherungsdienstleistungen, kritische Infrastrukturen, Pharma- und Medizinproduktion sowie weiteren produzierenden Sektoren.


Wie funktioniert die Active Defense Platform von Illusive?

Die Active Defense Platform von Illusive besteht aus drei Software-Bestandteilen, die jeweils auch einzeln eingesetzt werden können.

Hier zeigt der Attack Surface Manager von Illusive auf, wie wenige Schritte ein Cyberangreifer nur braucht, um zu seinem Ziel zu gelangen.
Hier zeigt der Attack Surface Manager von Illusive auf, wie wenige Schritte ein Cyberangreifer nur braucht, um zu seinem Ziel zu gelangen.
(Bild: Illusive Networks)

Im ersten Schritt setzt der Hersteller den Attack Surface Manager (ASM) ein. Dieser analysiert die Kommunikationswege und Berechtigungen des Unternehmens und untersucht die Infrastruktur auf bestehende Sicherheitslücken. Danach zeigt die Software ganz konkret auf, wie viele Schritte ein Cyberkrimineller theoretisch brauchen würde, um zum Domain Controller zu gelangen. „Die meisten Unternehmen wissen gar nicht welche Angriffsfläche sie bieten, weil sie diese noch nie visualisiert haben“, sagt Jochen Rummel, Director Sales Central & Eastern Europe bei Illusive.

Die Analyse der IT-Landschaft erfolgt automatisiert einmal am Tag. Man kann sie vergleichen mit einem Penetration-Test, der zu immer verschiedenen Zeitpunkten stattfindet. Mit dieser Bestandsaufnahme des Ist-Zustandes erkennen Unternehmen, ob es Abweichungen vom Normalzustand oder neue Sicherheitslücken gibt.

Cyberangreifer in die Irre führen

So sieht das System des Kunden aus, nachdem der Attack Surface Manager möglichst alle Sicherheitslücken behoben hat.
So sieht das System des Kunden aus, nachdem der Attack Surface Manager möglichst alle Sicherheitslücken behoben hat.
(Bild: Illusive Networks)

Nachdem der ASM die Sicherheitslücken, wie Fehlkonfigurationen oder zu weit gefasste Zugriffsberechtigungen, erkannt hat, priorisiert und behebt er sie. „Werden die Top 3 Schwachstellen bereinigt, sinkt das Risiko, Opfer eines Cyberangriffs zu werden, sofort um 50 bis 70 Prozent“, sagt Rummel.

Mit dem Attack Detection System (ADS) kommt dann die Deception-Technologie ins Spiel. In der bereinigten IT-Landschaft legt das System Verbindungen aus, die zu den Ködern führen. Nutzt ein Angreifer diese Verbindungen, um an vermeintlich sensible Daten zu gelangen, alarmiert das System den Administrator darüber, wo im Netzwerk sich ein Angreifer befindet. Fehlalarme gäbe es so gut wie keine, da nur der Cyberkriminelle, aber nicht die Unternehmensmitarbeiter, diese Verbindungen nutzen.

Was ist die Deception-Technologie?

Deception heißt auf Deutsch Täuschung und wird in der IT-Sicherheit eingesetzt, um einen Köder auszulegen, der Cyberangreifer in die Irre führen soll. Als Köder dienen Assets, die echte IT-Ressourcen imitieren und vortäuschen sensible Daten zu enthalten. Statt die wahren Daten eines Unternehmens abzufangen, ist der Angreifer mit der gefälschten Variante von Endgeräten, Dokumenten und Berechtigungen beschäftigt, während die entsprechende Sicherheitslösungen einen Alarm an die Administratoren absenden, die den Eindringling dann beseitigen.

Die Köder können entweder auf dem bestehenden oder einem nachgebauten Betriebssystem ausgeführt werden. Die Plattform Threat Defend des amerikanischen Herstellers Attivo zum Beispiel, leitet den Cyberangreifer auf ein falsches Netzwerk um, das dem wahren Unternehmensnetzwerk nachempfunden ist.

Im Gegensatz dazu schafft Illusive keine „zweite Realität“. Denn mit dieser Methode müssen erst neue Systeme und Geräte in die Infrastruktur hineingebracht werden, zu denen der Angreifer dann erst einmal gelockt werden muss, wie Rummel erklärt. Stattdessen passiert die Täuschung auf den bereits bestehenden Systemen und Endpunkten.

Nach der Bereinigung der IT-Landschaft, legt Illusive für den Angreifer falsche Verbindungen im Netzwerk aus.
Nach der Bereinigung der IT-Landschaft, legt Illusive für den Angreifer falsche Verbindungen im Netzwerk aus.
(Bild: Illusive Networks)

„Dadurch, dass wir im ersten Schritt gelernt haben, wie die Mitarbeiter im Unternehmen kommunizieren und analysiert haben, wer mit wem wie über welche Browser und Verbindungen agiert, können wir für die Täuschungen das Nutzerverhalten optimal nachahmen“, erklärt Rummel. „Der Angreifer kann nicht erkennen, welche Vorgänge und Assets echt und welche gefälscht sind.“

Dank dieser Taktik kommt ein Angreifer, den Erfahrungen des Herstellers zufolge, maximal einen Schritt im Netzwerk vorwärts und somit nicht in die Nähe eines Domain Controller oder eines anderen kritischen Systems. „Und das aber auch nur, wenn er unter der Menge an Verbindungen im Netzwerk zufällig eine echte Verbindung findet, die die Mitarbeiter nutzen und die nicht explizit für ihn als Täuschung ausgelegt wurde“, ergänzt Rummel.

Alternative zum SIEM

Das Attack Intelligence System (AIS) dokumentiert jede einzelne Aktion eines Angreifers mit Zeitstempel. „Dadurch wissen die Sicherheitsteams immer, wo genau im Netzwerk was passiert und können ihre Reaktion besser vorbereiten und schneller handeln.“

Das Attack Intelligence System dokumentiert jeden Schritt der Cyberangreifer mit einem Zeitstempel.
Das Attack Intelligence System dokumentiert jeden Schritt der Cyberangreifer mit einem Zeitstempel.
(Bild: Illusive Networks)

Wird das AIS mit einem Security Information and Event Management System (SIEM) gekoppelt, wird jeder Vorfall, der dort gemeldet wird, automatisch mit den Daten aus der Timeline von Illusive bestückt. Dabei ist es irrelevant, von welchem Anbieter die SIEM-Lösung kommt.

Verfügt ein Unternehmen noch über kein SIEM, kann es die Active Defense Platform als Alternative einsetzen. Das sei jedoch je nach Anforderungsprofil des Kunden individuell abzuwägen. Grundsätzlich sind die beiden Systeme ergänzend zu betrachten. „Es gibt Situationen, je nach Anforderungsprofil, in denen Illusive anstelle eines SIEM beziehungsweise vor einem SIEM eingeführt wird. Das passiert meist, weil es schneller, einfacher und kostengünstiger ist sowie im Betrieb weniger Kosten und Aufwand verursacht“, sagt Rummel.

Neben der Integration in ein SIEM, bietet Illusive viele weitere vorgefertigte Schnittstellen zu gängigen Systemen. Hat der Hersteller zu einem System noch kein API (Application Programming Interface), gibt es sogenannte ReST APIs, mit denen Illusive in kurzer Zeit Verbindungen zu Drittanbieter-Systemen herstellt.

(ID:47482640)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH