Hacker in der Cyber-Falle Dieses Potenzial bietet Deception für Partner

Autor: Melanie Staudacher

Mit Deception können Unternehmen ihre bisherigen Sicherheitsmaßnahmen analysieren. Wie die Technologie funktioniert, welche Potenziale sie bietet und wie Reseller und Systemhäuser damit Geschäft machen können, erläutert der Deception-Hersteller CyberTrap.

Firmen zum Thema

Mit der noch wenig verbreiteten Deception-Technologie können Reseller und MSPs neue Kundensegmente erschließen und entsprechende Lösungen für die erweiterte Analyse von Cyberbedrohungen nutzen.
Mit der noch wenig verbreiteten Deception-Technologie können Reseller und MSPs neue Kundensegmente erschließen und entsprechende Lösungen für die erweiterte Analyse von Cyberbedrohungen nutzen.
(Bild: makibestphoto - stock.adobe.com)

Wenn es um Neuheiten der IT-Security geht, haben die USA und Israel meist die Nase vorn. Auch Hersteller von Lösungen, die mit der Deception-Technologie arbeiten, kommen zum Großteil aus Amerika wie Trap X, Shape Security und Fidelis.

Viele Hersteller, die komplett auf Deception setzen wie Attivo und Illusive, gibt es bisher noch nicht. Stattdessen bieten sie einzelne Lösungen an, die Funktionen der Täuschungstechnik einsetzen. Beispiele sind Fortinet mit dem Forti Deceptor und Rapid7 mit InsightIDR.

Was ist Deception?

Mithilfe von Deception leiten Hersteller Cyberangreifer gezielt in eigens dafür geschaffene IT-Infrastrukturen. Und das, noch bevor die Angreifer in die tatsächliche Infrastruktur des Unternehmens eindringen können. Die Cyberkriminellen stoßen auf die ausgeworfenen Köder, die aussehen wie echte Assets, und landen dann in einer fiktiven Umgebung. Dort können Sicherheitsteams die Angreifer beobachten, um ihre Methoden zu analysieren.

In Deutschland ist die Nachfrage noch gering, weshalb die Anbieter auf der Suche nach Vertriebspartnern sind. Auch der österreichische Hersteller CyberTrap will mit der gleichnamigen Deception-Lösung auf dem DACH-Markt durchstarten.

Mit Deception können Partner noch Marktsegmente besetzen und treffen wenig Konkurrenz im Mittelstand.

Franz Weber, Geschäftsführer und CEO bei CyberTrap

Franz Weber, Geschäftsführer und CEO bei CyberTrap
Franz Weber, Geschäftsführer und CEO bei CyberTrap
(Bild: CyberTrap)

Der Wiener Hersteller wurde im Jahr 2015 als Spin-off des Unternehmensberaters SEC Consult gegründet und hat sich seitdem der Täuschung von Cyberangreifern verschrieben. Mittlerweile sind neun Reseller aus Europa, darunter der Distributor Exclusive Networks, und ein Reseller aus Indien Teil des Partnerprogramms.

Das Programm ist in die drei Stufen Authorized, Silver und Gold unterteilt. Neue Partner wirbt der Hersteller mit geringen Eintrittsbarrieren und Umsatzbeteiligung. Darüber hinaus honoriert CyberTrap Leads, die zum Auftrag führen. Dies sei vor allem für Berater und Dienstleister interessant, die kein Lizenzgeschäft adressieren.

Des Weiteren bietet der Hersteller seinen Partnern Schulungen Demo-Versionen, gemeinsame Veranstaltungen sowie Marketingunterstützung an.

Besonderer Vorteil ist laut Franz Weber, Geschäftsführer und CEO bei CyberTrap, dass Deception ein noch neues und kaum bekanntes Security-Thema ist. Reseller können ihm zufolge hier noch Marktsegmente besetzen und treffen wenig Konkurrenz im Mittelstand.

Was ist der Unterschied zwischen Deception und Honeypots?

Die Honeypot-Strategie gilt als eine der ältesten Schutzmaßnahmen im Bereich der IT-Sicherheit. Denn schon vor über 25 Jahren wollten Unternehmen nicht nur ihre Daten schützen, sondern auch die Cyberkriminellen dingfest machen, um künftige Attacken verhindern zu können.

Mithilfe der Honeypots als Fallen, locken die Lösungen Cyberangreifer auf eine falsche Fährte. Die Honeypots sind entweder Einzelcomputer oder Computersysteme, die Cyberangriffsziele emulieren. Um zu erreichen, dass sich Angreifer für die in Aussicht gestellte Beute, zum Beispiel Kunden- oder Bankdaten, Passwörter, Wirtschaftsinformationen, interessierten, konfigurieren Hersteller beim Honeypot oft bekannte Schwachstellen, die als verlockendes und einfach zu knackendes Ziel.

Bis vor einiger Zeit waren Honeypots noch State-of-the-art, um Angreifer in Fallen zu locken. Doch CyberTrap zufolge sind Honeypots nicht mehr zeitgemäß. Honeypots sind sehr statisch und decken im Netzwerk nur das ab, was physisch intalliert werden kann. Deception hingegen deckt deutlich mehr Angriffsvektoren ab und identifiziert Angreifer innerhalb von drei bis vier Seitwärtsschritten.



CyberTrap Pro und CyberTrap Enterprise

CyberTrap ist eine multimandantenfähige SaaS-Lösung für Unternehmen jeglicher Größe. Sie ergänzt die bestehende IT-Infrastruktur um zusätzliche Systeme, die ausschließlich als Fallen für Cyberangreifer dienen. Auf den Fallen ermöglicht der Monitoring Agent detaillierte Analysemöglichkeiten, um die Techniken und Taktiken der Angreifer zu analysieren. Über RestAPI können alle Informationen und Daten in die jeweiligen Analysetools der Partner fließen.

Um den unterschiedlichen Anforderungen von großen Unternehmen und KMU gerecht zu werden, hat der Hersteller zwei unterschiedliche Versionen der Deception-Lösung entwickelt: Enterprise und Pro.

Mit Enterprise erhalten Partner den vollen Funktionsumfang der Deception-Technologie. Per Design Workshops passt CyberTrap die Köder maßgeschneidert an die IT-Landschaft des Endkunden an. Im Gegensatz dazu ist die Pro-Version für kleine und mittelständische Unternehmen adaptiert. Hier werden nicht alle Funktionen benötigt, sodass die Deception Services auf die Port Listener RDP, SSH, SMB und TCP begrenzt sind.

Was ist ein Port Listener?

Für die Kommunikation in IP-Netzen benötigen Unternehem Ports. Wenn in einem Netzwerk eine Anwendung einen Service bereitstellt, öffnet sie dafür einen Port. Dieser geht in den Status „Listen“, er hört also zu und wartet auf Verbindungsversuche.



Deception liefert forensische Daten über den Angreifer in Echtzeit. Die Daten müssen nicht kostenintensiv nach einem Vorfall post mortem ermittelt werden.

Carsten Keil, Sales Director bei CyberTrap

Mithilfe der Technologie können Unternehmen das Verhalten von Cyberangreifern besser verstehen. „Als ‚low-hanging-fruit‘ halten interne Angreifer die Köder für leichte Ziele und gehen den Weg des geringsten Wiederstandes. Das machen wir uns zu Nutze in dem wir nicht alle Türen fest abschließen“, sagt Timo Bertsch, IT-Security Consultant beim Managed Service Provider und CyberTrap-Partner Twinsec.

Um die Angreifer in die Fallen zu locken, werden Köder auf den Systemen des Produktivnetzwerks, den Endpoints, ausgerollt. Bei den Fallen handelt es sich um echte und authentische Systeme, keine Simulationen oder Emulation. Die Cyberkriminellen können hier keinen Schaden anrichten, da sie nur systemtypische, aber gefälschte Daten wie Passwörter und Informationen über Services vorfinden. „Um ein Höchstmaß an Sicherheit zu erreichen, empfehlen wir auf allen Endpoints verschiedene Köder, passend zu den Gegebenheiten in verschiedenen Abteilungen zu verteilen“, ergänzt Weber.

CyberTrap unterscheidet darüber hinaus zwischen Endpoint, Web Application und Active Directory Deception. Alle drei Techniken haben gemein, dass sie den Cyberangreifer von den produktiven Services ablenken und ihn auf die täuschend ähnlichen Server locken wollen.

Bei der Active Directory Deception gaukelt die Lösung dem Angreifer vor, dass sich ein Benutzer mit besonderen Rechten für die zentrale IT-Verwaltung auf einem System befindet. Dadurch wird das System zu einem verlockenden Ziel für den Kriminellen.

Die Endpoint Deception fasst mehrere Services wie Remote Access, Datenbanken, Datenhaltung oder Authentifizierung zusammen und verwendet diese zur Täuschung.

Und die Web Application Deception bietet CyberTrap an, um Internet-Präsenzen oder Web Applications hinsichtlich krimineller Aktivitäten überwachen zu können. Dabei wird die produktive Umgebung mit Ködern versehen, die den Cyberangreifer auf ein Fallensystem umleiten.

Ergänzend bietet der Hersteller mit dem TrackDown Service eine Deception für Dokumente an. Hierbei handelt es sich um echt aussehende PDFs oder MS Office. Diese werden mit einem Beacon versehen und auf Endgeräten abgelegt. Sobald diese Dokumente das Unternehmen verlassen und der Dieb sie öffnet, erhalten die Unternehmen einen Alarm sowie Informationen in das Dashboard eingespielt über den Diebstahl und die Art der Entschlüsselung.

Was ist ein Beacon?

Ein Beacon ist im ursprünglichen Sinn eine Funkstelle, die zur Navigation Funkwellen aussendet, anhand derer sich Positionen bestimmen lassen. In der IT können Beacons kleine Bluethooth-Sender, Statusnachrichten in einem WLAN oder Zählpixel in einer Nachricht oder auf einer Webseite sein. Die Beacons enthalten Pakete mit Informationen zum Beispiel über den Netzwerknamen, die Übertragungsraten und die Art der verwendeten Verschlüsselung.

Genauere Informationen über die Einsatzmöglichkeiten eines Beacon finden Sie hier.

Carsten Keil, Sales Director bei CyberTrap
Carsten Keil, Sales Director bei CyberTrap
(Bild: FOTOSHOP SCHALLENBERG)

Der Installationsaufwand der Pro-Version ist geringer und die Anzahl der Endgeräte, die mit Ködern versehen werden können, auf 900 begrenzt. Ebenso entfallen Enterprise-Funktionen wie die Anbindung von SIEM-Systemen, da diese in kleineren Unternehmen meist nicht verwendet werden. „Die Pro-Version ist für KMU ideal, da diese dank unserer budgetfreundlichen Konditionen ein neues Sicherheitsniveau erreichen können“, sagt Carsten Keil, Sales Director bei CyberTrap.

Managed Services mit Deception

Für diese kleinen Unternehmen oder Unternehmen die kein Security Operations Center (SOC), wenig Security Knowhow oder kaum IT-Personal haben, spielen Managed Security Services (MSS) eine wesentliche Rolle. Daher legt CyberTrap einen besonderen Fokus auf Managed Services mit Deception.

Die Partner können hier als Berater beim Design der Deception-Umgebung aktiv werden. Außerdem übernehmen sie den Betrieb der Lösung bei den Endkunden sowie die Analyse der Alarme.

„Wir suchen Partner im Channel, die ihren Kunden Managed Services anbieten und mit Deception einen weiteren Baustein in ihrem Security-Portfolio aufnehmen wollen“, sagt Weber.

Das österreichische Systemhaus Anovis setzt die Lösung von CyberTrap bereits als Ergänzung zu Managed Services für die IT-Infrastruktursicherheit sowie als Stand-alone-Lösung ein. Laut Gerhard Iby, Head of Sales bei Anovis, ergibt sich daraus rasch „ein greifbarer Mehrwert in Bezug auf Sichtbarkeit und Erkennungsgeschwindigkeit von Cyberangriffen“.

Deception als Ergänzung

Doch wie grenzt sich die Lösung nach eigener Darstellung zur Konkurrenz Attivo oder Illusive ab? „Zum einen sind wir ein europäischer Hersteller und fokussieren uns auf den DACH-Markt und Europa, anders als bei den amerikanischen und israelischen Unternehmen“, argumentiert Weber. „Unsere Support-Mitarbeiter und Entwickler sprechen deutsch und englisch. Außerdem arbeiten unsere Köder komplett ohne Agenten und wir brauchen keine Adminrechte, um sie in der IT-Landschaft zu platzieren.“

Wollen Unternehmen eine Deception-Lösung einsetzen, müssen sie nicht alle anderen Produkte, die sie für viel Geld gekauft haben, auf den Müll werfen. „Wir haben grundsätzlich die Philosophie: Deception ergänzt und ersetzt keine anderen Lösungen“, sagt Keil.

Als Ergänzung zu Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR) eignet sich Deception laut Weber sehr gut. „Während EDR und XDR meist die Erkennung oder Abwehr als Ziel haben, bietet Deception ergänzend die Möglichkeit zur Analyse des Angriffs und die Bestimmung des Angreifers. Die daraus gewonnenen Erkenntnisse lassen sich dann in anderen Security-Lösungen verwenden.“

Dem stimmt auch Bertsch zu: „EDR passt gut zur Deception-Technologie und ist häufig ein Projekt auf dem Weg zum SIEM. Deception ermöglicht es, von Anfang an Angreifer im Netz zu finden und kann nach Abschluss des Aufbaus für ein SIEM als hoch gewichtete Datenquelle angebunden werden.“

Die eigene Lösung entwickelt CyberTrap ebenfalls ständig weiter. Aktuell arbeitet der Hersteller an der Version 3, mit der die Analyse der Methoden der Cyberangreifer automatisiert erfolgen soll. „Angriffe werden hinsichtlich der Angreifer, den Angriffsphasen, Taktiken und Techniken analysiert, klassifiziert und aggregiert“, erklärt Weber. „Das reduziert den Aufwand für den Analysten. Außerdem kommen weitere Services hinzu, zum Beispiel aus dem OT-Bereich.“

Die baldige SaaS-Version soll es den Partnern ermöglichen, ihre Kunden schnell an die Deception-Plattform von CyberTrap anzubinden und diese in ihr Service-Portfolio zu integrieren.

Gemeinsam mit dem technischen Verband VGB hat CyberTrap bereits eine Lösung für den OT-Bereich (Operational Technology) entwickelt und wird diese auf der „VGB Conference Digitalization in Hydropower“ vorstellen.

(ID:47608502)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH