Deception: Teil 3/4 - Verwendung von File & Data Breadcrumbs für intelligente Deception

01.03.2018

File & Data BREADCRUMBS, TEIL 3 EINER SERIE VON VIER BEITRÄGEN Wir haben Active Directory und Credential Breadcrumbs in den vorherigen Posts 1 und 2 behandelt. Jetzt schauen wir uns File & Data Breadcrumbs an und wie sie wichtige Elemente in Ihrem intelligenten ...

File & Data BREADCRUMBS, TEIL 3 EINER SERIE VON VIER BEITRÄGEN

Wir haben Active Directory und Credential Breadcrumbs in den vorherigen Posts 1 und 2 behandelt. Jetzt schauen wir uns File & Data Breadcrumbs an und wie sie wichtige Elemente in Ihrem intelligenten Deception-Programm sein können und sollten.

Cyber-Angriffe sind Prozesse, die mehrere Systeme in einem Unternehmen kompromittieren, instrumentalisieren und ausnutzen. Das sind keine Einzelereignisse. Wenn Angreifer ein Asset kompromittieren, wissen sie nicht, welches Asset infiziert ist; sie müssen feststellen, wo sie sich im Netzwerk befinden, wie die Netzwerkstruktur aussieht und wo sie wertvolle Informationen finden können. Das bedeutet, dass Angreifer sorgfältig versuchen, so viel wie möglich über die Organisation herauszufinden. Genau dieses Verhalten kann intelligente Deception-Technologie ausnutzen, um Angreifern entgegenzuwirken und Organisationen zu schützen.

Die Besonderheiten von File & Data Breadcrumbs („Brotkrumen“)

File-basierte Brotkrumen sind einige der einfachsten und vielseitigsten Täuschungselemente, die es gibt. Datei- und Daten-Breadcrumbs können Täuschungselemente wie Dokumente, E-Mails, Datenbankeinträge und Links zu aktuellen Dateilisten enthalten, die auf freigegebene Ordner auf den Täuschungssystemen verweisen. Dokumente, die auf realen Maschinen erstellt und platziert werden, enthalten Informationen über Ködersysteme, die für Angreifer interessant erscheinen. Sie können auch Passwörter und Anmeldeinformationen enthalten – wie z. B. Server und Konten in der Organisation -, die verlockende Ziele und Möglichkeiten zur Aufklärung potenzieller Angreifer schaffen. Da jede Organisation anders ist, ist es ideal, wenn diese Datei- und Daten-Breadcrumbs so real wie jeder andere Unternehmenscontent erscheinen. Dokumente, Namenskonventionen und Vorlagen sollten mit den tatsächlichen Logos und Benutzernamen des Kunden angepasst werden und gleichzeitig auf Köder zeigen.

Gängige Beispiele sind unter anderem:
  • Eine Textdatei einer Anwendungskonfiguration, die einen Benutzernamen und ein Passwort enthält.
  • Ein technisches Dokument, das für jedes Unternehmen typisch ist, wie z.B. Anweisungen zur Verbindung mit dem VPN des Unternehmens.
  • IT/Unternehmensdokumente (txt, doc, xls pdf, etc.)

Wenn ein Angreifer auf Dokumente, E-Mails oder andere Daten zugreift, die in solchen Brotkrumen enthalten sind, werden sie in Richtung Köder und weg von geschützten Systemen geleitet. Dies hat den Effekt, dass sowohl der Fußabdruck des Angreifers vergrößert, als auch der Versuch, sensible Informationen zu lokalisieren, vereitelt wird.

Ein Wort über Emails

E-Mail-Nachrichten spielen eine wichtige Rolle als Brotkrumen in einem Täuschungssystem. Trotz der Leichtigkeit, mit der E-Mails gelesen werden können, werden sie nach wie vor intensiv genutzt, um sensible Daten von einer Person zur anderen zu übertragen. Mit anderen Worten: E-Mails stehen aufgrund der sensiblen Daten, die sie allzu oft enthalten, oft ganz oben auf der Erkundungsliste eines Angreifers. Darüber hinaus werden E-Mails häufiger von den Angreifern selbst abgerufen anstatt von automatischer Malware, die sie eingesetzt haben. Dies verleiht E-Mails ein hohes Maß an Glaubwürdigkeit (bei Angreifern) und macht sie zu exzellenten Täuschungsmanövern.