„Capture the flag“ oder die Wissenslücke hilft, Angreifer abzuwehren

01.05.2018

„Capture the flag“ Übungen zeigen, wie schnell Angreifer eine neue Netzwerkumgebung erlernen müssen, um ihren Geräuschpegel zu reduzieren und der Erkennung zu entgehen. Dies setzt die Verteidigung von Cyberangriffen in den ersten Stunden oder Tagen unter Druck, wenn Angreifer...

„Capture the flag“ Übungen zeigen, wie schnell Angreifer eine neue Netzwerkumgebung erlernen müssen, um ihren Geräuschpegel zu reduzieren und der Erkennung zu entgehen. Dies setzt die Verteidigung von Cyberangriffen in den ersten Stunden oder Tagen unter Druck, wenn Angreifer wahrscheinlich aktiver sind. Dieses Konzept wird als “ Knowledge Gap “ bezeichnet und ist oft ein Schlüsselelement in Kriegsspielen und Cyberübungen. Wenn ein Angreifer oder Gegner mehr über die Umgebung erfährt, verringert er seine Wissenslücke und wird effektiver und ausweichender.

Das Knowledge Gap als Verteidungsmechanismus

Die Wissenslückenhypothese wurde ursprünglich 1970 von drei Forschern der University of Minnesota vorgeschlagen, um zu erklären, dass Wissen, wie andere Formen von Reichtum, oft differenziert über ein soziales System verteilt ist. Ihre Forschung untersuchte die Auswirkungen der Massenmedien und wie unterschiedliche Ebenen des sozioökonomischen Status dazu neigen, Informationen schneller zu gewinnen, um eine Wissenslücke zu schaffen. In der traditionellen oder Cyber-Kriegsführung ist Aufklärung eine wichtige Fertigkeit, bei der das Wissen über ein gewünschtes Ziel vor und während eines Angriffs die Wissenslücke des Angreifers verringert und ihm hilft, einen Angriff effektiv durchzuführen.

Wie können wir also die Wissenslücke gegenüber Angreifern vergrößern?

Zu wissen, was Angreifer wünschen, bietet die Möglichkeit einer aktiven Verteidigung, um diese zu anzulocken, zu entdecken und sich so zu verteidigen. Deception Defenses bieten Köder oder Brotkrumen mit den gesuchten Informationen, um Angreifer mit hochgradig interaktiven Diensten zu locken. Deception Abwehrsysteme müssen so realistisch wie möglich sein, um effektiv und Zeit raubend zu sein, sowie dynamisch in der Natur, um die Wissenslücke gegen Angreifer zu vergrößern. Je mehr Angreifer auf eine Täuschungsschicht einwirken und sich über diese informieren, desto weniger wissen sie über reale Werte, Ressourcen und Ihre Daten.

Erfahrungen aus einer „Capture the Flag“ Übung

Wie bereits eingangs erwähnt, zeigen die Capture the Flag Übungen, wie schnell Angreifer eine Netzwerkumgebung erlernen können, um den Geräuschpegel zu reduzieren und der Erkennung zu entgehen. Fidelis Cybersecurity hat vor kurzem eine Capture the Flag Übung mit über 50 White-Hat Hackern abgeschlossen, die aufgefordert wurden, fünf Informationen zu finden, um die Aufgabe zu lösen. Die Übung beinhaltete eine Täuschungsschicht mit einer Vielzahl von Brotkrumen und Ködern. Nachfolgend ist eine Grafik dargestellt, die die fünf Phasen der Übung zeigt und verdeutlicht, wie sich die Anzahl der Befehle auch bei immer mehr technischen Herausforderungen reduziert.

The Knowledge Gap

Das Schaubild zeigt, wie bei der ersten Challenge im Durchschnitt 600 Befehle zur Suche nach einer Information über ein infiziertes System verwendet wurden, die den Herausforderern als Einstiegspunkt für die Übung zur Verfügung gestellt wurde. Im Laufe der fünf Phasen, in denen sich die Wissenslücke verringerte, reduzierten White-Hat-Hacker den Aufwand auf durchschnittlich nur 14 Befehle für die fünfte und anspruchsvollste Information.

Interessanterweise wurde den Teilnehmern vor Beginn der Herausforderung ein Mission Briefing zur Verfügung gestellt, in dem wichtige Informationen darüber enthalten sind, wie man die erste Information erhält. Diejenigen, die den Brief gelesen haben, zeigten deutlich, dass sich ihre Arbeit mit durchschnittlich weniger als 100 Befehlen bezahlt gemacht hat, um die erste Information zu erhalten. Doch selbst diejenigen, die den Missionsauftrag ignorierten, hatten erst bei der fünften Herausforderung ihren Geräuschpegel und ihre Sichtbarkeit deutlich reduziert.

Was ist daraus zu lernen?

Was wir aus dem Konzept der Übungs- und Wissenslücke lernen, ist, dass Angreifer mit der Zeit leiser werden und schwerer zu erkennen sind. Daher ist die Früherkennung von entscheidender Bedeutung, wenn Angreifer am stärksten gefährdet und dabei sind, eine neue Netzwerkumgebung zu erlernen. Wir können die Wissenslücke gegen Angreifer mit dynamischen und intelligenten Deception-Systemen vergrößern, die Angreifer dazu bringen, ihre Angriffe abzulenken und zu verlangsamen, um so kritische Zeit zu gewinnen und die Wissenslücke zu vergrößern.

roland.messmer@fidelissecurity.com