Blog: Die Umsetzung von Deception-Technologien – Architektur, Vorteile und Herausforderungen

17.04.2019

Deception-Technologien sind ein noch relativ neues Feld in der Sicherheitstechnik. Sie bieten Unternehmen die Möglichkeit, die Angriffsstrategien der Cyberkriminellen für die eigene Verteidigung zu nutzen – und damit das Blatt zu wenden. Die Architektur und die Einsatzmöglich....

Deception-Technologien sind ein noch relativ neues Feld in der Sicherheitstechnik. Sie bieten Unternehmen die Möglichkeit, die Angriffsstrategien der Cyberkriminellen für die eigene Verteidigung zu nutzen – und damit das Blatt zu wenden. Die Architektur und die Einsatzmöglichkeiten von Deception-Technologien können dabei stark variieren. Für Unternehmen ist es deshalb wichtig, die verschiedenen Deception-Architekturen, ihre Vorteile und möglicherweise auftretende Herausforderungen zu verstehen.

Eine Deception-Architektur sollte sich unter anderem mit den folgenden Aspekten von Täuschungsmanövern befassen:

1. Die kontinuierliche Erfassung relevanter Informationen in Ihrer IT-Umgebung
Um eine effektive Täuschungsebene aufzubauen, müssen Sie Ihre Umgebung genau kennen. Die Informationen zu Ihrer IT-Landschaft können Sie mit den folgenden Methoden erfassen:

a. Scanner: Nutzen Sie einen Scanner und dessen Ergebnisse, um Ihre IT-Umgebung zu verstehen. Die Genauigkeit dieser Informationen hängt von der Leistungsfähigkeit des Scanners ab, Assets, Anwendungen, angebundene Systeme sowie Subnetze zu analysieren.

b. Active Directory und Asset-Datenbanken: Ihr Active Directory und Ihre Asset-Datenbank liefert Informationen zu den Assets, die der IT-Abteilung bekannt sind. Geräte und Systeme, die in das Netzwerk eingebunden, jedoch im Active Directory oder in der Datenbank nicht aufgeführt sind, sind damit jedoch nicht abgedeckt.

c. Analyse von Multicast- und Broadcast-Paketen: Die Analyse von Multicast- und Broadcast-Paketen bietet einige Informationen zu den Assets, liefert jedoch nur spärliche Kenntnisse über die gesamte IT-Umgebung, die Assets und die Anwendungen.

d. Profilierung und Klassifizierung: Untersuchen Sie den Datenverkehr Ihres Unternehmens, um das Netzwerk, die Assets, die Anwendungen und alle aktiven Geräte im Netzwerk zu profilieren und zu klassifizieren. Dies liefert Ihnen umfassende Kenntnisse über Ihre geschützte IT-Umgebung.

2. Die Arten von Decoys
Grundsätzlich gibt es heute zwei Arten von Ködern: Emulierte Decoys und echte Betriebssystem-Decoys.

a. Emulierte Köder sind ein sehr präzises Alarmsystem zur Erkennung von Angreifern, die bereits in die IT-Umgebung eines Unternehmens eingedrungen sind. Die emulierten Köder lassen sich sehr einfach skalieren und benötigen kaum Ressourcen – auch, wenn Tausende von ihnen eingesetzt werden. Emulierte Köder nehmen die initiale Verbindung mit den Angreifern auf und kommunizieren bis zu einem gewissen Punkt mit ihnen. Verbindet sich ein Angreifer beispielsweise mit einem emulierten FTP-Server, kann er sich am Server anmelden und sich dann im Dateisystem bewegen, Dateien lesen und Dateien schreiben. Obwohl Angreifer diese Decoys leichter entdecken können als Betriebssystem-Decoys, weiß ein Unternehmen damit bereits, welche Assets infiziert sind und mit den emulierten Ködern kommunizieren.

b. Echte Betriebssystem-Decoys sind eine gute Möglichkeit, um Angreifer in Schach zu halten. Eine Skalierung ist jedoch kostspielig. Unternehmen sollten ihre vorhandenen Ressourcen nutzen, um sicherzustellen, dass Angreifer diese Systeme nicht kompromittieren können.

3. Die Automatisierung von Täuschungsmanövern

Der Aufwand für den Aufbau, die Bereitstellung und die Pflege einer Täuschungsebene kann erheblich sein. Eine gute Lösung setzt Automatisierungsmechanismen ein, die auf der vollständigen Kenntnis der IT-Umgebung sowie den Veränderungen, die in der geschützten Umgebung auftreten, basieren Nur so ist sichergestellt, dass die Täuschungsebene immer auf dem aktuellsten Stand ist und für den Angreifer echt aussieht.

4. Die Anpassung der Täuschungsebene

Die Täuschungsebene sollte sich an die Veränderungen in der IT-Umgebung wie beispielsweise die Nutzung zusätzlicher Subnetze, Anwendungen und Gerätetypen anpassen lassen. Dies umfasst die gesamte „zu schützenden IT-Umgebung“. Je genauer eine Lösung die IT-Umgebung kennt, desto besser kann sie die Täuschungsebene an mögliche Veränderungen anpassen.

Fidelis Deception – wissen, was Sie schützen

Fidelis Deception ist eine einzigartige Lösung, die alle Assets des Unternehmens kontinuierlich profiliert und klassifiziert. Die Lösung erlernt die Umgebung und erstellt automatisch einen genauen Überblick, der folgende Komponenten einbezieht:

  • Die Netzwerke und Subnetze, die im Einsatz sind
  • Die verschiedenen Assets, die in einem Netzwerk vorhanden sind – die umfasst auch IoT-Devices
  • Die in einem Unternehmen eingesetzten Anwendungen
  • Die Kommunikationsmuster eines Unternehmens
  • Die verwendeten Netzwerkserver (DNS, Proxy, etc.)

Um dieses Niveau an Wissen über die IT-Umgebung eines Unternehmens zu erlangen, überprüft die Plattform kontinuierlich und passiv den Datenverkehr.

Bitte beachten Sie: Ein wesentlicher Vorteil dieses Ansatzes beruht – im Gegensatz zu anderen Lösungen – darauf, dass alle Geräte, die im Netzwerk kommunizieren, profiliert und klassifiziert werden und über eine entsprechende Täuschungsebene verfügen. Dieser Ansatz basiert nicht auf Scannern, auf der aktiven Präsenz im Netzwerk oder auf Broadcast- und Multicast-Paketen und unvollständigen Asset-Datenbanken.

Angreifer haben keine Möglichkeit zu erkennen, dass der Datenverkehr überwacht wird, da dieses Monitoring außerhalb des üblichen Rahmens und ohne jegliche Aktivitäten im Netzwerk stattfindet, und auf Anfragen oder Protokolle, die Datenpakete im Netzwerk austauschen, nicht reagiert.

Aufbau und Anpassung der Täuschungsebene

Kennen Sie Ihre IT-Umgebung, können Sie sie auch schützen, wenn Sie sie entsprechend anpassen. Fidelis leistet dies dank der Profilierung und Klassifizierung. Es ist ganz einfach, eine Täuschungsebene mit Decoys, Anwendungen, Breadcrumbs und einer Integration in das Active Directory aufzusetzen. Die genaue Kenntnis der IT-Umgebung ermöglicht es, eine Täuschungsebene automatisiert aufzubauen und kontinuierlich an die Veränderungen anzupassen. Fidelis Deception bietet sowohl emulierte Köder als auch echte Betriebssystem-Decoys für ein und dieselbe Umgebung, um verschiedene Anwendungsfälle abdecken zu können.

Integrieren Sie Deception-Technologien für eine umfassende Transparenz im Netzwerk

Fidelis Deception ist ein Stand-alone-Produkt, das Sicherheitsverantwortlichen einen genauen Überblick über Lateral Movement, das heißt, die Bewegung von Angreifern im Netzwerk, sowie alle Endpunkte, auf denen kein Agent eingesetzt werden kann, verschafft. Hierzu zählen beispielsweise Legacy-Systeme, IoT-Devices oder auch Schatten-IT. Fidelis Deception lässt sich vollständig in die Plattform Fidelis Elevate integrieren und bietet – im Zusammenspiel mit Fidelis Network – umfassende Transparenz über den Datenverkehr an verschiedenen Punkten in Netzwerk- und Cloud-Umgebungen.

Doron Kolton - Chief Strategy Officer – Emerging Technologies / Roland Messmer - Sales Director – Central Europe