BLOG_Der Einsatz von Deception- Technologien für die aktive Abwehr von Bedrohungen

27.05.2019

Deception-Technologien zur Erkennung von Bedrohungen setzen sich mehr und mehr durch. Dies liegt vor allem an den großartigen Vorteilen, die diese Technologien gegenüber anderen Maßnahmen zur Erkennung von Bedrohungen bieten. Hierzu zählen unter anderem die hochpräzisen Warnme

Deception-Technologien zur Erkennung von Bedrohungen setzen sich mehr und mehr durch. Dies liegt vor allem an den großartigen Vorteilen, die diese Technologien gegenüber anderen Maßnahmen zur Erkennung von Bedrohungen bieten. Hierzu zählen unter anderem die hochpräzisen Warnmeldungen sowie die einfache Bereitstellung und Verwaltung dieser Lösungen. Doch obgleich der Nutzen dieser Anwendungen offensichtlich ist, versäumen es viele Unternehmen, das volle Potenzial der Deception-Technologien auszuschöpfen. Sie lassen die Gelegenheit verstreichen, auf ihren bestehenden Ansatz für die Erkennung von Bedrohungen aufzubauen und ihre eingesetzten Lösungen zu nutzen, um bessere Ergebnisse zu erzielen, Maßnahmen schneller einzuleiten und Risiken zu minimieren.

Keine Fehlmeldungen mehr

Eines der größten Probleme der verschiedenen Deception-Technologien am Markt ist die hohe Zahl an False-Positives. Andere Lösungsanbieter versuchen wiederum, die Zahl der erzeugten Fehlmeldungen zu reduzieren oder die Meldungen zu konsolidieren. Dabei sind False-Positives für Deception-Technologien eigentlich überhaupt kein Problem. Wann immer eine Deception-Technologie einen Alarm auslöst, wissen Sie, dass der Alarm korrekt ist und dass Sie so schnell wie möglich Maßnahmen ergreifen müssen. Letztlich hat niemand in Ihrem Unternehmen Zugriff auf die Täuschungsebene, sodass jeder Zugriffsversuch als verdächtig oder schadhaft betrachtet und auch so behandelt werden sollte – und zwar unmittelbar.

Schnelle Schadensbegrenzung

Wenn Ihr SOC oder Ihr Sicherheitsteam eine Warnmeldung erhält, kann es unmittelbar feststellen, welches Asset in Ihrer Infrastruktur betroffen ist und dann eine oder mehrere Maßnahmen einleiten:

  • mit der Suche und der Abwehr der Bedrohung beginnen,
  • in der SIEM-Lösung nach weiteren Events suchen und diese in Zusammenhang stellen sowie
  • eine Regel an die Firewall senden, um den infizierten Endpunkt zu blockieren und zu vermeiden, dass Daten ausgeschleust werden können, etc.

Die beste Reaktion auf eine Warnmeldung ist es jedoch, den Prozess, der auf dem infizierten Endpunkt aktiv ist und der den Zugriff auf die Täuschungsebene ausgelöst hat, korrekt zu identifizieren. Es gibt mehrere Möglichkeiten für Angreifer, einzudringen – sei es durch eine Remote-Infektion oder durch die Nutzung von Benutzerzugriffsdaten, die als vertrauenswürdig erachtet werden. Auch der infizierte Endpunkt kann mit der Täuschungsebene auf verschiedene Art und Weise kommunizieren. Er kann beispielsweise auf eine Server-Anfrage reagieren oder zum Man-in-the-Middle (MITM) werden. Der Decoy kann relevante Informationen darüber zu sammeln, wie das infizierte Asset mit dem Decoy kommuniziert, und kann die infizierte IP-Adresse sowie den Quell-TCP-Port erkennen, der für den initialen Zugriff genutzt wurde.

Automatisierte Reaktion auf Ereignisse

Wenn Sie Deception-Technologien ausschließlich für die Erkennung von Bedrohungen nutzen, greift dies zu kurz. Wenn Unternehmen Deception-Technologien lediglich als Möglichkeit zur Erkennung von Bedrohungen betrachten, lassen sie sich unweigerlich die größten Vorteile dieser Anwendungen wie beispielsweise die automatisierte Schadensbegrenzung oder Reaktion auf sicherheitsrelevante Vorfälle entgehen.

Der optimale Ansatz ist es, die oben aufgeführten Informationen der Täuschungsebene automatisiert zu sammeln, den Analyse- und Forensik-Prozess zu starten und die Aktivitäten des Angreifers zu stoppen. Die Analyse des infizierten Assets beginnt damit, den Prozess zu identifizieren, der mit der Täuschungsebene kommuniziert, sowie alle Aktivitäten des Angreifers im Unternehmensnetzwerk und alle Zugriffe auf weitere Assets und das Internet aufzudecken. Dann können Unternehmen die Aktivitäten der Angreifer stoppen. Sie können entweder den infizierten Prozess beenden, damit das Asset im Netzwerk weiterhin aktiv bleiben kann, oder den Prozess blockieren und so jegliche weitere Kommunikation im Netzwerk verhindern. Eine dritte Möglichkeit ist es, das Asset in Quarantäne zu nehmen.

Noch besser wäre es, auch alle bisherigen Aktivitäten des Angreifers abzubilden und automatisiert detaillierte, forensische Informationen zusammenzustellen. So kann das Sicherheitsteam sehen, welche anderen Ziele der Angreifer – nach oder vor der Erkennung und Schadensbegrenzung – noch vor Augen hatte (retrospektive Analyse).

Dieser Ansatz erfordert eine Komponente, die entweder auf dem Endpunkt installiert wird, oder eine Komponente, die in der Lage ist, mit dem Endpunkt so zu kommunizieren, sodass alle oben aufgeführten Informationen einschließlich der bisher hinterlassenen Spuren abgerufen werden können. Dies gibt Unternehmen letztlich die Möglichkeit, den gesamten Prozess der Erkennung von Bedrohungen und der Schadensbegrenzung automatisiert und ohne manuelle Eingriffe durchzuführen.

Fidelis Deception unterstützt den oben aufgeführten Ansatz und nutzt die Vorteile dieser Architektur. Die Lösung kann als eigenständiges Produkt oder auch im Zusammenspiel mit Fidelis Endpoint eingesetzt werden. Fidelis Deception kann Fidelis Endpoint über den Angreifer, der auf den Decoy oder die EDR-Lösung (Endpoint Detection and Response) zugreift, informieren – basierend auf verschiedenen Playbooks. Zudem kann Fidelis Deception die erforderlichen Maßnahmen ergreifen, um die Aktivitäten der Angreifer zu blockieren und so den Schaden für das Unternehmen zu minimieren.

Fidelis Endpoint ist eine vollwertige EDR-Lösung, die kontinuierlich Informationen über den Zugriff auf Dateien, Systeme, Netzwerkverbindungen, Registry-Einträge, etc. sammelt. Zudem ergreift Fidelis Endpoint verschiedene Maßnahmen zur Schadensbegrenzung und kann beispielsweise infizierte Assets in Quarantäne nehmen, einen Prozess, der mit einem Decoy kommuniziert, beenden, das infizierte Asset stoppen und mehr. Mit Fidelis Endpoint können Sie dank vordefinierter Skripts und Playbooks automatisiert auf Angriffe reagieren oder Skripts und Playbooks für ihre spezifische IT-Umgebung erstellen und anpassen.

Roland Messmer - Sales Director Central Europe