BLOG_Der Einsatz von Täuschung (Deception) und die Strategie „Moving Target Defense“

19.06.2019

Der chinesischer General, Militärstratege und Philosoph Sun Tzu erklärte, dass „jede Kriegs-führung auf Täuschung beruht“. Wir erweitern Sun Tzus Prinzip der Kriegsführung und modifizieren seine Aussage leicht: „Jede Kriegsführung basiert auf richtig konzipierter Täuschung“....

Der chinesischer General, Militärstratege und Philosoph Sun Tzu erklärte, dass „jede Kriegs-führung auf Täuschung beruht“.

Wir erweitern Sun Tzus Prinzip der Kriegsführung und modifizieren seine Aussage leicht: „Jede Kriegsführung basiert auf richtig konzipierter Täuschung“. Denn letztlich ist Täuschung nutzlos, wenn sie die Zielsetzung nicht optimal unterstützt: Ein Täuschungsmanöver soll den Angreifer in eine Sackgasse führen, ihn in eine Falle locken, ihn verwirren. Das ist, kurz gesagt, das Konzept der Täuschung – die Kunst, den Angreifer dazu zu bringen, sich zu verzetteln und sich zu enttarnen.

Um die Absichten eines Angreifers durchkreuzen und ihn fehlleiten zu können, müssen Sie sich in seine Rolle versetzen. Das heißt, Sie müssen vollkommene Transparenz schaffen, die richtigen Zusammenhänge herstellen, die Absichten des Angreifers verstehen und dann Maßnahmen ergreifen, um so den Aufwand und die Kosten für den Angreifer drastisch zu erhöhen. Der erste Schritt dabei ist es, Ihre IT-Umgebung zu verstehen – oder wie Sun Tzu es ausdrückte: „Wenn Du Deinen Feind und Dich selbst kennst, musst Du den Ausgang von 100 Schlachten nicht fürchten.“ Um dies zu erreichen, sollten Unternehmen sich nicht nur auf den Schutz ihrer wichtigsten Assets konzentrieren, sondern auf alle Assets, die ins Visier eines Angreifers geraten könnten. Hierzu müssen sie wissen und verstehen, welche Ziele der Angreifer anvisiert und wie der Gegner ihre IT-Umgebung betrachtet.

Den Angreifer und seine Aktivitäten verstehen

Wir betrachten die Welt als Gelände, denn hier wird die Kämpfe ausgetragen. Wie ein Gegner Ihre Umgebung sieht, ist ein wesentlicher Bestandteil dessen, wie Sie diese verteidigen sollten. Sieht man einmal von Insider-Bedrohungen ab, beginnen externe Angreifer ihren Vormarsch oft mit einem Aufklärungsangriff aus einer Grauzone des Internets heraus (Bereiche des Cyberspace, die sich nicht zuordnen lassen oder im Verborgenen liegen) und versuchen, in das Unternehmensnetzwerk einzudringen. Überwindet ein Gegner die Begrenzungen des Unternehmensnetzwerks, sucht er nach Informationen, die ihn bei der Durchführung seines Angriffs unterstützen. Er stellt sich Fragen wie: Welche Ports sind offen? Welche Protokolle und welchen IP-Adressraum nutzt das Unternehmen? Sind DNS-Angriffe möglich? Was ist verfügbar? Gibt es Schwachstellen, die aktuell bekannt oder veröffentlicht sind und ausgenutzt werden können?

Um sich seinem beabsichtigten Ziel zu nähern – seien es Endpunkte, ERP- oder Finanzsysteme – sucht Ihr Gegner typischerweise einen effektiven Weg, wie er an das Asset gelangen kann. Bevor Sie also auf die Suche nach Bedrohungen gehen, sollten Sie wissen, wie Ihr Gegner sich in Ihrem Netzwerk bewegt. Diese gegnerischen Aktivitäten sollten Sie in einen Zusammenhang zu Ihrer IT-Umgebung und Ihrer Topographie stellen. Gegnerische Aktivitäten wie Command-and-Control oder Datenausschleusung sind als wahrscheinlich anzunehmen und treten in einigen Bereichen Ihres Netzwerks eher auf als in anderen. Deshalb ist ein tiefgreifendes Verständnis für die gegnerischen Aktivitäten und für die Kommunikationswege der Angreifer über Ihre Hosts und Unternehmensressourcen hinweg von essenzieller Bedeutung. Dieses Verständnis bildet die Basis für Ihre künftige Sicherheitsstrategie sowie für die richtige Platzierung der Sensoren und damit für die Steigerung der Transparenz.

Ein idealer Ansatz kombiniert eine Betrachtung der Daten auf Speichersystemen (Data at Rest), zum Beispiel die gespeicherten Daten von Endpunkten, mit einem Verständnis für die Daten während der Übertragung, beispielsweise von den Netzwerksensoren. Dies schafft eine umfassende Transparenz im Unternehmen und unterstützt zusätzliche Sicherheitsvorkehrungen. Hierzu zählt beispielsweise der Einsatz von Decoys an wichtigen Positionen. Dies führt dazu, dass sich die Angriffe für Hacker sehr viel schwieriger gestalten und nur mit einem sehr viel höheren Aufwand umgesetzt werden könnten.

Wenn Sie die Informationen zu den Kommunikationswegen, zu den unbekannten Protokollen und zum Benutzerverhalten in Betracht ziehen und diese auf die gefährdeten Hosts des Unternehmens anwenden, ergeben sich verschiedene neue Perspektiven. Ist die Software auf den Endgeräten bekannten oder häufig auftretenden Schwachstellen und Exploits (CVEs) ausgesetzt? Sind Sie in der Lage, diese Schwachstellen und Risiken zu erkennen und die notwendige Transparenz zu schaffen? Welche Assets sind gefährdet und wo befinden sich die Schwachstellen? Gibt es Assets, die unmittelbar von einer Datenausschleusung oder von einem C&C-Angriff betroffen sein könnten oder Angreifern einen Zugriff ermöglichen? Diese Transparenz über die gesamte IT-Umgebung hinweg – nicht nur bezogen auf die Inhalte – ermöglicht es Unternehmen, einen umfassenden Überblick zu erhalten und alle bedrohungsrelevanten Informationen zu sammeln, um die Indikatoren für eine Kompromittierung zu erkennen und alles über bekannte wie auch unbekannte Taktiken, Techniken und Vorgehensweisen (TTPs) zu erfahren.

Statische Angriffsziele vermeiden

Die Verteidigung von Umgebungen im Cyberspace basiert auf einem einfachen Konzept namens Moving Target Defense (MTD) – einer übergreifenden Verteidigungsstrategie, die statische Angriffsziele vermeidet und es dem Angreifer erschwert, die beweglichen Ziele zu treffen.[1]

Der Verdacht der Angreifer wird geweckt, wenn sie auf unerwartetes, unbekanntes Terrain treffen. Wenn Sie nichts unternehmen, um die Wahrnehmung Ihrer IT-Umgebung über verschiedene Dimensionen (Topologie, Zeit, etc.) hinweg zu verändern, stellen Sie im Grunde ein statisches Ziel dar. Statische Ziele erlauben es Angreifern, den Vorteil der Zeit nutzen, um Kommunikationswege zu erkunden und optimale Techniken für Exploits und Kompromittierungen zu entwickeln. Unser Ansatz für eine Architektur, die sich optimal verteidigen lässt, konzentriert sich darauf, mögliche Angriffsziele zu bewegen oder zu verstecken, indem wir die Wahrnehmung der Angriffsfläche aus der gegnerischen Perspektive verändern.

Das Ziel einer auf Täuschungstechnologien basierenden Sicherheit ist es, den Anteil der angreifbaren Umgebung, sprich die Angriffsfläche, die einem Cyberkriminellen zur Verfügung steht, zu reduzieren. Der Gesamtanteil der angreifbaren Umgebung ist das Verhältnis der angreifbaren Umgebung zur gesamten IT-Infrastruktur. Der traditionelle Ansatz ist es, sich auf den Zähler in diesem Verhältnis zu konzentrieren. Das heißt, man versucht – beispielsweise durch das Patchen gefährdeter Endpunkte – die angreifbare Umgebung zu minimieren. Falls Unternehmen nicht in der Lage sind, diese Patches durchzuführen und den Endpunkt ungeschützt lassen müssen, nutzen sie in der Regel IDS, IPS oder andere Appliances, um festzustellen, ob es zu nicht-autorisierten Zugriffen kommt. Dies kann in einer statischen Umgebung gut funktionieren, erweist sich aber für Unternehmen mit einer nicht-statischen Umgebung als unzureichend. Unternehmen mit nicht-statischen IT-Umgebungen, in die beispielsweise Legacy-Systeme oder medizinische Geräte integriert sind, können dementsprechend auch nur den Zähler reduzieren. Dies schränkt letztendlich ihre Möglichkeit ein, ein gesundes Verhältnis zwischen der angreifbaren und der nicht-angreifbaren Umgebung zu halten.

Um das richtige Verhältnis zu gewährleisten, müssen Unternehmen sich auch auf den Nenner konzentrieren – die gesamte IT-Infrastruktur. Der Einsatz von Decoys, die den im Netzwerk vorhandenen Assets ähneln, erhöht den Gesamtanteil der nicht-angreifbaren Umgebung: Die Angreifer gehen auf die Suchen nach angreifbaren, statischen Ressourcen wie Servern, ERP-, HR-, Finanzlösungen oder Datenbanken, etc. Sie stoßen jedoch auf Decoys, die diese Ziele nachahmen – und dies führt zur Frustration bei den Angreifern und zwingt sie dazu, ihre Sichtweise zu ändern.

[1] US-Ministerium für Innere Sicherheit. Moving Target Defense.
https://www.dhs.gov/science-and-technology/csd-mtd.

Roland Messmer - Fidelis Cybersecurity