Die Deception-Technologie - mVISE AG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Die Deception-Technologie
Einführung
Die rasante Weiterentwicklung in der digitalen Welt er- Methoden bei der Abwehr von Angriffen einzusetzen.
fordert ein Umdenken. Durch die Digitalisierung haben Moderne Unternehmen haben eine Vielzahl an Compu-
sich nicht nur neue Komponenten und Services wei- tersystemen im Parallelbetrieb. Altbewährte, statische
terentwickelt, sondern auch neue Konzepte etabliert. Schutzmechanismen reichen bei der aktuellen Entwick-
Diese neuartigen Konzepte können zum einen bei der lung der Technik, als alleinige Schutzmaßnahme, nicht
Sicherheit des Systems helfen, andererseits kann ein mehr aus. Deshalb müssen zusätzliche Sicherheits-
Angreifer neuartige Technologien für neue Angriffe nut- maßnahmen ergriffen werden. Wichtige Maßnahmen
zen. Bezogen auf die neuartige Cloud-Technologie hat sind unter anderem die Überwachung der Systeme und
Gartner dies wie folgt ausgedrückt: “Treat the cloud as das rechtzeitige Erkennen, wann und wo neue Bedro-
an opportunity to apply fresh thinking and to adopt new hungen und Schwachstellen auftreten können. Es ist
methods for defending information from attack.” Über- besonders wichtig, die Gefahren und Bedrohungen in-
setzt bedeutet dies, nach Gartner, dass die Cloud als nerhalb der eigenen Infrastruktur rechtzeitig zu erken-
eine Möglichkeit gesehen werden soll, neue Ideen und nen.
500
450
400
350
300
250
474
200
150 305
100 177
175
137,5
50 106 128 83 99 104 124,5
35 24,5 75,5 42,5 61 71 46
0
2016 - EMEA 2016 - Amerika 2017 - EMEA 2017 - Amerika 2018 - EMEA 2018 - Amerika
Durchschnitt 106 99 175 75,5 177 71
bei externen Alarmen 128 104 305 124,5 474 137,5
bei internen Alarmen 83 35 24,5 42,5 61 46
Durchschnitt bei externen Alarmen bei internen Alarmen
Abb. 1 Durchschnittliche Infektionsdauer in Tagen: Region EMEA vs. Amerika
Auswirkungen einer verspäteten Gefahrenerkennung
Ein verspätetes Erkennen solcher Gefahren und der und frühzeitig eingesetzt. Dies trifft insbesondere im
Beseitigung dieser kann später bei Kunden zu einem Bereich der IT-Sicherheit zu. Ein weiterer Grund für die
mangelnden Vertrauensverhältnis führen. Dies hätte kürzere Infektionsdauer in Amerika, sind die höheren
insbesondere finanzielle Folgen. Laut dem Ponemon Sicherheitsstandards der USA. Insbesondere die durch
Institut lag im Jahr 2018 der finanzielle Schaden einer das NIST (National Institute of Standards and Technolo-
einzelnen Sicherheitsverletzung, in Deutschland, bei gy) entwickelten und veröffentlichten Standards haben
bis zu 4,24 Mio. Euro. Das rechtzeitige Erkennen eines einen großen Einfluss. Diese geben vor, wie sowohl pri-
Angriffes ist jedoch besonders schwer. Ein direkter vate Unternehmen als auch staatliche Organisationen
Vergleich der durchschnittlichen Infektionsdauer, in ihre IT-Sicherheitslösungen umsetzen, aktualisieren
den Regionen EMEA im Verhältnis zu Amerika, ist gra- und optimieren können. Das aktuellste NIST Security
phisch in der Abbildung 1 dargestellt. Diese zeigt, dass Framework legt derzeit einen besonderen Fokus auf
Amerika im Durchschnitt eine weitaus geringere Infek- die interne Gefahrenerkennung. Eine Möglichkeit zur
tionsdauer hat. Neue Technologien werden in Amerika Erkennung von internen Gefahren bietet die Deception-
häufig positiv aufgefasst, als solche ausgiebig getestet Technologie.
mVISE White Paper www.mvise.de | service@mvise.de Seite 2
Die Technologie
Eine innovative Methode der IT-Sicherheit ist die De- Täuschung“). Die verwendeten Täuschungselemente
ception-Technologie. Diese verwendet verschiedene werden kontextspezifisch erstellt und gewartet. Nach
Vorkehrungen, um einen Angreifer zu identifizieren und der Erstellung der Täuschungselemente werden diese
von seinem eigentlichen Ziel abzulenken. Durch die Ab- im gesamten System verteilt, um anschließend einen
lenkung des Angreifers wird zusätzliche Zeit gewonnen, Angreifer auf eine falsche Fährte zu locken. Generell
die wiederum genutzt werden kann, um verschiedene werden in der Deception-Technologie drei unterschiedli-
Abwehrmaßnahmen einzuleiten. Die Deception-Techno- che Täuschungselemente eingesetzt (vgl. Abbildung 3).
logie, abgekürzt Deception, beruht dabei auf dem Prinzip Es wird zwischen Decoys, Lures/Breadcrumbs und Baits
der Täuschung und Ablenkung („Deception“, engl. „die unterschieden.
1. Decoys 3. Baits
Stellen das Fundament einer jeden Deception Lö- Sind Deception-Objekte. Als Deception-Objekte
sung dar. Sie werden im Netzwerk als ein Host zählen beispielsweise Dokumente, DNS-Namen
(Workstation, Server, etc.) dargestellt und haben oder Datenbankeinträge. Wird nun zum Beispiel
einen hohen Interaktionsgrad. Dies bedeutet, dass eine Bait-Datei geöffnet oder verschlüsselt, so löst
ein Decoy alle möglichen Funktionalitäten eines dies einen Alarm aus. Im Gegensatz zu den Bread-
gewünschten Objektes im Netzwerk besitzt, so crumbs werden für Baits keine Decoys für ihre Funk-
dass Interaktionen wie mit einem realen Asset er- tionalität benötigt.
möglicht werden. Falls ein Angreifer mit einem
Decoy interagiert, so wird ein Alarm ausgelöst.
2. Lures/Breadcrumbs
Sind Falschinformationen oder Dateien, welche Zusammengefasst bedeutet dies, dass die verschie-
bewusst verteilt werden. Als Breadcrumbs zählen denen Breadcrumbs einen Angreifer in eine präparierte
falsche SSH-Sessions, E-Mails, Zugangsdaten und und isolierte Umgebung führen sollen. Die anschließen-
ähnliches. Ein Breadcrumb dient dazu einen Angrei- de Interaktion mit einem Decoy lösen dann einen Alarm
fer auf einen Decoy zu lenken. Aus diesem Grund aus. Baits lösen dagegen einen Alarm aus, so bald eine
werden keinerlei Alarme ausgelöst falls ein Bread- vordefinierte Handlung ausgeführt wird.
crumb verwendet wird. Jedoch sind Breadcrumbs
umfangreich verteilt, so dass die Wahrscheinlich-
keit steigt, dass ein Angreifer mit einem Decoy inter-
agiert.
produktive, echte Systeme ausgelegte Decoys
bleiben unangetastet vermischen sich transparent mit
vorhandenen Systemen
sucht
Ziele
aus
Lures/Breadcrumbs
***** verweisen auf Decoys
und lenken den Angreifer
findet
alarmiert alarmiert
beim Zugriff ohne False-Positives
Honeytokens/Baits
Angreifer bilden sensible traditionelle Gefahrenerkennung und
Informationen Security Tools Neutralisierung
nach (SIEM, IPS, IDS etc.)
Abb. 2 Konzeptionelle Darstellung der Deception-Technologie
mVISE White Paper www.mvise.de | service@mvise.de Seite 3
Abb. 3 Unterscheidung von verschiedenen Angreifer-Typen Hauptmerkmale der Deception-Technologie Die umfangreichen Möglichkeiten und die Effektivität angreift und dabei auffällt. Eine Deception-Lösung legt von Deception-Lösungen haben das National Institute dagegen ihren Fokus auf das interne System und die of Standards and Technology (NIST) dazu bewegt, diese aktuelle Bedrohungslage (Abbildung 3) innerhalb die- Technologie in das NIST Cybersecurity Framework auf- ses Netzwerkes. Ein weiterer positiver Aspekt der De- zunehmen. Das NIST bietet durch sein Cybersecurity ception-Technologie ist die geringe False-Positive-Rate. Framework, Richtlinien zur Erhöhung der Sicherheit und Aus diesem Grund sollten Alarme besonders genau Erkennung von Bedrohungen in privaten Unternehmen. untersucht und als entsprechend relevant eingeord- In der im NIST Cybersecurity Framework enthaltenen net werden. Durch die Verwendung der Deception-Ele- Publikation „800-53 Rev 4“, wird Deception als eine mente lässt sich ein Angreifer täuschen, so dass er im Methode zur Verheimlichung und Irreführung („conce- Glauben ist, er interagiere mit systemkritischen Assets, alment and misdirection“) aufgeführt. Ein Hauptmerk- während er im Idealfall nur mit Fälschungen arbeitet. mal der Deception-Technologie ist, dass diese gegen Diese Täuschungselemente lassen sich bei den meis- ADVANCED PERSISTENT THREAT (APT) wirksam ten Deception-Anbietern automatisiert verwalten und vorgehen kann. Ein Angriff durch einen APT wird als konfigurieren. Des Weiteren sollte die Möglichkeit des ein komplexer und besonders wirkungsvoller Angriff Sandboxing bedacht werden. Viele Deception-Lösun- auf die kritischen Assets eines Systems definiert. Nach gen unterstützten Sandbox-Lösungen, welche einen Gartner ist das Erkennen von APT-Angriffen eine der isolierten Bereich darstellen. Ein Angreifer kann dort Einsatzmöglichkeiten von Deception-Technologie, da beispielsweise analysiert werden, während das reale diese auf der gezielten Analyse von Bedrohungen und System nicht bedroht wird. Ereignissen basiert. Darunter zählen auch die Analysen und Prognosen von Wahrscheinlichkeiten, mit welcher ein Angreifer beabsichtigt, etwas zu stehlen. Bei soge- nannten INSIDE-THREATS können ebenfalls Decep- “Never attempt to win by force what can be won by tion-Lösungen angewandt werden. Bisherige Mittel wie deception.” // Niccolò Machiavelli, The Prince Firewalls, IDS/IPS (Intruder Detection and Prevention System) und Endpoint Protection sind gegen Inside- Threats wirkungslos, da diese Strategien darauf auf- bauen, dass ein Angreifer die Systeme aktiv von außen mVISE White Paper www.mvise.de | service@mvise.de Seite 4
Die Deception-Technologie und Honeypots
Sowohl Honeypots als auch die Deception-Technolo- Sicherheitsexperten für ihre Handhabung und Inbe-
gie setzen auf das sogenannte Trapping-Prinzip. Das triebnahme. Aus diesem Grund ist ihre Effektivität
Trapping-Prinzip basiert auf der Idee einen Angreifer im Vergleich zu der Deception-Technologie abhängig
zu verwirren, täuschen und den Angriff zu verzögern. von der Fachkenntnis der Sicherheitsmitarbeiter. In Ab-
Jedoch werden Deception und Honeypots fälschlicher- bildung 4 werden Honeypots und Deception-Elemente
weise häufig gleichgesetzt. Im Vergleich zu Honeypots miteinander in den Punkten Gefahrenerkennung, Auf-
bietet die Deception-Technologie eine weitaus umfang- rechterhaltung, Angreifer-Typ, Dynamik, False Positive
reichere Lösung mit detaillierteren Analysen und daher und die Qualität der Ergebnisse verglichen. Die Decep-
präziseren Ergebnissen an. Des Weiteren wird von De- tion-Technologie liefert im Vergleich zu Honeypots bes-
ception-Lösungen ein größerer Bereich mittels Auto- sere Ergebnisse. Dies liegt jedoch unter anderem daran,
matisierung abgedeckt. Dies bezieht sich vor allem auf dass sich die Deception-Technologie aus dem Konzept
die Implementierung und Verwaltung von Aufgaben. der Honeypots entwickelt hat. Dabei hat sich die Decep-
Honeypots bieten dagegen nur eine oberflächliche Ge- tion-Technologie weitgehend dynamischer, automati-
fahrenerkennung und benötigen zudem qualifizierte sierter und komplexer weiterentwickelt.
Honeypot/Honeynet Decoy/Deception
Gefahrenerkennung extern intern
Auffälligkeit leicht identiÞzierbar schwer identiÞzierbar
Aufrechterhaltung manuelle Pflege hoher Grad an Automatisierung
Angreifer-Typ primitive Angriffe Insider Threats, APTs
statisch passen sich kontinuierlich
Dynamik
der Umgebung an
False Positive hohe False Positive Rate geringe False Positive Rate
Qualität der Ergebnisse oberflŠchlich, begrenzte Aussagekraft tiefgehend, hohe Aussagekraft
Abb. 4 Vergleich zwischen Honeypots und Deception-Elementen
mVISE White Paper www.mvise.de | service@mvise.de Seite 5
Die Deception-Technologie und die Cyber Kill Chain
Die Deception-Technologie bietet viele neue Möglichkei- Die Kill Chain ist ein militärisches Konzept, das dazu
ten. Dennoch stellt sich die Frage, wie diese Technologie dient, Angriffe in einzelnen Phasen zu erkennen und
sinnvoll eingesetzt werden kann. Ein Anwendungsbe- diese erfolgreich abzuwehren. Jedoch brachte die Di-
reich bietet die Einordnung der Deception-Technologie gitalisierung neuartige Angriffe hervor, weswegen die
in der Cyber Kill Chain von Lockheed Martin. Ursprüng- Cyber Kill Chain entwickelt wurde. Diese besteht aus
lich stammt die von Lockheed Martin entwickelte insgesamt sieben unterschiedlichen Phasen, welche
Cyber Kill Chain von der sogenannten Kill Chain ab. im Folgenden noch einmal genauer dargestellt werden.
1. RECONNAISANCE 2. WEAPONIZATION
In der ersten Stufe, der Reconnaisance, wählt und In der Weaponization-Phase bereitet sich der An-
definiert der Angreifer zunächst sein Ziel. Dazu greifer auf seinen eigentlichen Angriff vor. Dazu
sammelt er die nötigen Informationen, welche er werden die nötigen Tools oder Malware zusammen-
zum erreichen seines Zieles benötigt. Aus diesem gestellt. Als Tools und Malware kommen beispiels-
Grund nutzt der Angreifer beispielsweise soziale weise Ransomware oder Trojaner zum Einsatz.
Netzwerke und Medien. Mit dessen Hilfe werden E-
Mail-Adressen, die Struktur des Unternehmens und
andere relevante Daten gesammelt.
3. DELIVERY 4. EXPLOITATION
In der Delivery-Stufe beginnt der Angreifer mit sei- In der Exploitation-Phase nutzt der Angreifer bereits
nen ersten Angriffsversuchen. Er fängt an, seine bekannte Sicherheitslücken (Exploits) aus. Unter
Malware zu verteilen. Dazu nutzt der Angreifer die anderem wird Social Engineering dazu verwendet,
ihm zur Verfügung stehenden Mittel, wie E-Mails um Mitarbeiter in eine Lage zu bringen, in der sie
oder USB-Sticks. dem Angreifer unbewusst helfen.
5. INSTALLATION 6. COMMAND & CONTROL
In dieser Phase versucht der Angreifer eine soge- In der Stufe Command & Control versucht der An-
nannte Backdoor in das System anzubringen. Dazu greifer nun eine Fernkommunikation zu dem ange-
versucht er, Malware zu installieren und diese zu griffenen System herzustellen.
verstecken, so dass sie auf den ersten Blick nicht
anwesend ist.
7. ACTIONS ON OBJECTIVES
In der letzten Phase, Actions on Objectives, hat der
Angreifer bereits alle Schritte unternommen, um
sein Ziel zu erreichen. Er hat nun diverse Möglich-
keiten, Änderungen am System vorzunehmen, so-
wie Schadcode auszuführen und Daten zu stehlen.
mVISE White Paper www.mvise.de | service@mvise.de Seite 6
Mittels der Cyber Kill Chain lassen sich die einzelnen schaften benötigen. In der anschließenden Command
Vorgehensweisen eines Angreifers verstehen und ent- & Control Stufe kann mittels der Deception-Techno-
sprechende Gegenmaßnahmen entwickeln. Die Decep- logie der Angreifer überwacht und seine Angriffsmus-
tion-Technologie kann auf sechs der sieben Phasen der ter und Techniken analysiert werden. Dies ermöglicht
Cyber Kill Chain als Gegenmaßnahme angewandt wer- das Einleiten weiterer Sicherheitsvorkehrungen. In der
den. Einzig in der Weaponization-Phase kann die Decep- letzten Phase können Fälschungen auf dem System
tion-Technologie nicht als Lösungsansatz verwendung verteilt werden. Diese Fälschungen würden besonders
finden, da der Angreifer in dieser Phase keine aktive Be- kritische Daten (Gehaltsabrechnungen, Passwortlisten,
rührung mit dem Zielsystem hat. In den anderen Pha- persönliche Daten, etc.) vortäuschen.
sen kann die Deception-Technologie als Abwehr eines
Angriffes eingesetzt werden. In der Reconnaissance
Phase können falsche Informationen wie VPN-Anmeld-
einformationen, welche auf einen Decoy-Server führen, Zusammengefasst gibt es viele unterschiedliche Mög-
verbreitet werden. In der dritten Phase kann man da- lichkeiten die Deception-Technologie als Abwehrstrate-
gegen einen Decoy-Server so konfigurieren, dass fest- gie mit in die Cyber Kill Chain einzubeziehen. Mittels der
gelegter Code automatisch ausgeführt wird und an- Deception-Technologie lassen sich nicht nur die eige-
schließend der entsprechende Backtraffic nach einer nen Systeme schützen, es können sogar Angriffe und
externen IP-Adresse weitergeleitet wird. Um in der an- verdächtiges Verhalten analysiert werden. Diese Analy-
schließenden Exploitation Phase einen Angriff zu verzö- se kann vor allem bei der Entdeckung und Entwicklung
gern oder abzuwehren, wäre eine Möglichkeit, falsche von neuen Sicherheitsmechanismen und Abwehrstrate-
Datenpakte oder gar Antworten auf die Aktionen eines gien weiterhelfen. Aus diesem Grund sollten die unter-
Angreifers zu erzeugen. Mittels der Täuschung von Sys- schiedlichen Täuschungselemente umfangreich in den
temeigenschaften, wie die falsche Angabe eines virtu- verschiedenen Phasen eingesetzt werden. Dabei muss
ellen Systems, obwohl es sich um eine physische Hard- beachtet werden, dass sowohl Decoys, als auch Bread-
ware handelt, können einige Angriffe in der Installation crumbs und Baits das Interesse des Angreifers wecken
Phase abgewehrt werden. Dies liegt unter anderem müssen, ohne dass dieser die Fälschungselemente als
daran, dass manche Malware bestimmte Systemeigen- solche identifiziert.
2. Passende
Angriffsmethode finden
7. Zielerreichung
3. Lieferung
4. Gezielter Angriff
1. Erkundung
6. Fernsteuerung des
Zielsystems (C&C)
5. Übernahme &
Brückenkopf
Abb. 5 Die Cyber Kill Chain
mVISE White Paper www.mvise.de | service@mvise.de Seite 7
Deception als
Beschreibung Cyber Kill Chain
Gegenmaßnahme
Verbreitung von
Der Angreifer legt sein Ziel fest.
Falschinformationen, wie
Zum Erreichen des Ziels sammelt
beispielsweise durch einen Daten-
er die nötigen Informationen. (E- Reconnaissance Leak präparierter VPN-
Mail-Adressen, Daten aus sozialen
Anmeldeinformationen, die auf
Netzwerken etc.)
einen Decoy-Server verweisen.
Es existieren keine
Der Angreifer bereitet sich auf
Gegenmaßnahmen mittels der
seinen Angriff vor. Dazu wählt er
die nötigen Tools aus. Weaponization Deception-Technologie, da dies
außerhalb der kontrollierten
(Ransomware, Trojaner etc.)
Umgebung stattÞndet.
KonÞgurieren des Decoy-Servers,
Der Angreifer führt seinen ersten so dass dieser den zuvor
Angriff durch und verteilt Malware festgelegten Code automatisch
mittels unterschiedlicher Medien. Delivery ausführt. Anschließend wird der
(E-Mails, USB-Sticks etc.) RŸcktrafÞc an eine externe IP-
Adresse weitergeleitet.
Der Angreifer sucht nach aktuellen
Schwachstellen (Exploits) und Erzeugung von falschen
versucht diese einzusetzen. Er Exploitation Datenpaketen und Antworten auf
verleitet den Nutzer dazu, zu helfen. Aktionen des Angreifers.
(Social Engineering)
Täuschung der Angaben von
Der Angreifer versucht, eine Systemen. (bspw. physische
sogenannte Backdoor mittels Systeme als virtuelle Systeme
versteckter Malware zu Installation angeben) Dies vermeidet Malware,
implementieren. die nur bei einer bestimmten
Systemart funktioniert.
Der Angreifer versucht eine Überwachung des Angreifers und
Verbindung zur Fernkontrolle analysieren seiner TTPs (Tactics,
herzustellen, um eigene Aktionen Command & Control Techniques and Procedures) damit
auf den betroffenen Systemen weitere Sicherheitsvorkehrungen
ausführen zu können. getroffen werden können.
Der Angreifer hat Zugang zum Fälschung der Inhalte im System,
System erhalten und hat nun unter der Berücksichtigung
diverse Möglichkeiten, dem System Actions on Objectives besonders kritischer Assets, wie
Schaden zuzufügen oder Gehaltsabrechnungen und
Datendiebstähle zu begehen. Passwortlisten.
Abb. 6 Die Cyber Kill Chain von Lockheed Martin mit den möglichen Deception-Gegenmaßnahmen
mVISE White Paper www.mvise.de | service@mvise.de Seite 8
Cyber Kill Chain und mögliche Sicherheitsmaßnahmen
Die Cyber Kill Chain stellt die Phasen dar, die ein Angrei- identifizieren. Jedoch ist diese Methodik stark davon
fer durchläuftt, um sein Ziel zu erreichen. Die jeweiligen abhängig, was aufgezeichnet wird und wie die Auf-
Gegenmaßnahmen lassen sich in den Punkten Detect, zeichnungen verarbeitet werden. Der Gegenmaßnahme
Deny, Disrupt, Degrade, Disinform und Contain zusam- DENY werden Tools und Mittel eingeordnet, welche die
menfassen. Wie gut diese in den einzelnen Phasen der Weitergabe von Informationen einschränken und un-
CKC Anwendung finden, wird in Abbildung 7 dargestellt. autorisierten Zugang verhindern. Darunter zählen Fire-
Der Wirkungsgrad grün stellt einen guten Schutz dar, ein walls (FW), Access Control Lists (ACL), IDS, Data Exe-
mittelmäßiger Schutz bietet gelb und rot gefärbte benö- cution Prevention (DEP), Patching, und Sandboxing. Eine
tigen noch weitere Verbesserungen. Firewall bietet hierbei vor allem Schutz vor unerlaubten
Netzwerkzugriffen und kann in der Reconnaissance und
Unter DETECT werden Sicherheitsmaßnahmen aufge- Command & Control Stufe angewandt werden, wäh-
führt, welche ihren primären Fokus darauf richten, einen rend Access Control Listen eine Zugriffsbeschränkung
Angreifer ausfindig zu machen. Diese Maßnahmen kön- auf einzelne Dateien oder Funktionen bewirken und in
nen in allen Stufen der Cyber Kill Chain unterschiedlich den Stufen Reconnaissance, Command & Control und
gut angewandt werden. In der Reconnaissance Stufe ist Actions on Objectives genutzt werden können. In der
es beispielsweise empfehlenswert die Aktivitäten und Weaponization Phase kann, wie bei der Gegenmaßnah-
Inhalte eines Angreifers genauer zu analysieren und zu me Detect, ein IDS verwendet werden. Mittels DEP lässt
beobachten. Dies lässt sich unter dem Stichwort Ana- sich in der Delivery Phase eine Datenausführung unter
lytics zusammenfassen. Anders ist es in den Stufen Umständen verhindern. Ein DEP beachtet dabei, dass
Weaponizaion, Compromise, Installation und Command Speicherbereiche korrekt voneinander getrennt sind.
& Control. Dort ist ein Intrusion Detection System (IDS) Versucht eine Software ein Programm (Schadcode) in
anwendbar. Ein IDS ist dazu in der Lage, Angriffe auf einem nicht erlaubten Speicherbereich auszuführen, so
das eigene Netzwerk oder den eigenen Computer zu wird dies unterbunden. In der Compromise Stufe lassen
erkennen. Damit dies reibungslos funktioniert, verwen- sich einzelne Zugriffe mittels Patching eliminieren, da
den die meisten IDS Systeme verschiedene Filter. Die- bekannte Sicherheitslücken geschlossen werden. Das
se Filter vergleichen Aktivitäten mit bereits bekannten verwenden einer Sandbox in der Installation Phase be-
Angriffsmustern. In der Stufe DELIVERY bietet Securi- wirkt eine Abschottung eines Bereiches, so dass sich
ty Awareness nur eine geringfügige Möglichkeit einen das eigentliche System nicht von Änderungen beein-
Angreifer rechtzeitig zu erkennen. Ein alltägliches Bei- flussen lässt. Die sogenannten DISRUPT-Maßnahmen
spiel wäre das frühzeitige Erkennen von Phishing Mails. basieren darauf, dass der Datenverkehr zum Angreifer
Mittels Audit Logs lassen sich in der letzten Phase der unterbrochen oder verändert wird. Dazu werden zum
Cyber Kill Chain Logs verwenden, um einen Angriff zu einen Antivirus (AV) Software, als auch DEP, Intrusion
Abb. 7 Die Cyber Kill Chain Stufen und ihre entsprechenden Security-Gegenmaßnahmen
mVISE White Paper www.mvise.de | service@mvise.de Seite 9
Prevention Systeme (IPS) und Data Loss Prevention sich unter dem Begriff Contain zusammenfassen. Hier-
(DLP) Systeme genutzt. Für die ersten beiden Phasen bei liegt der Fokus insbesondere darauf, den Angreifer
der Cyber Kill Chain existieren hierfür jedoch keine Maß- an der Übernahme der Kontrolle über ein System zu ver-
nahmen. Die Antivirus Software kann sowohl in der De- hindern. Dazu werden Firewalls, ACLs, IPS, Endpoint
livery, als auch Installation Stufe angewandt werden. Protection (EPP) und Segmentierungen eingesetzt. In
Sie ist dafür zuständig, Viren und Trojaner aufzudecken der Reconnaisance Stufe werden sowohl ACLs als auch
und diese nach Möglichkeit zu eliminieren. DEP wird Firewalls eingesetzt, während in der Delivery Stufe nur
dagegen in der Compromise Phase genutzt, während in Firewalls verwendet werden. IPS werden sowohl in der
der Command & Control Stufe ein IPS verwendet werden Weaponization, als auch in der Compromise Stufe ange-
kann. Im Gegensatz zu einem IDS System, liegt hierbei wandt. Eine EPP wird in der Installations Stufe genutzt.
der primäre Fokus darauf, einen bereits entdeckten An- In der Command & Control und Actions on Objectives
griff aufhalten zu können. Mittels eines DLP kann in der Stufen kann eine Segmentierung eingesetzt werden.
Actions on Objectives Stufe ein unerlaubter Zugriff abge- Diese teilt den Speicherraum auf, sodass potenzieller
wehrt und die Weitergabe von Daten verhindert werden. Schadcode nur bedingt funktionsfähig ist.
Als Degrade bezeichnet man Maßnahmen, die Angriffe
auf eine gewisse Art und Weise kontrollieren. Darun-
ter fallen Queueing, Deception und Quality of Services
(QoS). Das Queueing wird beispielsweise in der Delivery Exkurs: Unified Kill Chain
Stufe angewandt, um den eingehenden Datenverkehr Im Dezember 2017 wurde die Unified Kill Chain von
zu dirigieren. In der Installation Stufe kann die von uns Paul Pols vorgestellt. Die Unified Kill Chain erwei-
vorgestellte Deception-Technik zum Einsatz kommen, tert Lockheed Martin‘s Cyber Kill Chain, als auch
während QoS in Actions on Objectives genutzt werden MITRE’s ATT&CK (Adversarial Tactics, Techniques
kann. Diese Technik erlaubt es, den Datenverkehr so zu & Common Knowledge).
verwalten, dass mögliche Datenverluste oder Latenzzei-
ten reduziert werden. Für die anderen Stufen der Cyber Insgesamt umfasst die Unified Kill Chain 18 unter-
Kill Chain existieren unter der Kategorie Degrade keine schiedliche Stufe (siehe Abb. 6), welche wiederum
bisher bekannten Maßnahmen. Gegenmaßnahmen, die den vier Hauptkategorien zugeordnet werden.
sich unter Disinform zusammenfassen lassen, sorgen 1. Initial Foothold (Compromised System)
dafür, dass dem Angreifer durch falsche Informationen
2. Network Propagation (Office Environment)
die Kontrolle entrissen wird. Dies wird vor allem durch
die Deception-Technologie gewährleistet. Lediglich in 3. Network Propagation (Critical Infrastructure)
der Weaponization Stufe kann die Deception-Technolo- 4. Action on Objectives (Critical Asset Access)
gie als Gegenmaßnahme nicht angewandt werden. Die
letzte Maßnahmen-Gruppe für die Cyber Kill Chain lässt
Initial Foothold: Network Propagation: Network Propagation: Action on Objectives:
Pivoting Pivoting Access
Compromised System OfÞce Environment Critical Infrastructure Critical Asset Access
• Reconnaissance
• Weaponization
• Discovery
• Delivery • Discovery
• Privilege Escalation • Collection
• Social Engineering • Privilege Escalation • ExÞltration
• Execution
• Exploitation • Execution
• Credential Access • Target Manipulation
• Persistance • Credential Access • Objectives
• Lateral Movement
• Defense Evasion • Lateral Movement
• Command & Control
Abb. 8 Zuordnung der einzelnen Stufen der Unified Kill Chain zu den einzelnen Oberkategorien
mVISE White Paper www.mvise.de | service@mvise.de Seite 10Anbieter von Deception-Lösungen
Die Vorteile des Konzepts Deception haben viele unter- kurze Auswahl einiger bekannter Deception-Anbieter
schiedliche Unternehmen bereits erkannt. Aus diesem zusammengestellt. Diese Auswahl enthält nur wenige
Grund existieren bereits verschiedene Deception-Lö- der zahlreichen Anbieter von Deception-Lösungen und
sungen. Auf der Basis sowohl eigener Erfahrungen im soll keinesfalls als eine vollständige Auflistung verstan-
Bereich der Deception-Technologie, als auch im Zusam- den werden.
menhang mit den Berichten von Gartner, haben wir eine
Abb. 9 Der Deception-Technologie Markt
• Attivo Networks • CounterCraft • CyberTrap
• Produkt: ThreatDefend • Produkt: CounterCraft Cy- • Produkt: CyberTrap Decep-
• Markteintritt: 2011 ber Deception Platform tion
• Markteintritt: 2015 • Markteintritt: 2015
• Fidelis Cybersecurity • illusive networks • TrapX Security
• Produkt: Fidelis Deception • Produkt: Attack Detection • Produkt: DeceptionGrid
(vorher TopSpin Decoynet) System • Markteintritt: 2012
• Markteintritt: 2017 • Markteintritt: 2014
Abb. 10 Ausgewählte Anbieter der Deception-Technologie
mVISE White Paper www.mvise.de | service@mvise.de Seite 11Vorstellung der untersuchten Anbieter
In diesem Abschnitt werden die sechs ausgewählten und später als Chief Information Security Officer tätig
Anbieter kurz vorgestellt. Folgende Produkte werden im war. CyberTrap spezialisiert sich auf Deception-Strate-
Laufe dieses Kapitels vorgestellt (vgl. Abbildung 10). gien für Regierungen und größere Firmen in der EMEA
und APAC Region. 2017 kam ihr erste Deception-Pro-
ATTIVO NETWORKS wurde im Jahr 2011 in Fre- dukt auf dem Markt.
mont, USA gegründet. Der Vorstand von Attivo Net-
works besteht aus Tushar Kothari (CEO), Carolyn FIDELIS CYBERSECURITY wurde 2002 den USA
Cran-dall (CMO) und Srikant Vissamsetti (Senior Vice- gegründet. Der Präsident und CEO von Fidelis Cyberse-
President of Engineering). Sie alle verfügen über lang- curity ist Nick Lantuh, welcher zuvor bei eSentire und
jährige Erfahrung im Bereich der IT-Sicherheit. Zuvor NetWitness beschäftigt war. Der CTO Craig Harber ver-
waren Tushar Kothari und Carolyn Crandall bei Cisco fügt dagegen über langjährige Berufserfahrung bei der
und Juniper Networks tätig, während Srikant Vissam- US National Security Agency (NSA) und der CFO Dave
setti seine Erfahrung bei McAfee, Intel Security und Stokely hatte zuvor bei TerraGo Technologies und Red-
IntruVert Networks gesammelt hat. Die Webseite von Cloud Security Berufserfahrung sammeln können. Das
Attivo Networks bietet detaillierte und vielseitige Doku- Produkt Fidelis Deception ist ein Bestandteil der um-
mentationen zu dem Themengebiet Deception, als auch fangreichen Fidelis Elevate Plattform. Diese Plattform
Informationen zu den eigenen Produkten. Das Unter- setzt sich aus Fidelis Network, welches für Netzwerk-
nehmen ist im europäischen und inzwischen auch im und Cloudanalyse und Data Loss Prevention verant-
deutschsprachigen Raum vertreten. Zurzeit werden die wortlich ist, einem Fidelis Endpoint, welcher der Endpo-
Kapazitäten im DACH-Raum (Deutschland, Österreich int Detection und Response dient, und Fidelis Deception
und Schweiz) ausgebaut. Attivo Networks konzentriert zusammen. Fidelis Deception war zuvor unter dem
sich auf ihr Kernprodukt die ThreatDefend Platform, Namen TopSpin DECOYnet von der israelischen Firma
welche unter anderem Attivos BOTsink, ThreatStrike, TopSpin Security erhältlich. Im Jahre 2017 hat Fidelis
ThreatOps und Attivos Central Manager (ACM) umfasst. Cybersecurity das Unternehmen TopSpin Security auf-
Zusammen ergeben diese eine umfangreiche Lösung gekauft und das Produkt in sein Portfolio eingegliedert.
zur Erkennung und Verteidigung verschiedener Angriffe
mittels des Full-Stack-Ansatzes, also die Erkennung auf Die Firma ILLUSIVE NETWORKS stammt aus Israel
Netzwerk- und Endpoint-Ebene. und ist an den Standorten Tel Aviv (Israel) und New York
vertreten. Der Gründer von Illusive Networks ist Ofer
Im spanischen Raum wurde der Deception-Hersteller Israeli und war in der Vergangenheit als Development
COUNTERCRAFT im Jahr 2015 gegründet. Der CEO Manager bei der Firma Check Point Software Technolo-
David Barroso hat seine bisherige Berufserfahrung bei gies und als Assistent bei einem Atomchip-Labor tätig.
Firmen wie Eleven Paths und Telefonica gesammelt, Der CMO Kirby Wadsworth hat zuvor Berufserfahrun-
während der CTO Daniel Bret vorher bei IKUSI und gen in Unternehmen wie Bayshore Networks, Mendix
S21sec tätig war. CounterCraft ist in den Städten San und Limelight Networks gesammelt. Auf der offiziellen
Sebastián, Madrid, London und Los Angeles vertreten. Webseite von Illusive Networks werden mittels Blogein-
Auf der Webseite des Unternehmens sind mehrere trägen Besucher über Deception informiert. Die eigene
Whitepaper über die Deception-Technologie, sowie In- Deception-Lösung von Illusive Networks heißt Attack
formationen über die eigenen Produkte veröffentlicht. Detection System und ist mit dem Forensiktool Attack
Die Deception-Lösung von CounterCraft wird derzeit Surface Manager und der Software Attack Intelligence
von Regierungen, Strafverfolgungsbehörden und For- System ein Bestandteil der Illusive Management Plat-
tune-500-Unternehmen genutzt. Zudem werden die Lö- form.
sungen von CounterCraft durch die Europäische Kom-
mission unterstützt. Die Firma TrapX Security wurde 2012 in Kalifornien
gegründet. Der CEO von TrapX Security Moshe Ben-Si-
CYBERTRAP wurde 2015 in Wien aus einem erfolg- mon hat zuvor in Unternehmen wie Injection Security,
reichen Projekt der SEC Consult gegründet. Mitgründer Ness Technologies und Comsec gearbeitet. Der CTO
und CTO der Firma ist Avi Kravitz, welcher zuvor der Oleg Goldschmidt war dagegen in der Vergangenheit
Gründung bei SEC Consult als Key Account Manager bei IBM Research und Voltaire tätig. Der Kundenstamm
mVISE White Paper www.mvise.de | service@mvise.de Seite 12von TrapX Security umfasst kommerzielle und staat- mens liegt, bietet die Firma das Produkt Cryptotrap an.
liche Kunden weltweit. Neben der Deception-Lösung Cryptotrap ermöglicht das Erkennen von Ransomware
DeceptionGrid, welche primär im Fokus des Unterneh- und kann diese anschließend beseitigen.
Bewertungskriterien der Deception Lösungen
Um die verschiedenen Produkte einheitlich bewerten zu INTERAKTIONSMÖGLICHKEITEN MIT DECOYS
können, haben wir unterschiedliche Kriterien festgelegt. Damit Decoys möglichst überzeugend auf einen Angrei-
Diese berücksichtigen die unterstützten Betriebssyste- fer wirken, benötigen sie besonders hohe Interaktions-
me, die Cloudimplementierungsarten, die Automatisie- möglichkeiten. Dies ist vor allem dazu da, dass sie wie
rungsmöglichkeiten, die Interaktionsmöglichkeiten, die reale Assets wirken.
Anzahl von Bradcrumb-Arten, die Unterstützung von IoT
und SCADA Geräten, das Sandboxing und die Integra- BREADCRUMB-ARTEN
tion mit anderen Systemen. In dem folgenden Abschnitt Breadcrumbs lenken einen Angreifer auf die entspre-
werden die Kriterien noch einmal genauer erläutert. chenden Decoys. Damit möglichst viele Angreifer zu
einem Decoy geführt werden, sollten mindestens fünf
UNTERSTÜTZTE BETRIEBSSYSTEME verschiedene Breadcrumb-Arten in der Softwarelösung
Als eine umfangreiche Lösung sollte die Deception- möglich sein.
Technologie mindestens zwei gängige Betriebssyste-
me unterstützten (Windows, Linux, MacOS, etc.). Dies IOT/SCADA UNTERSTÜTZUNG
ist vor allem wichtig, damit möglichst viele Anwender Damit die Deception Lösung möglichst umfangreich
diese Lösung nutzen können. gestaltbar ist, sollten sowohl IoT, als auch SCADA Gerä-
te unterstützt werden. Unsere Anforderung ist an dieser
CLOUDIMPLEMENTIERUNGSARTEN Stelle erst erfüllt, so bald beides unterstützt wird.
Unter dem Begriff Cloudimplementierungsarten sind
die verschiedenen Arten der Bereitstellung gemeint. SANDBOXING
Hierbei gibt es sogenannte Public Clouds, worunter bei- Heutzutage ist Sandboxing eine beliebte Methode, um
spielsweise Amazon AWS und Azure zählen, als auch einige Angriffe abzulenken. Aus diesem Grund sollte
Private Clouds und Hybride Clouds. Falls ein Produkt die Möglichkeit einer Sandbox zur zusätzlichen Malwa-
sowohl in Public Clouds als auch in Private Clouds an- reanalyse mitbetrachtet werden. Deshalb sollt die De-
wendbar ist, so ist unsere Anforderung vollständig er- ception-Lösung eine einfache Möglichkeit zum Sand-
füllt. boxing anbieten.
AUTOMATISIERUNG INTEGRATION MIT ANDEREN SYSTEMEN
Eine Automatisierung ist wichtig, um den jeweiligen Um einen optimalen Ablauf in der eigenen Infrastruktur
Konfigurations- und Implementierungsaufwand zu re- zu gewährleisten sollten insbesondere die Integrations-
duzieren. Des Weiteren lassen Automatisierungen ein möglichkeiten mit anderem System betrachtet werden.
häufig schnelles Handeln zu. Aus diesem Grund ist es Dabei liegt unser Fokus auf einer möglichen Integration
besonders wichtig, dass möglichst viel bei einer Decep- mit SIEM und Logmanagement Systemen, um zusätz-
tion-Lösung automatisiert wird. liche Sicherheitsfeatures zu ermöglichen.
mVISE White Paper www.mvise.de | service@mvise.de Seite 13Auswertungen der Untersuchten Produkte
Jedes der zuvor vorgestellten Unternehmen hat unter- dies mit ++ gekennzeichnet. Bei einer partiellen Erfül-
schiedliche Ansätze zum Themengebiet Deception ent- lung wurde ein + verwendet und falls eine Anforderung
wickelt. Um einen Vergleich und Bewertung der einzel- gar nicht erfüllt wurde mit einem - -. Wenn ein Produkt
nen Produkte etwas übersichtlicher zu gestalten, haben jedoch eine Anforderung nicht erfüllt hat, aber eine Al-
wir die Produkte anhand der zuvor festgelegten Be- ternative besitzt, so wird dies mit einem - markiert. Eine
wertungskriterien untersucht. In Abbildung 11 wird ein genauere Erklärung zu der Umsetzung der von uns er-
Überblick der einzelnen Produkte veranschaulicht. Falls stellten Bewertungskriterien für die einzelnen Produkte
ein Produkt alle Anforderungen erfüllt hat, so wurde folgt ab der nächsten Seite.
++
Abb. 11 Auswertung der Deception Produkte
mVISE White Paper www.mvise.de | service@mvise.de Seite 14ThreatDefend von Attivo Networks Die Plattform ThreatDefend wurde von Attivo Networks der Decoys haben wir als hoch eingestuft. Dies liegt entwickelt. Dabei setzt sich die ThreatDefend Plattform unter anderem daran, dass ThreatDefend den Import aus unterschiedlichen Komponenten zusammen. Die von Kunden-Images unterstützt. Somit kann die Decep- TheatDefend Plattform besteht aus den Komponenten tion-Fläche der Produktionsfläche noch mehr ähneln, BOTsink, ThreatStrike, ThreatDefend, ThreatPath, Threa- so dass ein Angreifer weniger Verdacht schöpfen kann, tOps und ThreatDirect. Jede einzelne Komponente der dass es sich um eine Art Abwehrmechanismus handelt. Plattform ist für eine bestimmte Funktionalität zustän- Insgesamt werden 21 verschiedene Breadcrumb-Arten dig. Mittels BOTsink werden verschiedene Täuschungs- unterstützt. Zu den unterstützten Breadcrumb-Arten techniken und Analysen angewandt, während Threat- zählen Anmeldedaten für den Browser (Firefox, Chro- Strike sich auf die Endpoint Protection spezialisiert. me), Outlook/Thunderbird E-Mail Client und FileZilla Dies wird vor allem durch unterschiedliche und viel- FTP-Client. Die ThreatDefend Plattform unterstützt un- fältige Baits, zum Beispiel Honeycredentials, am End- ter anderem SCADA, IoT, IoE und ICS Geräte. Hierdurch point erreicht. Die Komponente ThreathPath analysiert wir ein hoher Abdeckungsgrad im OT Bereich geschaf- mögliche Angriffswege, so dass diese reduziert werden fen. Das Sandboxing der ThreatDefend Plattform ent- können. ThreathOps ist dagegen für das sogenannte sprach nur teilweise unseren Erwartungen. Das Produkt Incident-Response-Verhalten verantwortlich. Das letzte selbst ist so etwas wie einen virtuellen Container. Die- Modul ThreatDirect bietet darüber hinaus eine externe ser kann exportiert und anschließend als Sandbox so- Zweigestellte und als VM (Virtual Machine) Deception- wohl intern als auch extern genutzt werden. Als Integra- Sender. Die ThreatDefend Plattform unterstützt die Be- tionsmöglichkeiten mit anderen Systemen unterstützt triebssysteme Windows, Ubuntu, CenOS, Redhat und die ThreatDefend Plattform eine Reihe von Antivirus-, CiscoIOS. Außerdem lässt sich die ThreatDefend Platt- Log-, Monitoring- und Reporting Tools, darunter auch form sowohl in einer Public Cloud wie Amazon AWS, Mi- SIEM (Security Information and Event Management) crosoft Azure und OpenStack, implementieren, als auch Tools. Im Allgemeinen sticht die Softwarelösung von in einer beliebigen Private Cloud. Im Bereich der Auto- Attivo Networks durch ihre besonders hohe Anzahl von matisierung kann man das System in einen sogenann- verschieden Breadcrumb-Arten hervor. Es wird eben- ten Lernmodus versetzen. Dort wird anschließend die falls ein breites Spektrum von nicht IP-adressierbaren Umgebung genauer untersucht. Daraufhin werden Vor- Objekten, wie SCADA, IoT, IoE und ICS, unterstützt. Als schläge unterbreitet an welcher Stelle Deception-Ele- einzigen negativen Punkt kann man das Fehlen einer mente am besten implementiert werden können. Des integrierten Sandbox aufführen. Falls man eine Sand- Weiteren können Deception-Elemente nach einer ein- box nutzen möchte, so muss man das Produkt separat maligen Genehmigung eines Administrators, automati- importieren. siert im Netzwerk verteilt werden. Den Interaktionsgrad Cyber Deception Platform von CounterCraft Die CounterCraft Cyber Deception Platform wurde von als auch Windows Betriebssysteme unterstützt. Des CounterCraft entwickelt. Sie sticht vor allem durch die Weiteren lässt sich die CounterCraft Cyber Deception eigens zusammengestellten Umgebungen mit falschen Platform als Private und Public Cloud umsetzen. Zu den Daten und täuschend echten Applikationen hervor. Die- unterstützten Public Clouds zählen Amazon AWS, Mic- se Umgebung soll für einen Angreifer als Bait fungie- rosoft Azure und Digital Ocean. Zusätzlich werden Hyb- ren, so dass ein Angreifer schneller identifiziert werden ride Varianten unterstützt. Dies beinhaltet das Verwen- kann. Nach der Identifizierung eines Angreifers können den von Public und Private Clouds. Die Ersteinrichtung vordefinierte Aktionen durchgeführt werden. Dies hilft der Plattform muss manuell und mit der Unterstützung insbesondere bei der Incident-Resonse, als auch bei eines von der Software angebotenen Dienstes erfolgen. dem Erkennen und Analysieren von Gefahrensituatio- Dadurch sind unsere Erwartungen im Bereich der Auto- nen. Die CounterCraft Cyber Deception Platform zeich- matisierung nicht vollständig erfüllt worden. Die Platt- net sich vor allem durch ihre Robustheit und der Aus- form bietet besonders hohe Interaktionsmöglichkei- wahl an möglichen Tools aus. Es werden sowohl Linux ten mit Decoys und bietet mehr als fünf verschiedene mVISE White Paper www.mvise.de | service@mvise.de Seite 15
Breadcrumb-Arten an. Zu den Breadcrumbs zählen SSL OC zur Verfügung. Zusätzlich können verschiedene Pro- Zertifikate, Browser Cookies, HTTP Header, QR Codes, tokolle hinzugefügt werden, so dass eine kundenspezi- MS Office und Google Docs Dokumente. Eine IoT, be- fische Installation ermöglicht wird. Im Allgemeinen hat ziehungsweise SCADA Unterstützung findet nur teilwei- die CounterCraft Cyber Deception Platform unsere Er- se statt. SCADA wird zwar unterstützt, jedoch gilt dies wartungen in den Bereichen der unterstützten Betriebs- nicht für IoT Geräte. Es werden keinerlei Sandboxing- systeme, Cloudimplementierungsarten, Interaktions- Möglichkeiten zur Verfügung gestellt. Jedoch verfügt möglichkeiten mit Decoys, Breadcrumb-Arten und den CounterCraft über Plugins, welche für jede Sandbox auf Integrationsmöglichkeiten mit anderen Systemen voll- dem Markt verwendet werden, kann. Vor allem SIEM- kommen entsprochen. Jedoch bietet das Produkt keine Integrationen werden als Integrationsmöglichkeiten mit eigene integrierte Sandbox und auch IoT Geräte werden anderen Systemen besonders gut unterstützt. Dabei nicht unterstützt. stehen Standartmechanismen wie SysLog oder OpenI- CyberTrap Deception von CyberTrap Das Produkt CyberTrap Deception von CyberTrap ba- adcrumbs oder Lures für einen Rollout zu verwenden, siert auf einem 3-schrittigen Lösungsansatz. Zunächst wird der Lure Installer am besten verwendet. Dies kann werden Lures im Netzwerk verteilt, so dass ein Angreifer anschließend regelmäßig auf den Endpunkten, mittels in eine überwachte Umgebung geführt wird. Anschlie- Windowsgruppenrichtlinien oder ähnlicher Alternativen, ßend kann dort das Verhalten des Angreifers genauer angewandt werden. Am Ende entfernt sich der Installer, beobachtet und analysiert werden. Mittels dieser Ana- so dass keine Fingerabdrücke in der Umgebung hinter- lysen lassen sich neue Methodiken und Abwehrstrate- lassen werden. Alternativ können diese Schritte manu- gien entwickeln. Generell unterscheidet das Produkt ell durchgeführt werden. Die Interaktionsmöglichkeiten CyberTrap Deception zwischen der Endpoint Deception mit Decoys sind umfangreich vorhanden und es exis- und der Web Applikation Deception. In der Endpoint De- tieren mehr als fünf verschiedene Breadcrumb-Arten. ception werden Lures für die Endpoints verwendet. Die- Darunter zählen gefälschte FTP Client Konfigurations- se zeigen wiederum auf speziell für das Netzwerk pas- dateien, sowieso SSH, Git und Telnet Anmeldedaten, als sende Decoys. Anschließend wird dieses System mit auch RDP Verbindungshistorien und Browser Cookies. falschen Informationen gefüllt, so dass ein Angreifer Jedoch existiert weder eine SCADA, noch eine IoT Un- sie zunächst für echt hält, jedoch keinen reellen Nutzen terstützung. Dafür sind die Integrationsmöglichkeiten hat. Bei der Web Applikation Deception werden Lures an der Sandbox mit anderen Systemen gut umgesetzt. besonderes wichtigen Positionen innerhalb der produk- Die Sandbox kann sowohl interne als auch als exter- tiven Applikation verteilt. Diese Lures zeigen ebenfalls ne Sandbox verwendet werden. Das Weitern lässt sich auf Decoys. Sobald der Angreifer nun mit den Decoys CyberTrap Deception mit MISP, als einen Proxy für die interagiert, wird er mittels Monitorings überwacht. Für Sicherheitsumgebungen integrieren. Anschließend kön- Breadcrumbs und Lures wird das Windows Betriebssys- nen SIEMs über Syslogs informiert werden. CyberTrap tem unterstützt. Bei Decoys dagegen wird sowohl Win- Deception kann seine Funktionalitäten mittels REST-API dows ab der Version 7 als auch Linux unterstützt. Da Zugriffe in bereits bestehende Sicherheitslösungen ein- jedoch nicht beide Betriebssysteme immer unterstützt pflegen. Im Allgemeinen wurden unsere Anforderungen werden, wurden unsere Anforderungskriterien nicht in den Kategorien Cloudimplementierungsarten, Auto- vollständig erfüllt. Es werden sowohl Public Clouds als matisierung, Interaktionsmöglichkeiten mit Decoys, auch Private Cloudimplementierungsarten unterstützt. Breadcrumb Arten, Sandboxing und die Integration mit Für die Automatisierung können verschiedene Decoys anderen Systemen vollständig erfüllt. Insbesondere die generiert und im Anschluss an den Endpunkten verteilt Automatisierung ist bei CyberTrap Deception beson- werden. Mittels einer Installation des CyberTrap-Agen- ders überzeugend, da das Konfigurieren, Verteilen und ten, welcher über das Cyber-Trap Dashbard herunterge- Entfernen von Deception Elementen mittels eines Ins- laden werden kann, kann jede Maschine als ein Decoy tallers komplett automatisiert erfolgen kann. Allerdings konfiguriert werden. Anschließend kann sich das Decoy bietet das Produkt weder eine IoT, noch SCADA Unter- im Backend registrieren, so dass ein automatischer Ser- stützung an. vice diesen ausrollen (Rollout) kann. Um die Bre- mVISE White Paper www.mvise.de | service@mvise.de Seite 16
Fidelis Deception von Fidelis Cybersecurity Die Deception-Lösung Fidelis Deception legt seinen schließend in den Netzwerken und in der Cloud mit ein- primären Fokus auf die Überwachung von Interakionen gefügt. Fidelis Deception unterstützt weniger als fünf von den erstellten Decoys, AD Credentials, Poisened Breadcrumb Arten. Die unterstützten Breadcrumbs be- Daten und mit den Datenverkehr Analysen. Dazu nutzt schränken sich auf MS Office Dateien, Netzwerk Bread- die Deception Lösung unterschiedliche Decoys wie crumbs wie LLMNR (Link Local Multicast Name Resolu- Real PS emulated VMs (Virtuelle Maschinen) und klas- tion) und Active-Directory-Breadcrumbs. Des Weiteren sifiziert diese in einzelne Profile für die Standorte, Nut- werden zwar IoT Systeme, aber nicht SCADA Systeme, zungsarten und Typen von Ressourcen. Fidelis Decep- unterstützt. Auch das Sandboxing entspricht nicht un- tion verlangsamt die Angriffe indem es den Angreifer seren Erwartungen. Um das Sandboxing verwenden zu von seinem eigenen Angriffsziel interaktiv ablenkt und können, muss eine zusätzliche Software-Lizenz in der an falsche Stellen führt. Insgesamt ist dieses Konzept Cloud eingekauft werden. Eine Integration mit anderen von Fidelis Cybersecurity FIPS 140-2 konform. Es wer- Systemen wie beispielsweise SIEM oder Logmanage- den sowohl Windows als auch Linux/UX Betriebssyste- ment Systeme ist prinzipiell möglich. Diese kann mit- me unterstützt. Als Public Clouds wird beispielsweise hilfe einer API in das andere System integriert werden. Amazon AWS, unterstützt. Es werden ebenfalls Private Im Allgemeinen bietet Fidelis Deception gute Integra- Clouds unterstützt. Die Mechanismen zur Automatisie- tionsmöglichkeiten im Vergleich zu vielen anderen Pro- rung beinhaltet das Erfassen und die Klassifizierung dukten. Fidelis Deception ist ein Teil der Fidelis Elevate von Netzwerken, Clouds und Ressourcen. Anschlie- Lösung und kann mit den anderen Bestandteilen, wie ßend könnnen Profile, nach Ort, Verwendungszeck und dem Fidelis Network oder dem Fidelis Endpoint, imple- dem Typ der Ressource ertsellt werden. Diese werden mentiert werden. Einzig und allein die mangelnde SCA- in regelmäßigen Abständen aktualisiert. Mithilfe dieser DA Unterstützung und das externe Sandboxing erfüllen Vorgehensweise wird die automatische Erfassung von unsere Erwartungen nicht. relevanten Informationen, welche für die Erstellung der Decoys relevant sind, unterstützt. Dadurch werden die hohen Interatktionsmöglichkeiten der Decoys ermög- licht. Nach der Erstellung der Decoys, werden diese an- Attack Detection System von Illusive Networks Attack Detection System von Illusive Networks basiert System einige Details. Aus diesem Grund lassen sich auf einer Maschinen-Learning Technologie. Dabei liegt leider keine Aussagen zu den unterstützten Betriebs- der primäre Fokus des Produkts auf Incident-Response systemen, Cloudimplementierungsarten, Integrations- und führt unter anderem Möglichkeiten auf, welche As- möglichkeiten mit Decoys, IoT/SCADA Unterstützung sets in Gefahr sind, wenn ein Angriff stattfindet. Es wer- und zum Sandbox-Verhalten machen. Allerdings entwi- den über 50 verschiedene Maßnahmen ergriffen um An- ckelt sich die Deception-Lösung im Bereich der Auto- meldedaten, Verbindungen, Daten, Systeme und andere matisierung mittels künstlicher Intelligenz weiter. Aus für den Angreifer interessante Objekte nachzuahmen. diesem Grund lassen sich Deception-Techniken an der Mittels eines Deception Management Systems (DMS) Umgebung anpassen und zeitnah aktualisieren. Mithil- werden durch Analysen, Endpunkte für jede Maschine fe von künstlicher Intelligenz wird anschließend fest- mit den entsprechenden Täuschungselementen be- gestellt, ob die jeweiligen Deception-Elemente zu den reitgestellt. Dabei erfolgt dieser Prozess mittels Auto- entsprechenden Endpunkten passen. Das Attack De- matisierung. Das Produkt selbst bietet eine leichte tection System wendet seine Deception Strategie an Handhabung, so dass beispielsweise die Installation jeden der Endpunkte und Server des Netzwerkes an. und Verwaltung einfach erfolgen kann. Zusätzlich eig- Als Breadcrumbs werden verschiedene Shares und ge- net sich Attack Detection System für sowohl große als fälschte Anmeldedaten genutzt. Das System kann mit auch kleinere Unternehmen. Für unsere vordefinierten jedem SIEM Tool, Google VirusTotal, Cisco Umbrella Auswertungskriterien fehlen bei dem Produkt Attack und einigen anderen Management Solutions integriert mVISE White Paper www.mvise.de | service@mvise.de Seite 17
werden. Es bietet einen hohen Integrations- und Auto- illusive Networks einen anderen Ansatz mittels Maschi- matisierungsgrad. Generell lassen sich nur wenig Aus- nen-Learning verfolgt. Auf Grund dessen lässt sich das sagen zu diesem Produkt hinsichtlich unserer Bewer- Produkt schlecht mit den anderen hinsichtlich der Be- tungskriterien sagen, da Attack Detection System von wertungskriterien vergleichen. DeceptionGrid von TrapX Security 2018 wurde die Deception Lösung DeceptionGrid von selbständig Deception-Elemente erstellen und an ihrer TrapX Security von SCawardsEUROPE zur besten De- Umgebung anpassen. Mittels einer Echtzeit-Automa- ception Technologie des Jahres gekürt. DeceptionGrid tisierung wird eine Isolation und das Weiterleiten von generiert bei seiner Lösung die Täuschungselemente Malware in einen getrennten Bereich ermöglicht. De- dynamisch. Dies soll dabei helfen einen Angreifer im ceptionGrid besitzt eine hohe Interaktionsmöglichkeit Netzwerk schneller ausfindig zu machen. Dabei schei- mit den verschiedenen Decoys. Zusätzlich gibt es noch nen die Deception-Elemente in jeder Hinsicht identisch verschiedene Breadcrumb-Arten. Darunter zählen unter mit den realen Elementen. Unter anderen wird dies mit- anderem SSH Links, Täuschungsfiles, RDP Tokens, SMB tels verschiedener Scans ermöglicht. Nach der Unter- Shares und gefälschte Anmeldedaten. Darüber hinaus suchung des Systems werden verschiedene Decep- werden sowohl IoT, als auch SCADA Systeme unter- tion-Elemente im existierenden Netzwerk hinterlassen. stützt. Die fehlende Sandbox oder Sandbox Alternative Darunter befinden sich beispielsweise Lures und Deco- ist als einziges von unseren Bewertungskriterien zu be- ys. Um den Benutzer der Deception-Lösung zusätzliche mängeln. Jedoch lässt sich DeceptionGrid zu mindest Möglichkeiten zu bieten, lassen sich auch Decoys gene- mit den meisten Sandboxes integrieren. Generell bietet rieren, indem ein Benutzer auf das gewünschte Asset DeceptionGrid eine einfache und gute Integration mit zeigt. Im Anschluss lernt DeceptionGrid die Attribute anderen Systemen. Dies wird mittels einer REST-API er- des Systems und kann so ein Täuschungselement er- möglicht. Zusammengefasst bietet DeceptionGrid zwar zeugen. DeceptionGrid unterstützt sowohl Windows als keine eigene Sandbox-Funktion an, dafür werden aber auch Linux Betriebssysteme. Zusätzlich werden sowohl alle anderen Erwartungen von uns erfüllt. Als eine klei- Public Clouds, darunter Amazon AWS und Microsoft ne Zusatzfunktion bietet TrapX, der Hersteller von De- Azure, als auch Private Clouds unterstützt. Im Bereich ceptionGrid, ein Online Netzwerk namens DeceptionNet der Automatisierung führt DeceptionGrid als ersten Community. Dort können sowohl Deception Neuigkei- Schritt einen Netzwerkscan durch. Anschließen werden ten als auch mögliche Strategien ausgetauscht werden. hunderte bis tausende Vorschläge zu möglichen Decep- tion Elementen erstellt. Des Weiteren können Benutzer mVISE White Paper www.mvise.de | service@mvise.de Seite 18
Sie können auch lesen
