Was ist Deception Technology?

Warum ist Deception-Technologie ein wichtiges Thema?

Selbst ein noch so guter Perimeterschutz kann das Risiko, dass Cyberkriminelle ins Netzwerk eindringen, nicht komplett ausschalten. Deswegen sollten Unternehmen zusätzlich den Einsatz von Deception Technology erwägen, um etwaige Angreifer mit wertlosen Decoys zu ködern. Wenn die Angreifer sich in die Falle locken lassen und ihre Präsenz preisgeben, ist das Unternehmen gewarnt und kann Erkenntnisse zum Verhalten der Angreifer erfassen, um sie effektiv zu bekämpfen.

Der Grundgedanke heutiger Deception-Tools geht auf Militärstrategen wie Chanakya, Sunzi, Napoleon und Dschingis Khan zurück, denen es bei Eroberungsfeldzügen gelang, den Feind mithilfe von Tarnung, Täuschungs- und Ausweichmanövern zu überlisten. Im Kontext der Cybersicherheit werden Angreifer mit Decoys und Ködern dazu verleitet, sich zu erkennen zu geben.

Vorteile von Deception Technology

Deception-Tools verschaffen Unternehmen einen enormen Vorteil gegenüber Hackern und anderen Cyberkriminellen: Durch die im Netzwerk platzierten Decoys wird die Wahrscheinlichkeit eines erfolgreichen Angriffs beträchtlich verringert, während die Chancen einer erfolgreichen Abwehr erheblich höher werden. Die Angreifer können sich keinen einzigen Fehler leisten – sobald sie in eine der ausgelegten Fallen tappen, ist ihr Vorhaben schon gescheitert.

Konkret beruht die Wirksamkeit heutiger Deception-Tools insbesondere auf fünf Merkmalen:

1. Verbesserte Bedrohungserkennung

Bei der herkömmlichen Bedrohungserkennung dominieren zwei Extreme:

• Signaturbasierte Erkennung, die hochgradig präzise, aber sehr bedrohungsspezifisch ist
• Verhaltensanalyse/-heuristik , die eine breite Bedrohungsabdeckung bietet, aber anfällig für Fehlalarme ist.

Deception-Warnungen kombinieren die Vorteile beider Erkennungsklassen: hohe Genauigkeit und breite Bedrohungsabdeckung.

2. Gezielte Ausrichtung an aktuellen Geschäftsrisiken

Unternehmerische Risiken aufgrund aktueller Geschäftsvorgänge werden von gängigen Sicherheitskontrollen im Regelfall nicht berücksichtigt: Die Antivirus-Software weiß nichts von der bevorstehenden Fusion. Deception-Technologie hingegen kann so konfiguriert werden, dass die Täuschungsmechanismen gezielt an speziellen Risikobereichen ausgerichtet werden, die z. B. bei der Markteinführung eines neuen Produkts entstehen.

3. Lückenlose Erfassung aller Umgebungen

Deception-Tools können in sämtlichen Umgebungen eingesetzt werden – einschließlich solchen, die sich schwer überblicken lassen. Über die Bedrohungserkennung am Perimeter, auf Endgeräten, im Netzwerk, in aktiven Verzeichnissen und Anwendungsschichten hinaus eignen sie sich auch zum Schutz von Umgebungen, die sonst häufig vernachlässigt werden. Dies betrifft u. a. SCADA/ICS, IoT und die Cloud.

Im Vergleich zu Einzellösungen bietet Deception-Technologie zudem den Vorteil, dass sämtliche Phasen der Kill Chain erfasst werden – von der Ausspähung im Vorfeld eines Angriffs über die Ausnutzung von Schwachstellen, unbefugte Vergabe erweiterter Zugriffsberechtigungen und laterale Verbreitung von Bedrohungen bis hin zum Datendiebstahl.

4. Sehr geringe Anzahl von Fehlalarmen

Ständige Fehlalarme zermürben auch die besten Sicherheitsteams und können zu Alarmmüdigkeit führen. Bei den von Deception-Tools ausgegebenen Warnmeldungen handelt es sich selten um False Positives – denn in aller Regel haben legitime User keinen Grund, mit den im Netzwerk platzierten Decoy-Ressourcen zu interagieren. Entsprechend dienen die Warnmeldungen als zuverlässige Indikatoren für verdächtige Aktivitäten und liefern wertvolle Informationen über die Absichten der Angreifer.

Die meisten Verhaltensanalysen nutzen maschinelles Lernen, um Abweichungen von einer Baseline zu erkennen, was häufig zu Fehlalarmen führt. Deception legt eine Null-Aktivitäts-Baseline fest (so dass jede Aktivität eine Untersuchung rechtfertigt) und liefert detaillierte Hinweise auf Kompromittierungen.

5. Orchestrierte Reaktion

Orchestrierte/Automatische Reaktionen sind am nützlichsten, wenn das auslösende Ereignis zu 100 % sicher ist. Selbst dann müssen solche Warnungen normalerweise nicht orchestriert werden, da die Produkte, die sie generieren, bereits Abhilfemaßnahmen (z. B. Antivirus-Quarantäne) durchführen.

Deception-Tools geben hochgradig zuverlässige, stark kontextbezogene Warnmeldungen aus. Daher eignen sie sich zur Orchestrierung komplexer Szenarien – z. B. Decoy-Zugangsdaten, die zur Weiterleitung in eine Decoy-Umgebung bei gleichzeitiger Sperrung des betreffenden Users in der echten Umgebung führen. Alternativ können Decoys gezielt zum Schutz bestimmter Anwendungen eingesetzt werden, indem etwa ein Konto, das auf einen Decoy-Server zur Abwicklung von SWIFT-Zahlungen zugreift, im echten SWIFT-Server gesperrt wird.

So funktioniert Deception-Technologie

Fortschrittliche Deception-Technologie zeichnet sich durch den Einsatz aktiver Techniken zur Abwehr von Angriffen aus, um zu verhindern, dass Angreifer im Unternehmensnetzwerk Fuß fassen. Ähnlich wie Honeypots, mit denen wir uns später befassen, werden als Decoys bezeichnete, vermeintliche Produktivressourcen im Netzwerk platziert, um Angreifer zu täuschen, wohingegen legitime User keinen Grund haben, darauf zuzugreifen. Anhand der ausgegebenen Warnmeldungen können schädliche Aktivitäten frühzeitig erkannt und aussagekräftige Erkenntnisse über das Verhalten von Angreifern gewonnen werden. Darüber hinaus leisten sie einen wertvollen Beitrag zum Schutz vor lateraler Verbreitung im Netzwerk sowie zur Orchestrierung der Reaktion auf und Eindämmung von Bedrohungen ohne menschliche Aufsicht.

Zukunftsfähige Deception-Plattformen wenden ein proaktives Erkennungsmodell mit geringer Fehlalarmquote an. Deep Analytics zielt auf die menschliche Absicht hinter einem Angriff ab, passt sich an neue Bedrohungen an, bevor diese auftreten, und ermöglicht die Orchestrierung und Automatisierung von Reaktionsmaßnahmen. Da Deception-Mechanismen zur Erkennung von Bedrohungen nicht auf Signaturen oder Heuristiken angewiesen sind, können sie praktisch jeden Angriffsvektor abdecken und praktisch jeden Angriff in Echtzeit erkennen – einschließlich Advanced Persistent Threats (APTs), Zero-Day-Bedrohungen, Aufklärung, Lateral Movement, dateilose Angriffe, Social Engineering, Man-in-the-Middle-Angriffe und Ransomware.

Sobald Sie einen Angreifer in Ihrem Netzwerk identifiziert haben, können Sie die Deception-Umgebung auf Grundlage Ihres Wissens über den Angriff in Echtzeit manipulieren. Hier sind einige mögliche Situationen:

• Manipulieren Sie den Angreifer, indem Sie trügerische Assets generieren oder entfernen.
• Generieren Sie Netzwerk-Traffic, Warnungen oder Fehlermeldungen, um den Angreifer zu einem bestimmten Verhalten anzustiften.
• Implementieren Sie Session-Hijacking-Tools, um die Wahrnehmung der Umgebung durch den Angreifer zu trüben oder zu verzerren.
• Schaffen Sie Situationen, die einen Angreifer zwingen, Informationen über seine Identität und seinen Ursprung preiszugeben, um vermeintliche Hindernisse zu umgehen.

Deception-Technologie dient nicht nur dazu, Cyberkriminellen zusätzliche Hindernisse in den Weg zu stellen. Ihre Wirksamkeit beruht darauf, dass Angreifer zumeist nur eine ungefähre Kenntnis der Umgebung haben, die sie zu infiltrieren versuchen, und daher nicht in der Lage sind, Decoys von echten Ressourcen zu unterscheiden. Dadurch wird die Machtdynamik zwischen Angreifer und Verteidiger ins Gegenteil verkehrt und das Unternehmen erhält präzise Informationen über die Angriffsziele und -taktiken der Kriminellen.

Aktuelle Deception-Technologie und Honeypots im Vergleich

Honeypots wurden bereits vor mehreren Jahrzehnten als erstes Deception-Tool für die Informationssicherheit entwickelt und sind bis heute im Einsatz. Dabei handelt es sich um ungeschützte Ressourcen, die unter ständiger Überwachung stehen und quasi als Köder für Angreifer ausgelegt werden, die sich unbefugt Zugang zum Netzwerk verschaffen. Sobald auf den Honeypot zugegriffen wird, erhält das Sicherheitsteam eine Warnmeldung. Der Angriff kann dann entweder sofort beendet oder aber ausgenutzt werden, um Informationen über das Verhalten der Hacker zu sammeln.

Ältere Deception-Technologien wie Honeypots, Honey Credentials und dergleichen sind im Wesentlichen reaktive, statische Techniken. Sie können schnell veralten und mit den sich ändernden Taktiken der Angreifer nicht Schritt halten, was es Angreifern leichter macht, der Entdeckung zu entgehen und sich im Netzwerk einzunisten. Über das Internet zugängliche Honeypots und Honeynets können zu vielen Fehlalarmen führen, wenn die Technologie nicht zwischen umfassenden Scan-Aktivitäten und gezielter Aufklärung unterscheiden kann.

Nachteile herkömmlicher Lösungen zur Bedrohungserkennung

Cyber-Täuschungsmethoden gehen davon aus, dass ein Angreifer Ihre Cybersicherheit bereits umgangen und auf Ihr Netzwerk, Ihre Endpunkte, Betriebssysteme und Anwendungen zugegriffen hat. Andere Bedrohungserkennungsmethoden sind darauf ausgelegt, Sicherheitsteams auf Bedrohungen aufmerksam zu machen, bieten jedoch keinen zuverlässigen Schutz vor komplexen Angriffen.

Veraltete Erkennungstools wie Firewalls und EDR-Lösungen, die jeweils für einen bestimmten Sicherheitstyp (Netzwerk, Anwendung, Endpunkt, IoT-Geräte usw.) entwickelt wurden, arbeiten oft isoliert voneinander. Dies bringt mehrere Probleme mit sich:

• Warnungen mit geringer Zuverlässigkeit, da diese Tools nur ihren spezifischen Bereich der Sicherheitsinfrastruktur ohne Kontext sehen können.
• Längere Untersuchungszeit, da Sicherheitsanalysten zwischen mehreren Tools wechseln müssen, um die Angriffssequenz und das Schadensausmaß aufzudecken.
• Hohe Fehlalarmquoten, die zu Alarmmüdigkeit führen. Eine Umfrage von ESG aus dem Jahr 2021 ergab, dass es sich bei 45 % der Warnungen der Webanwendungs- und API-Sicherheitstools der Befragten um Falschmeldungen handelte.

Hinzu kommt, dass herkömmliche Tools zur Bedrohungserkennung bei der Bekämpfung von Malware oft eine sehr viel höhere Wirksamkeit entfalten als im Kampf gegen menschliche Akteure, die sich unbefugten Zugang zum Netzwerk verschaffen. Auch gegen Insider-Bedrohungen durch Mitarbeiter des Unternehmens können sie zumeist wenig ausrichten. Cyberkriminelle bedienen sich sehr raffinierter Taktiken, um das Verhalten legitimer User nachzuahmen und dadurch unerkannt zu bleiben. Sobald sie jedoch auf einer Deception-Plattform mit einem Decoy interagieren, fliegt diese Tarnung auf.

Anwendungsfälle für Deception Technology

Welche Arten von Bedrohungen lassen sich mit Deception-Technologie erkennen?

Mit Deception-Technologie können Sie Bedrohungen entlang der gesamten Kill Chain erkennen, von der Aufklärung bis zum Datendiebstahl. Es gibt drei breite Kategorien von Anwendungsfällen:

• Perimeterbasierte Deception-Mechanismen: Es ist normalerweise nicht machbar, den gesamten eingehenden Traffic auf potenzielle Bedrohungen zu überwachen. Das Einrichten irreführender, öffentlich zugänglicher Assets kann dieses Problem vereinfachen und Ihnen verwertbare Informationen zu potenziellen Angreifer liefern.
• Netzwerkbasierte Deception-Mechanismen: Das Platzieren von Decoys an Orten, auf die legitime User niemals zugreifen müssten, kann einen laufenden Angriff identifizieren.
• Endgerätbasierte Deception-Mechanismen:Für einen Angreifer sehen Decoys auf Endgeräten wie wertvolle Assets aus, die nur darauf warten, exfiltriert zu werden. Durch die Überwachung dieser Assets können Sie verdächtiges Verhalten sowie Verhalten erkennen, das im Netzwerk die Norm wäre, aber zu einem bestimmten Zeitpunkt an einem bestimmten Endgerät keine Berechtigung hat.

Wann empfiehlt sich der Einsatz von Deception Technology?

Bis vor kurzem herrschte in Fachkreisen die Annahme vor, der Einsatz von Deception-Technologie sei hauptsächlich für Unternehmen mit hochgradig ausgereiften Cybersicherheitsprogrammen sinnvoll. Tatsächlich können auch mittelständische und kleinere Organisationen durchaus von dieser Technologie profitieren. Aktuell setzt sie sich zunehmend bei Organisationen aller Größen und Branchen durch.

Etablierte Großunternehmen

Zukunftsorientierte Organisationen mit hochentwickelten Sicherheitsprogrammen und entsprechenden IT-Budgets setzen Deception Technology ein, um ihre Bedrohungserkennung, interne Erfassung und Auswertung einschlägiger Daten sowie ihre Reaktionsfähigkeit zu optimieren.

Für diese Organisationen hat die Erkennung komplexer Bedrohungen sowie die proaktive Bedrohungssuche Vorrang. Ein weiteres Plus stellt die Möglichkeit einer Integration mit vorhandenen Technologien zur Orchestrierung von Vorfallsreaktionen dar. Die insgesamt breitere Akzeptanz von Deception-Technologie wurde entscheidend durch ihren erfolgreichen Einsatz in diesem Marktsegment begünstigt.

Mittelständische und kleinere Unternehmen

CISOs im mittleren Marktsegment und schlanke Sicherheitsteams in kleineren Organisationen arbeiten mit kleineren Budgets, haben aber dennoch häufig mit großen Bedrohungen und Risiken wie Compliance-Bedenken zu kämpfen. Diese Organisationen haben vielleicht zumindest eine grundlegende Sicherheitsstrategie etabliert, müssen aber in der Lage sein, ernstere Bedrohungen zu erkennen. Sie benötigen etwas, das:

• Schnell einsatzbereit ist und schnelle Erfolge gewährleistet
• Einfach zu verwenden und wartungsarm und daher für ein kleines internes Sicherheitsteam geeignet ist
• Keine Einzellösung sein darf, da das Budget nicht für mehrere Technologien ausreicht
• Für eine breite Abdeckung gerüstet ist, einschließlich Bereiche wie Cloud und IoT

Deception erfüllt alle diese Kriterien und schützt Organisationen in diesem Segment auch vor komplexen, gezielten Bedrohungen.

Zscaler: Deception Technology mit Zero-Trust-Architektur

Keine einzelne Cybersicherheitstechnik oder -richtlinie kann Angreifer zu 100 % stoppen. Für maximalen Schutz benötigen Sie mehrere Technologien, die zusammenarbeiten und Informationen austauschen. Ziel ist es, Ihre Angriffsfläche zu minimieren und eine schnellere Behebung von Vorfällen zu unterstützen.

Eine der wirksamsten Kombinationen ist die Integration von Deception-Technologie mit Zero-Trust-Sicherheit. Zero Trust beruht auf der Annahme, dass jeder Zugriff oder jede Useranforderung verdächtig ist, bis sowohl die Identität des Users als auch der Kontext der Anforderung authentifiziert und autorisiert sind. Dadurch wird nur Zugriff auf die minimal erforderlichen Ressourcen gewährt – ein Konzept, das als „Prinzip der minimalen Rechtevergabe“ bezeichnet wird.

Innerhalb einer Zero-Trust-Umgebung fungieren Deception-Decoys quasi als Stolperdrähte, deren Auslösung die Erkennung unbefugter Zugriffsversuche bzw. lateraler Bewegungen im Netzwerk ermöglicht. Durch Verfolgen unbefugter Zugriffe und lateraler Bewegungen in einer sicheren, isolierten Umgebung erhält das Unternehmen Informationen über die Erkenntnisse und Absichten der Angreifer. Neben der Blockierung von Angriffen wird die Überwachung und Auswertung der angewandten Taktiken, Techniken und Verfahren ermöglicht.

Aktive Bedrohungsabwehr mit dem MITRE Engage Framework

MITRE Engage hat sich als branchenspezifisches Framework für den Informationsaustausch und die koordinierte Planung von Aktivitäten zur Bekämpfung, Täuschung und Abwehr von Angreifern bewährt. Als Grundlage dienen Erkenntnisse, die aus der Beobachtung realer Angriffe gewonnen wurden. Für Unternehmen liefert die Matrix des MITRE-Frameworks einen objektiven taktischen Leitfaden für die Umsetzung von Best Practices zur Bereitstellung und effektiven Verwendung von Deception-Tools im Rahmen einer umfassenden Sicherheitsstrategie nach dem Zero-Trust-Prinzip.

Zscaler unterstützt die Arbeit von MITRE im Rahmen des Engage-Frameworks. Klicken Sie hier, um mehr zu erfahren.