Was ist Deception Technology?

Warum ist Deception-Technologie ein wichtiges Thema?

Selbst ein noch so guter Perimeterschutz kann das Risiko, dass Cyberkriminelle ins Netzwerk eindringen, nicht komplett ausschalten. Deswegen sollten Unternehmen zusätzlich den Einsatz von Deception Technology erwägen, um etwaige Angreifer mit wertlosen Decoys zu ködern. Wenn die Angreifer sich in die Falle locken lassen und ihre Präsenz preisgeben, ist das Unternehmen gewarnt und kann Erkenntnisse zu Verhalten der Angreifer erfassen, um sie effektiv zu bekämpfen.

Der Grundgedanke heutiger Deception-Tools geht auf Militärstrategen wie Chanakya, Sunzi, Napoleon und Dschingis Khan zurück, denen es bei Eroberungsfeldzügen gelang, den Feind mithilfe von Tarnung, Täuschungs- und Ausweichmanövern zu überlisten. Zur Abwehr von Cyberangriffen kommen Decoys und Köder zum Einsatz, um Angreifer zur Preisgabe ihrer Taktik zu verleiten.

Vorteile von Deception Technology

Deception-Tools verschaffen Unternehmen einen enormen Vorteil gegenüber Hackern und anderen Cyberkriminellen: Durch die im Netzwerk platzierten Decoys wird die Wahrscheinlichkeit eines erfolgreichen Angriffs beträchtlich verringert, während die Chancen einer erfolgreichen Abwehr erheblich höher werden. Die Angreifer können sich keinen einzigen Fehler leisten – sobald sie in eine der ausgelegten Fallen tappen, ist ihr Vorhaben schon gescheitert.

Konkret beruht die Wirksamkeit heutiger Deception-Tools insbesondere auf fünf Merkmalen:

1. Präzise Erkennung eines breiten Spektrums von Bedrohungen

Bei der herkömmlichen Bedrohungserkennung dominieren zwei Extreme:

• Signatur-basierte Erkennung – sehr präzise, jedoch gezielt auf bestimmte Bedrohungsarten spezialisiert
• Verhaltensanalyse/Heuristik – erfasst ein breites Spektrum an Bedrohungen, jedoch anfällig für False Positives

Deception-Tools kombinieren die Vorteile beider Technologien und geben Warnmeldungen aus, die sich durch hohe Präzision bei Erfassung eines breiten Bedrohungsspektrums auszeichnen.

2. Gezielte Ausrichtung an aktuellen Geschäftsrisiken

Unternehmerische Risiken aufgrund aktueller Geschäftsvorgänge werden von gängigen Sicherheitskontrollen im Regelfall nicht berücksichtigt: Die Antivirus-Software weiß nichts von der bevorstehenden Fusion. Deception-Technologie hingegen kann so konfiguriert werden, dass die Täuschungsmechanismen gezielt an speziellen Risikobereichen ausgerichtet werden, die z. B. bei der Markteinführung eines neuen Produkts entstehen.

3. Lückenlose Erfassung aller Umgebungen

Deception-Tools können in sämtlichen Umgebungen eingesetzt werden – einschließlich solchen, die sich schwer überblicken lassen. Über die Bedrohungserkennung am Perimeter, auf Endgeräten, im Netzwerk, in aktiven Verzeichnissen und Anwendungsschichten hinaus eignen sie sich auch zum Schutz von Umgebungen, die sonst häufig vernachlässigt werden. Dies betrifft u. a. SCADA/ICS, IoT und die Cloud.

Im Vergleich zu Einzellösungen bietet Deception-Technologie zudem den Vorteil, dass sämtliche Phasen der Kill Chain erfasst werden – von der Ausspähung im Vorfeld eines Angriffs über die Ausnutzung von Schwachstellen, unbefugte Vergabe erweiterter Zugriffsberechtigungen und laterale Verbreitung von Bedrohungen bis hin zum Datendiebstahl.

4. Sehr geringe Anzahl von Fehlalarmen

Ständige Fehlalarme zermürben auch die besten Sicherheitsteams und können zu Alarmmüdigkeit führen. Bei den von Deception-Tools ausgegebenen Warnmeldungen handelt es sich selten um False Positives – denn in aller Regel haben legitime User keinen Grund, mit den im Netzwerk platzierten Decoy-Ressourcen zu interagieren. Entsprechend dienen die Warnmeldungen als zuverlässige Indikatoren für verdächtige Aktivitäten und liefern wertvolle Informationen über die Absichten der Angreifer.

Bei Verhaltensanalysen werden in der Regel Machine-Learning-Algorithmen zur Identifikation von Abweichungen von einem Baseline-Wert eingesetzt. Bei diesem Verfahren kommt es häufig zu Fehlalarmen. Deception-Technologie geht von Null als Baseline aus, sodass jede versuchte Interaktion mit einem Decoy eine Untersuchung auslöst, und liefert detaillierte Indikatoren für Sicherheitsverstöße.
 

5. Orchestrierte Vorfallsreaktionen

Orchestrierte/Automatisierte Vorfallsreaktionen sind vor allem bei hundertprozentig zuverlässigen Warnmeldungen sinnvoll. Selbst in diesen Fällen ist oft keine Orchestrierung erforderlich, da die Produkte, die die Warnungen ausgeben, sowieso eigene Fehlerbehebungsmaßnahmen anwenden (z. B. Antivirus-Quarantäne).

Deception-Tools geben hochgradig zuverlässige, stark kontextbezogene Warnmeldungen aus. Daher eignen sie sich zur Orchestrierung komplexer Szenarien – z. B. Decoy-Zugangsdaten, die zur Weiterleitung in eine Decoy-Umgebung bei gleichzeitiger Sperrung des betreffenden Users in der echten Umgebung führen. Alternativ können Decoys gezielt zum Schutz bestimmter Anwendungen eingesetzt werden, indem etwa ein Konto, das auf einen Decoy-Server zur Abwicklung von SWIFT-Zahlungen zugreift, im echten SWIFT-Server gesperrt wird.

So funktioniert Deception-Technologie

Fortschrittliche Deception-Technologie zeichnet sich durch den Einsatz aktiver Techniken zur Abwehr von Angriffen aus, um zu verhindern, dass Angreifer im Unternehmensnetzwerk Fuß fassen. Ähnlich wie Honeypots, mit denen wir uns später befassen, werden als Decoys bezeichnete, vermeintliche Produktivressourcen im Netzwerk platziert, um Angreifer zu täuschen, wohingegen legitime User keinen Grund haben, darauf zuzugreifen. Anhand der ausgegebenen Warnmeldungen können schädliche Aktivitäten frühzeitig erkannt und aussagekräftige Erkenntnisse über das Verhalten von Angreifern gewonnen werden. Darüber hinaus leisten sie einen wertvollen Beitrag zum Schutz vor lateraler Verbreitung im Netzwerk sowie zur Orchestrierung der Reaktion auf und Eindämmung von Bedrohungen ohne menschliche Aufsicht.

Heutige Deception-Plattformen zeichnen sich durch einen proaktiven Ansatz zur Bedrohungserkennung aus, der kaum Fehlalarme hervorbringt. Aus der Analyse großer Datenmengen werden aussagekräftige Erkenntnisse über die Absichten der Angreifer gewonnen. Dadurch wird es möglich, auch neuartige Bedrohungen im Voraus zu erkennen und abzuwehren. Im Ernstfall werden effektive Fehlerbehebungsmaßnahmen durch die Orchestrierung und Automatisierung von Vorfallsreaktionen beschleunigt. Da die Bedrohungserkennung weder auf Signaturen noch auf Heuristik basiert, eignen sich Deception-Tools zur Überwachung so gut wie aller Angriffsvektoren. Von Advanced Persistent Threats (APTs) über Zero-Day-Angriffe, Ausspähungsversuche, laterale Bewegungen im Netzwerk, dateilose Angriffe bis hin zu Social Engineering, Man-in-the-Middle-Angriffen und Ransomware wird ein breites Spektrum unterschiedlicher Bedrohungsarten in Echtzeit erkannt.

Wird ein Angreifer im Unternehmensnetzwerk entdeckt, kann die Deception-Umgebung in Echtzeit manipuliert und damit das Verhalten der Angreifer gesteuert werden. Die gewonnenen Erkenntnisse über Absicht und Ziel des Angriffs leisten hier eine wertvolle Hilfestellung. Als besonders wirksam haben sich u. a. folgende Strategien erwiesen:

• Kontrolle der Angreifer durch Erstellen bzw. Entfernen von Decoys
• Netzwerk-Traffic, Warn- oder Fehlermeldungen, die Angreifer zu bestimmten Aktionen/Verhaltensweisen verleiten sollen
• Session-Hijacking-Tools, die Angreifern eine verschleierte bzw. verzerrte Wahrnehmung der Umgebung vermitteln
• gezielt inszenierte Situationen, in denen Angreifer zur Offenlegung von Informationen über ihre Identität und ihre Strategie zur Umgehung vermeintlicher Hürden gezwungen werden

Deception-Technologie dient nicht nur dazu, Cyberkriminellen zusätzliche Hindernisse in den Weg zu stellen. Ihre Wirksamkeit beruht darauf, dass Angreifer zumeist nur eine ungefähre Kenntnis der Umgebung haben, die sie zu infiltrieren versuchen, und daher nicht in der Lage sind, Decoys von echten Ressourcen zu unterscheiden. Dadurch wird die Machtdynamik zwischen Angreifer und Verteidiger ins Gegenteil verkehrt und das Unternehmen erhält präzise Informationen über die Angriffsziele und -taktiken der Kriminellen.

Aktuelle Deception-Technologie und Honeypots im Vergleich

Honeypots wurden bereits vor mehreren Jahrzehnten als erstes Deception-Tool für die Informationssicherheit entwickelt und sind bis heute im Einsatz. Dabei handelt es sich um ungeschützte Ressourcen, die unter ständiger Überwachung stehen und quasi als Köder für Angreifer ausgelegt werden, die sich unbefugt Zugang zum Netzwerk verschaffen. Sobald auf den Honeypot zugegriffen wird, erhält das Sicherheitsteam eine Warnmeldung. Der Angriff kann dann entweder sofort beendet oder aber ausgenutzt werden, um Informationen über das Verhalten der Hacker zu sammeln.

Bei den ursprünglichen Deception-Tools (Honeypots, Honey Credentials usw.) handelte es sich um reaktive, statische Techniken. Sie veralten schnell und lassen sich durch neue Angriffstaktiken leicht umgehen. Honeypots und Honeynets, die über das Internet zugänglich sind, können zu häufigen Fehlalarmen führen, wenn die Technologie nicht zwischen breit angelegten Scanning-Aktivitäten und gezielter Erkundung unternehmenskritischer Ressourcen unterscheiden kann.

Nachteile herkömmlicher Lösungen zur Bedrohungserkennung

Deception-Techniken basieren auf der Annahme, dass Angreifer sich bereits unter Umgehung Ihrer perimeterbasierten Cybersicherheit Zugang zum Netzwerk verschafft bzw. auf Endgeräte, Betriebssysteme und Anwendungen zugegriffen haben. Aufgrund ihrer hochgradigen Präzision und Zuverlässigkeit bei der Ausgabe von Warnmeldungen haben sie sich auch zur Abwehr sehr raffinierter Angriffe bewährt, denen herkömmliche Methoden der Bedrohungserkennung nicht gewachsen sind.

Legacy-Tools zur Bedrohungserkennung wie Firewalls und Endpoint Detection, die jeweils zur Sicherung spezieller Umgebungen oder Ressourcen (Netzwerk, Anwendung, Endgerät, IoT-Geräte usw.) konzipiert sind, arbeiten oft isoliert voneinander. Dadurch ergeben sich verschiedene Probleme:

• Warnmeldungen mit geringem Zuverlässigkeitsgrad, da die betreffenden Tools jeweils nur einen kleinen Ausschnitt der gesamten Sicherheitsinfrastruktur erfassen.
• Höherer Zeitaufwand für Untersuchungen, da die Sicherheitsanalysten zwischen mehreren Tools wechseln müssen, um die Angriffssequenz und den Umfang des Schadens aufzudecken.
• Alarmmüdigkeit infolge häufiger Fehlalarme. Eine ESG-Umfrage von 2021 ergab, dass 45 % aller Warnmeldungen, die von den Webanwendungs- und API-Sicherheitstools der befragten Unternehmen ausgegeben wurden, False Positives waren.

Hinzu kommt, dass herkömmliche Tools zur Bedrohungserkennung bei der Bekämpfung von Malware oft eine sehr viel höhere Wirksamkeit entfalten als im Kampf gegen menschliche Akteure, die sich unbefugten Zugang zum Netzwerk verschaffen. Auch gegen Insider-Bedrohungen durch Mitarbeiter des Unternehmens können sie zumeist wenig ausrichten. Cyberkriminelle bedienen sich sehr raffinierter Taktiken, um das Verhalten legitimer User nachzuahmen und dadurch unerkannt zu bleiben. Sobald sie jedoch auf einer Deception-Plattform mit einem Decoy interagieren, fliegt diese Tarnung auf.

Anwendungsfälle für Deception Technology

Welche Arten von Bedrohungen lassen sich mit Deception-Technologie erkennen?

Deception Technology unterstützt Unternehmen bei der Erkennung von Bedrohungen in sämtlichen Phasen der Kill Chain — von der Aufklärung bis zum Datendiebstahl. Die Anwendungsfälle lassen sich in drei grobe Kategorien einteilen:

• Deception Technology am Netzwerkperimeter: Eine Überwachung des gesamten eingehenden Traffics auf Bedrohungen ist normalerweise nicht praktikabel. Der Einsatz von Decoys an öffentlich zugänglichen Punkten kann hier die Lösung sein und der Organisation aussagekräftige Erkenntnisse zu potenziellen Bedrohungen liefern.
• Deception-Technologie im Netzwerk: Durch Platzieren von Decoys an Stellen, auf die legitime User im Normalfall nicht zugreifen würden, können laufende Angriffe identifiziert und blockiert werden.
• Endgeräteschutz mit Deception-Technologie: Endgerät-Decoys sehen aus der Perspektive des Angreifers wie wertvolle Assets aus, die nur auf eine Exfiltration warten. Durch Überwachung dieser Assets lässt sich verdächtiges Verhalten erkennen – einschließlich Aktivitäten, die im Netzwerk an sich unauffällig wären, aber zum jeweiligen Zeitpunkt auf dem betreffenden Endgerät keine Berechtigung haben.

Wann empfiehlt sich der Einsatz von Deception Technology?

Bis vor kurzem herrschte in Fachkreisen die Annahme vor, der Einsatz von Deception-Technologie sei hauptsächlich für Unternehmen mit hochgradig ausgereiften Cybersicherheitsprogrammen sinnvoll. Tatsächlich können auch mittelständische und kleinere Organisationen durchaus von dieser Technologie profitieren. Aktuell setzt sie sich zunehmend bei Organisationen aller Größen und Branchen durch.

Etablierte Großunternehmen

Zukunftsorientierte Unternehmen mit hochentwickelten Sicherheitsprogrammen und entsprechenden IT-Budgets setzen Deception Technology ein, um ihre Bedrohungserkennung, interne Erfassung und Auswertung einschlägiger Daten sowie ihre Reaktionsfähigkeit zu optimieren.

Für diese Organisationen hat die Erkennung komplexer Bedrohungen sowie die proaktive Bedrohungssuche Vorrang. Ein weiteres Plus stellt die Möglichkeit einer Integration mit vorhandenen Technologien zur Orchestrierung von Vorfallsreaktionen dar. Die insgesamt breitere Akzeptanz von Deception-Technologie wurde entscheidend durch ihren erfolgreichen Einsatz in diesem Marktsegment begünstigt.

Mittelständische und kleinere Unternehmen

Im KMU-Segment stehen CISOs und Sicherheitsexperten oft nur knapp bemessene Budgets zur Bewältigung beträchtlicher Bedrohungen und Risiken zur Verfügung. Gerade beim Thema Compliance sind erhebliche Herausforderungen zu meistern. Trotz vorhandener Grundmaßnahmen zur Gewährleistung der Cybersicherheit fehlen diesen Unternehmen oft die erforderlichen Tools zur effektiven Erkennung und Abwehr von Bedrohungen mit höherem Schweregrad. Konkret wird eine Lösung benötigt, die folgende Vorteile kombiniert:

• unmittelbarer Geschäftsnutzen durch zügige Einrichtung und Einarbeitung
• einfache Bedienung und Wartung, darf die Kapazitäten eines kleinen internen Sicherheitsteams nicht überfordern
• keine Einzellösung, da das vorhandene Budget nicht für die Anschaffung mehrerer Tools ausreicht
• möglichst breites Spektrum unterschiedlicher Anwendungsszenarien (u. a. Cloud und IoT)

Deception Technology erfüllt alle diese Kriterien und bietet KMUs zuverlässigen Schutz auch vor gezielten und schwer zu erkennenden Bedrohungen.

Zscaler: Deception Technology mit Zero-Trust-Architektur

Keine Cybersicherheitstechnik oder Richtlinie zur Abwehr von Angriffen bietet hundertprozentigen Schutz. Ein maximales Schutzniveau lässt sich nur durch die Kombination verschiedener Technologien gewährleisten, die zusammenwirken und Informationen austauschen. Vorrang muss dabei die Minimierung der Angriffsfläche sowie die Beschleunigung effektiver Vorfallsreaktionen haben.

Als besonders leistungsstarke Kombination hat sich die Integration von Deception-Tools mit Zero-Trust-Sicherheit bewährt. Der Zero-Trust-Ansatz beruht auf der Annahme, dass keine Zugriffsanforderung automatisch genehmigt werden darf. Zunächst muss sowohl die Identität des Users als auch der Kontext der Anfrage authentifiziert und autorisiert werden. Zugriffsberechtigungen werden dann nach dem Prinzip der minimalen Rechtevergabe gewährt.

Innerhalb einer Zero-Trust-Umgebung fungieren Deception-Decoys quasi als Stolperdrähte, deren Auslösung die Erkennung unbefugter Zugriffsversuche bzw. lateraler Bewegungen im Netzwerk ermöglicht. Durch Verfolgen unbefugter Zugriffe und lateraler Bewegungen in einer sicheren, isolierten Umgebung erhält das Unternehmen Informationen über die Erkenntnisse und Absichten der Angreifer. Neben der Blockierung von Angriffen wird die Überwachung und Auswertung der angewandten Taktiken, Techniken und Verfahren ermöglicht.

MITRE Engage als Framework für aktive Bedrohungsabwehr

MITRE Engage hat sich als branchenspezifisches Framework für den Informationsaustausch und die koordinierte Planung von Aktivitäten zur Bekämpfung, Täuschung und Abwehr von Angreifern bewährt. Als Grundlage dienen Erkenntnisse, die aus der Beobachtung realer Angriffe gewonnen wurden. Für Unternehmen liefert die Matrix des MITRE-Frameworks einen objektiven taktischen Leitfaden für die Umsetzung von Best Practices zur Bereitstellung und effektiven Verwendung von Deception-Tools im Rahmen einer umfassenden Sicherheitsstrategie nach dem Zero-Trust-Prinzip.

Das Engage Framework entstand in Zusammenarbeit von Zscaler und MITRE. Klicken Sie hier für weitere Informationen.