Identity
Täuschungstechnologie - wie sie jedem ein falsches Sicherheitsgefühl vorgaukelt
Von Kapil Raina, Identity Protection Evangelist bei CrowdStrike
Unternehmen achten verstärkt auf die Sicherheit von Benutzer- und Rechneridentitäten sowie von Identitätsinfrastrukturen wie Microsoft Active Directory, da Angreifer zunehmend identitätsbasierte Techniken für ihre Angriffe einsetzen. Um diesem Trend Rechnung zu tragen, nutzen die Sicherheitsteams von heute eine Reihe verschiedener Tools und Strategien – von denen einige effektiver sind als andere.
Ein solches Tool ist die sogenannte Täuschungstechnologie, oder im Englischen “Deception Technology”, die darauf abzielt, Gegner in die Irre zu führen und zu enttarnen, indem man sie mit unechten Ressourcen in eine Geschäftsumgebung lockt. Honeypots gehören zu den ältesten Formen der Täuschungstechnologie. Gelangt ein Angreifer in einen Honeypot, ist es einfach, ihn zu entdecken, da kein legitimer Datenverkehr in den Honeypot gelangen kann.
Auf den ersten Blick scheint die Täuschungstechnologie eine effektive Möglichkeit für Unternehmen zu sein, Gegner anzulocken und auszutricksen, Daten zu schützen und Erkenntnisse über potenziell bösartige Aktivitäten zu gewinnen. Bei genauerem Hinsehen gibt es jedoch schwerwiegende Schwachstellen, die Security-Teams möglicherweise zunächst nicht in Betracht ziehen, wenn sie sich ausschließlich auf herkömmliche Täuschungstechnologien als Verteidigungsmittel verlassen.
Die Kehrseite der Täuschungstechnologie
Die Täuschungstechnologie beruht auf dem begrenzten Wissen des Gegners über die wahre Zielumgebung. Bei der Entwicklung dieser Tools wird davon ausgegangen, dass die Angreifer keine Kenntnis von der gesamten Netzwerk-Topologie haben und daher Entscheidungen darüber treffen müssen, wohin sie gehen und was sie angreifen wollen, ohne dabei alles zu wissen. Fatalerweise können gewiefte Angreifer den Spieß jedoch umdrehen und diese Technologie zu ihrem Vorteil nutzen.
Nach unseren jüngsten Untersuchungen dauert es im Durchschnitt nur 84 Minuten, bis ein Angreifer von der anfänglichen Kompromittierung zu einem anderen Host in der Opferumgebung vordringen kann. Daraus lässt sich schließen, dass die Angreifer nach wie vor sehr raffiniert vorgehen und möglicherweise mehr Kenntnisse über ein Netzwerk haben, als die meisten Sicherheitsexperten glauben. So ist es für einen Angreifer ein Leichtes, Schein-Assets zu identifizieren und diese zu nutzen, um irreführende Warnmeldungen zu generieren und so die Sicherheitsteams abzulenken, während die eigentliche Infiltration anderswo stattfindet.
Eine andere Problematik ist das Risiko einer lateralen Bewegung, die durch schlecht konzipierte Systeme verursacht wird. Denn Unternehmen müssen nicht nur ein System einrichten, das legitim genug aussieht, um Angreifer anzulocken, sie müssen es auch entsprechend schützen. Ein vollständig gesichertes Honeypot-System lässt sich nicht über Nacht einrichten. Es erfordert Zeit und Mühe, um die Komplexität des Designs zu berücksichtigen und sicherzustellen, dass das System nicht als Ausgangspunkt für Eindringlinge dienen kann, um auf andere Systeme zuzugreifen.
Und schließlich können sich die Kosten für Honeypots summieren. Es ist teuer, ein separates Netzwerk mit gefälschten Computern und Ressourcen aufzubauen und zu unterhalten. Auch die Supportkosten sind hoch, da für die Überwachung und Wartung der Täuschungstechnologie nach wie vor qualifiziertes Personal erforderlich ist.
Wie man Angreifer aufspürt, ablenkt und unschädlich macht
Eine Möglichkeit für Unternehmen, Angreifer anzulocken, besteht darin, ihnen absichtlich Konten zu präsentieren, die als Honeytokens gekennzeichnet sind und die Unternehmen vor potenziellen Angriffen warnen. Dabei handelt es sich nicht um ein komplettes System, sondern um legitime Daten oder Konten mit eingebettetem Code, die bei ungewöhnlichen Aktivitäten, z. B. dem Zugriff eines unbekannten Benutzers, eine Warnung auslösen. Anhand dieser Warnungen können Sicherheitsteams den Angriffspfad eines Angreifers schnell identifizieren und granulare Schutzrichtlinien erstellen, um Honeytoken-Aktivitäten und laterale Bewegungen in Echtzeit zu blockieren.
Honeytokens bieten im Vergleich zu Honeypots Legitimität, Sicherheit und eine einfache Implementierung. Da es sich bei Honeytokens um legitime Daten und Konten handelt, ist es unwahrscheinlich, dass Hacker falsche Warnungen auslösen. Im Gegenteil, wahrscheinlich werden sie ihre Aktivitäten fortsetzen, ohne zu wissen, dass sie von Sicherheitsteams identifiziert und aufgespürt wurden. Da die Teams bereits wissen, dass es sich wirklich um einen Angriff handelt, können sie schnell auf diese Bedrohungen reagieren, anstatt zeitaufwändig zu prüfen, ob es sich um einen echten Angriff handelt oder nicht. Außerdem müssen die Teams mit Honeytokens nicht ganze Systeme in Stand halten, wodurch sie Zeit und Ressourcen sparen. Zudem geben Honeytokens ein Gefühl der Sicherheit. Sie bieten Unternehmen die Möglichkeit, per richtlinienbasierter Multi-Faktor-Authentifizierung strenge Sicherheitskontrollen einzurichten und verhindern so das Risiko, dass sich Angreifer im Netzwerk weiterbewegen können.
Proaktiv gegen identitätsbasierte Bedrohungen vorgehen
Die Erkennung von und Reaktion auf Identitätsbedrohungen (Identity Threat Detection and Response, ITDR) ist zu einem wesentlichen Bestandteil der Abwehr moderner Bedrohungen geworden, und Sicherheitsteams können sie durch den Einsatz von Honeytokens als Teil einer umfassenden Identitätsschutzstrategie noch effektiver gestalten. Dies ist besonders wichtig, da es schwierig ist, die Verwendung kompromittierter Anmeldeinformationen zu erkennen, wodurch Angreifer die herkömmlichen Sicherheitsmaßnahmen unbemerkt umgehen können. Die Täuschungstechnologie hat sich nicht als effektive Sicherheitslösung für Unternehmen erwiesen. Stattdessen sollten Unternehmen einen umfassenderen Identitätsschutz in Betracht ziehen, um identitätsbasierte Angriffe in Echtzeit zu erkennen, sichtbar zu machen und zu verhindern. Eine risikobasierte Identitätsschutzlösung, die eine effektivere und sicherere Methode zur Erkennung von Angreifern nutzt, bietet Unternehmen ein umfassendes Maß an Überwachung und Erkennung von Bedrohungen, durch ständige Transparenz sowie Vernetzung von Active Directory und weiteren IAM-Produkten (Identity and Access Management).