Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK
DE
EN ES

Hauptseite

/
 ... / 

Blog

/
 ... / 
Aktiver Schutz

Aktiver Schutz

26.03.2023

Die Bedrohungsanalyse kann Unternehmen erheblich dabei helfen, von einem reaktiven zu einem proaktiven Sicherheitsansatz überzugehen. Durch die Echtzeit-Perspektive und den Kontext der Bedrohungslandschaft ist es möglich, den Plänen eines Angreifers zuvorzukommen und zu versuchen, seine Absichten zu verhindern und so die Auswirkungen und Kosten zu begrenzen.

Doch selbst mit fein abgestimmten Sicherheitsvorrichtungen und verwertbaren Analysedaten besteht immer noch die Gefahr, dass entschlossene Hacker die Schutzmaßnahmen eines Unternehmens durchbrechen können.

Nichts hindert Angreifer daran, sich dieselben IDS/IPS und Firewalls zu beschaffen, die die Unternehmen einsetzen, um eine unbekannte Lücke zu finden und einen neuen Angriff zu starten (auch bekannt als „Zero-Day-Exploit“).

Der aktive Schutz versucht, die Gleichung umzukehren, indem sie Maßnahmen auf Seiten des Verteidigers und auf Seiten des Angreifers vorsieht. Sie kann als eine zusätzliche Sicherheitsebene zur Verbesserung der Schutzmechanismen gegen Versuche, die Integrität der Informationen von Organisationen zu gefährden, übersetzt werden.

Die Einrichtung eines aktiven Schutzes kann in drei Kategorien unterteilt werden: aktive Täuschung, präventiver Angriff und Gegenangriff. Die beiden letztgenannten sind offensiver Natur, d. h. sie richten sich gegen den vermeintlichen Angreifer unter dem Vorwand der Prävention, während der erste einen interessanteren, nicht-offensiven Ansatz darstellt, da er einen Einblick in die Methoden zur Durchbrechung der Abwehr bietet und damit die Möglichkeit, diese zu verstärken. Dies charakterisiert eine aktive Verteidigung am besten.

Das Hauptziel eines aktiven Schutzes besteht darin, Angriffe zu verhindern und dem Verteidiger die Möglichkeit zu geben, den Gegner zu identifizieren, Informationen über seine Taktiken, Techniken und Verfahren zu sammeln und auf der Grundlage dieser Informationen Bedrohungsdaten zu erstellen.

Die Idee besteht darin, die Komplexität eines Angriffs zu erhöhen (d. h. ihn für den Angreifer schwieriger zu machen), was den Angreifer zwingt, mehr Versuche und Züge zu unternehmen, die höchstwahrscheinlich leicht entdeckt werden.

Es ist möglich, Köder (wie Honeypots und Honeytokens) zu implementieren und die Aktivität eines Angriffs mit Sicherheitsinformations- und Ereignismanagement (SIEM: Security Information and Event Management) zu überwachen, denn jedes Mal, wenn der Angreifer mit einem Sicherheitssystem (IDS/IPS, Firewall, Router, Antivirus usw.) interagiert, ist es möglich, Informationen über seine Bewegungen zu sammeln und seine eigene Bedrohungsanalyse aufzubauen, die mit externen Ereignissen korreliert werden kann.

Honeypots

Ein Honeypot (Honigtopf) ist eine Ressource im Informationssystem einer Organisation, deren Wert in der unbefugten oder illegalen Nutzung liegt. Ein wichtiges Merkmal ist, dass normale Benutzer keinen Zugriff auf sie haben.

Ziel ist es, ein legitimes System zu imitieren, auf dem gefährdete Dienste im Netzwerk laufen, so dass jeder Angriff überwacht werden kann. In diesem Sinne gibt es Honeypots für allgemeine Zwecke, Web, Datenbanken, SSH, SCADA, VoIP, USB und andere.

Ein Angreifer, nachdem er dieses leicht zu hackende Ziel ausfindig gemacht hat, wird versuchen, es zu kompromittieren, und wenn er erfolgreich ist, wird er keine brauchbaren Informationen finden. Ein besonderes Merkmal ist, dass es nach einem Angriff nicht möglich ist, andere legitime Instanzen, die im selben Netzwerk laufen, zu schädigen.

Das Sicherheitspersonal weiß, dass die meisten Angriffe auf diese Ressourcen potenziell und tatsächlich böswillig sind, so dass sie einen Einblick in die Entwicklung dieser Angriffe gewinnen können, um ihre Infrastruktur besser zu schützen. Darüber hinaus ermöglichen sie die Extraktion von forensischen Informationen, die als Beweismittel dienen können.

Der einzige Zweck von Honeypots besteht darin, mit einer Produktionsressource verwechselt und angegriffen zu werden, denn aus der Sicht eines Hackers sollte es keinen Unterschied zwischen den Honeypots und echten Ressourcen geben.

Honeypots können an verschiedenen Stellen in der Netzwerkinfrastruktur eingesetzt werden. In diesem Sinne ist es möglich, sie sowohl auf der Server- als auch auf der Client-Seite zu platzieren.

In einem serverseitigen Honeypot können z. B. SSH- oder NetBIOS-Dienste ausgeführt werden, um Angreifer zur unerlaubten Nutzung zu verleiten und ihr Verhalten zu überwachen. Auf der Client-Seite können spezielle Anwendungen, wie z. B. Webbrowser, implementiert werden, die eine Verbindung zu Remote-Diensten aktiv herstellen, um das Verhalten des Servers oder die von ihm gelieferten Inhalte zu analysieren und so bösartige Versuche zu erkennen.

Es ist auch möglich, Honeypots mit verschiedenen Interaktionsstufen zu konfigurieren: niedrig, hoch oder hybrid, was sich auf die Möglichkeit der Interaktion mit emulierten (virtuellen) oder realen Ressourcen bezieht.

Die Honeypots mit geringer Interaktion emulieren eine Ressource und bieten im Vergleich zur echten Instanz nur begrenzte Funktionen. Der Erfolg bei der Täuschung des Gegners hängt vom Grad der Genauigkeit der Emulation ab. Die Emulation ist einfach zu implementieren und verringert (in diesem Zusammenhang) das Risiko, dass ein Gerät (z.B. ein PC) kompromittiert wird. Allerdings können sich einige emulierte Ressourcen anders verhalten als in der Realität, und erfahrene Hacker können dies bemerken und ihre Versuche frühzeitig abbrechen.

Die Honeypots mit hoher Interaktion verwenden keine Emulationen, sondern nutzen reale Ressourcen und Systeme. Diese fallen zwar weniger auf, aber der Ressourcenverbrauch und die Komplexität können die Skalierbarkeit und Leistung beeinträchtigen.

Schließlich sind hybride Honeypots eine Kombination aus geringer und hoher Interaktion, die die besten Eigenschaften beider Typen aufweisen.

Honeytokens

Das Konzept der Honeypots, die ein legitimes Gerät simulieren, wurde auch auf Dateien ausgedehnt. Ein Honeytoken (auch „Täuschungsdokument“ genannt) ist eine attraktive digitale Datei oder Information, die ein (interner oder externer) Angreifer zu kompromittieren versuchen würde.

Jeder Zugriff auf diese Datei (Token) wird überwacht und als bösartig eingestuft. Ein typischer Fall ist die Verbreitung von Honeytoken in einer Datenbank oder in Registern mit attraktiven Namen, wie z.B. „Port-Liste“ oder „Benutzerkonten“. Sobald ein Angreifer Zugang zu diesen Informationen erhält und versucht, sie zu nutzen, wird ein Alarm ausgelöst.

Einige der Merkmale eines wirksamen Honeytokens sind:

  • Er muss dem Angreifer sowohl wahr als auch gültig und wünschenswert erscheinen.
  • Er darf den normalen Betrieb des Systems nicht beeinträchtigen, durch z.B. Verunreinigen echter Daten.
  • Er soll ständig überwacht werden, d.h. die Verwendung von darin enthaltenen Informationen muss immer ein Alarmsignal auslösen.
  • Er muss eindeutig sein, um die Falsch-Positiv-Rate zu minimieren.

Was den Speicherort von Täuschungsdokumenten angeht, so sollten einige Orte privilegiert sein, wie Datenbanken, File-Sharing-Dienste (FTP-Server), der E-Mail-Eingang des Benutzers und die Unternehmens-Cloud.

Der Ort, an dem die Tokens eingesetzt werden, kann auch nach externen Bedrohungsdaten ausgewählt werden, so dass die Täuschungsdokumente an den Orten platziert werden, die den Angreifern bekannt sind, wodurch die Fähigkeiten der Organisation zur Analyse von Angriffen und zur Erkennung und Täuschung verbessert werden.

Verbesserung und Zusammenarbeit

Der aktive Schutz bietet einen Mechanismus, um eine zusätzliche Sicherheitsebene hinzuzufügen, die es Unternehmen ermöglicht, besser aus eingehenden Angriffen auf ihre Netzwerkinfrastruktur zu lernen.

Erfolgreiche Strategien (Honeypots und Honeytokens) können als Täuschung eingesetzt werden, um alle von Angreifern durchgeführten Aktionen zu überwachen und so die Analyse und Reaktionsmöglichkeiten zu verbessern sowie die Wirksamkeit des Schutzes wertvoller Informationsressourcen zu erhöhen.

Sicherheitsteams können nicht nur ihre Infrastruktur stärken, um weitere Angriffe zu verhindern, sondern auch die gesammelten Informationen weitergeben und ihre internen Bedrohungsdaten mit der Sicherheitsinformationsgemeinschaft teilen, um anderen beim Schutz ihrer Umgebung zu helfen.

Zurück zur Liste

Bloggen

S/MIME
10.03.2024
Die Bequemlichkeit und Geschwindigkeit, die E-Mails bieten, haben die digitale Kommunikation zu einem wesentlichen Bestandteil des täglichen Lebens gemacht.
Mehr lesen
Kompromittierung sindikatoren
13.11.2023
 Eines der Hauptsorgen bei der Verwaltung einer Kommunikationsinfrastruktur ist die Verhinderung des Auftretens von Bedrohungen oder verdächtigen Aktivitäten, die die Sicherheit von Informationen in Computernetzwerken gefährden könnten.
Mehr lesen
IoT: Internet der Dinge
19.09.2023
 Der Begriff Internet der Dinge (IoT: englische Abkürzung für Internet of Things) bezieht sich auf Umgebungen, in denen die Netzwerkverbindung und die Rechenleistung auf Objekte, Sensoren und Alltagsgegenstände ausgedehnt werden, die normalerweise nicht als Computer betrachtet werden, und die es diesen Geräten ermöglichen, mit minimalem menschlichem Eingriff Daten zu erzeugen, auszutauschen und zu verbrauchen.
Mehr lesen