Mit Deception- und Verschleierungs-Technologien Angreifer daran hindern, die IT-Infrastruktur spürbar zu beeinträchtigen

[datensicherheit.de, 27.09.2020] Attivo Networks geht in einer aktuellen Stellungnahme abermals auf die Problematik der Abwehr von Ransomware-Angriffe ein: Firewalls und klassische Lösungen für die „Endpoint Security“ reichten für die Abwehr immer raffinierterer und gezielter Angriffe gegen die IT-Infrastruktur und -Anwendungen nicht aus, so die Warnung. Zwar böte diese Kombination einen gewissen Schutz gegen gängige und einfache Malware-Angriffe, doch anspruchsvollere und gezielte Attacken erforderten auch ausgefeiltere Detection-and-Response-Lösungen am Endpunkt.

Foto: ATTIVO NETWORKS

Joe Weidner: Ransom-as-a-Service immer häufiger genutzt – Erpresser benötigen selbst immer weniger Expertise…

Ransom-as-a-Service-Angriffe nehmen zu

Dies gilt laut Attivo „insbesondere für Ransom-Angriffe, zumal hier die Zahl der Ransom-as-a-Service-Anbieter und damit auch die Häufigkeit der Angriffe stetig steigt, da die Erpresser selbst immer weniger Expertise benötigen“.
Phishing-E-Mails und Social-Engineering-Kampagnen seien dabei nach wie vor beliebte Angriffsvektoren, und das wegen „Corona“ stark gewachsene Heer von Heimarbeitern habe zudem die Angriffsfläche drastisch vergrößert. Gerade deren meist nicht adäquat gesicherten und oft auch von Familienmitgliedern genutzten Systeme stellten ein weit offenes Eingangstor für Lösegeld-Erpresser dar.

Keine eierlegende Wollmilchsau zur Ransomware-Abwehr

„Es gibt keine ,eierlegende Wollmilchsau‘, und die eine Sicherheitslösung, die alle Probleme beseitigt, wird es wohl auch niemals geben“, betont Joe Weidner, „Regional Director DACH“ von Attivo Networks.
Daher sollten Organisationen und Unternehmen die Umsetzung einer Reihe von ergänzenden Maßnahmen in Betracht ziehen, um mit einer maßgeschneiderten Lösung eine tiefgreifende Verteidigung gegen Eindringlinge aller Art zu realisieren.

Deception-Technologie: Verwendung von High-Tech-Fallen oder -Ködern zur Ransomware-Abwehr

So eigne sich in besonderer Weise der Einsatz von sogenannter Deception- und Verschleierungs-Technologien, innerhalb des Netzwerks Angreifer daran zu hindern, die IT-Infrastruktur spürbar zu beeinträchtigen, „selbst wenn sie – etwa durch Zero-Day-Attacken – die Perimetersicherung bereits überwunden haben“.
Insbesondere lasse sich dadurch beispielsweise sicherstellen, dass Angreifer nicht die Berechtigung erlangten, Daten zu verschlüsseln. Deception-Technologie stehe dabei für die Verwendung von High-Tech-Fallen oder -Ködern, mit denen Angreifer dazu gebracht werden könnten, zu glauben, sie hätten Zugang zu kritischen Systemen und Daten erhalten.

Pro-aktive Ansatz: Generell der Ransomware den Zugang verwehren

Weidner: „Attivo Networks ,Anti Ransomware Protection‘ geht einen entscheidenden Schritt weiter, in dem es von Anfang an Angreifern und Malware den Zugang zu sensiblen Daten verwehrt, egal ob es Dateien, Ordner, Netzwerkfreigaben oder Wechsellaufwerke sind.“ Was nicht „gesehen“ werde, könne auch nicht exfiltriert oder verschlüsselt werden. Dieser pro-aktive Ansatz werde auch in Bezug auf „Active Directory“ verwendet. „Gerade letzteres ist für Angreifer besonders attraktiv, da es einen Generalschlüssel zum gesamten Netzwerk des Opfers bedeuten kann“, erläutert Weidner.
Fallen dienten in diesem Konzept jedoch nicht nur der Sicherung kritischer Daten. Durch die Interaktion des Angreifers mit den ausgelegten Ködern erhalte das Sicherheitspersonal zudem wertvolle Informationen über das Verhalten und die Taktik des Angreifers. „Diese Erkenntnisse dienen dann dazu, die eigene Verteidigung zu optimieren.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.09.2020
Deception: Früherkennung von Eindringlingen reduziert Kosten / Laut ATTIVO NETWORKS kann Deception Schäden durch Datendiebstahl halbieren

Laut ATTIVO NETWORKS kann Deception Schäden durch Datendiebstahl halbieren

[datensicherheit.de, 14.09.2020] Unternehmen, die sogenannte Deception-Technologien zur Früherkennung von Cyber-Angriffen einsetzen, könnten durch Datendiebstähle verursachte Kosten um mehr als die Hälfte (51%) reduzieren – so das wichtigste Ergebnis einer neuen Studie, welche ATTIVO NETWORKS nach eigenen Angaben gemeinsam mit Kevin Fiscus von Deceptive Defense durchgeführt hat. Der Bericht „Cyber Deception Reduces Breach Costs & Increases SOC Efficiency“ identifiziere die direkten und messbaren finanziellen und Produktivitätsvorteile von Deception-Technologien für Organisationen aller Art und Größe.

Foto: ATTIVO NETWORKS

Joe Weidner: Unternehmen nutzen zunehmend Deception-Technologien, um proaktive Verteidigung aufzubauen

Deception bringt messbare Kostensenkung

Die Untersuchung zeige auch, dass die durchschnittliche Reduzierung der Kosten für Datenschutzverletzungen 1,98 Millionen US-Dollar pro Vorfall oder 75,12 US-Dollar pro kompromittiertem Datensatz betrage.
Diese Kostensenkungen würden erreicht „durch schnellere Erkennung und effektive Reaktion auf Vorfälle sowie durch eine geringere Komplexität bei deren Handhabung“.

Durch Deception auch mehr Effizienz für SOC-Agenten

Zudem könne Deception-Technologie laut diesem Bericht den Zeitaufwand für die Bearbeitung von Fehl-Warnungen (False Positives) erheblich reduzieren und die Effizienz des typischen „Security Operations Center“ (SOC) steigern. Eine kürzlich von Ponemon und Exabeam durchgeführte SIEM-Produktivitätsstudie habe ergeben, dass der durchschnittliche Zeitaufwand pro SOC-Analyst und Vorfall etwa zehn Minuten betragen habe und SOC-Analysten etwa 26 Prozent ihres Tages mit der Bearbeitung von Fehlalarmen verschwendeten, „was einem Produktivitätsverlust von über 18.000 US-Dollar pro Analyst und Jahr entspricht“.
Die Befragten hätten dabei eine erhebliche Zeitersparnis bei der Bearbeitung von Alarmen auf Basis der Deception-Technologie im Vergleich zu anderen Alarmen angegeben, was Unternehmen letztendlich bis zu 32 Prozent oder knapp 23.000 US-Dollar pro SOC-Analyst und Jahr einsparen könne.

Deception als wirklicher Game Changer

Der Begriff „Game Changer“ werde viel zu oft verwendet, so Kevin Fiscus, „Principal Instructor“ des SANS-Instituts und Gründer von Deceptive Defense. „Wer ihn benutzt, wird oft zu Recht mit Argwohn betrachtet. Cyber-Deception ist anders, und es handelt sich nicht nur um eine neue Iteration einer veralteten Technologie.“
Deception veranlasse die Angreifer dazu, alles in Frage zu stellen, was sie zu wissen glaubten, und helfe oft einen Angriff zu stoppen, bevor er überhaupt richtig begonnen hat. „Das ist wirklich ein Game Changer.“

Deception-Technologien, um proaktive Verteidigung gegen Datendiebstahl, Lösegeld-Erpressung etc. aufzubauen

„Die Fähigkeit, Angriffe frühzeitig zu erkennen, die Kosten für Datenverstöße zu senken und die SOC-Effizienz zu verbessern, macht Cyber-Täuschung zu einer entscheidenden Sicherheitskontrolle für das Unternehmen“, sagt Joe Weidner, „Regional Director DACH“ von Attivo Networks.
Große wie kleine Unternehmen nutzten zunehmend Deception-Technologien, um eine proaktive Verteidigung gegen Datendiebstahl, Lösegeld-Erpressung und andere Attacken aufzubauen und die Sicherheit ihrer Daten zu gewährleisten.

Deception-Technologien helfen, Dwell Time deutlich zu reduzieren

Zusätzlich zu den finanziellen und Produktivitätsvorteilen der Deception-Technologie werde in dem Bericht zudem angeführt, dass sie – richtig eingesetzt – die durchschnittliche unentdeckte Verweildauer eines Angreifers im Unternehmensnetz (Dwell Time) zwischen 90 und 97 Prozent reduzieren könne – bis auf nur noch 5,5 Tage. Dies sei insofern von Bedeutung, als jüngste Berichte zeigten, dass die durchschnittliche Verweildauer derzeit bei 56 Tagen liege und die durchschnittliche Zeit bis zur Feststellung eines Einbruchs 207 Tage betrage.
In Verbindung mit den Testergebnissen des „DIY APT-Tool“-Tests von MITRE ATT&CK zeige der Bericht von Attivo und Deceptive Defense, wie Täuschungstechnologie eine leistungsstarke Sicherheitskontrolle sein könne, „die zum Arsenal jedes Verteidigers gehört“. Der APT-Test habe speziell die Fähigkeit der Lösungen von Attivo Networks bestätigt, die EDR-Erkennungsraten um durchschnittlich 42 Prozent zu steigern.

Beispiel für Deception-Plattform: Attivo ThreatDefend

Die „Attivo ThreatDefend“-Plattform biete umfassende Möglichkeiten zur Verhütung und Erkennung von Angriffen, mit denen sie nicht nur Täuschungstechniken, sondern auch eine Vielzahl anderer Methoden abdecken könne. Diese Plattform lenke Angreifer proaktiv mit gefälschten Informationen von ihren Zielen ab, löse eine Warnung aus und leite den Angreifer auf einen Köder um.
So würden wichtige Informationen wie „Active Directory“-Objekte, Daten und „Storage“ verborgen und der Angreifer am Zugriff gehindert. Mit der Fähigkeit, den Weg des Angreifers in einen Köder zu steuern, könnten Verteidiger zudem wertvolle Erkenntnisse gewinnen, um die Werkzeuge und Techniken sowie die Absicht ihres Gegners zu verstehen.

Weitere Informationen zum Thema:

ATTIVO NETWORKS
Whitepaper: Cyber Deception Reduces Breach Costs & Increases SOC Efficiency

datensicherheit.de, 08.09.2019
Cybersecurity ist bei fast 50 Prozent der globalen Unternehmen Chefsache