zurück zur Übersicht

Distributed Deception Platforms – Hunting For Intruders

Dunkel war‘s, der Mond schien helle, als ein Hacker blitzeschnelle, durch Lateral Movement Stück für Stück das Netz erkundet – und nach und nach den Quellcode des Softwareunternehmens entwendet. Oder die Kundendaten. Oder die Daten der Unternehmensmitarbeiter. Oder die Pläne für das neueste Produktmodell.

Oder…. Ach Sie wissen schon.

Mittlerweile ist das Thema Sicherheit in der Informationstechnik, oder auch IT-Security bzw. Cyber Security wie man so schön im mit Anglizismen versehenen Fachjargon sagt, Stück für Stück in den Köpfen der Führungsetagen angekommen. Auch wenn dieser Aufzug in manchen Fällen wohl sehr lange in der Wartung war, um das jeweils höchste Stockwerk zu erreichen.

Ein Teil des IT Budgets wird explizit für sicherheitsrelevante Anwendungen ausgegeben (ob diese Töpfe groß genug sind, lassen wir hier einfach mal im Raum stehen), z.B. für ein SIEM-System, um Licht in den Datendschungel zu bringen, eine Firewall, um am Perimeter die Stellung zu halten und unbefugtes Eindringen zu stoppen sowie schadhafte Verbindungen zu blockieren, und Next Generation Endpoint Protection, um einen Malwareausbruch zu verhindern. Web Application Firewalls sind für die Pflege der Sicherheit der Web Anwendungen Zuständig. Es gibt Möglichkeiten über Möglichkeiten, Angriffsversuche zu erkennen und abzuwenden.

Doch was passiert eigentlich, wenn der Jäger bereits aller Hindernisse zum Trotz jede sicherheitstechnische Hürde durchbrochen hat und sich im Intranet auf der Suche nach den Kronjuwelen befindet?

Vom Honeypot zu Distributed Deception Platforms

A honeypot is a security resource whose value lies in being probed, attacked, or compromised.”
(Lance Spitzner)

 

Eine altehrwürdige Methode, versteckte Eindringlinge zu fangen, ist der klassische „Honeypot“. Im Netzwerk befindet sich also ein Server, man könnte sagen von Berufswegen großspurig. Verheißungsvoll verspricht er, was das Hackerherz begehrt: R&D-Daten, Kundendatenbanken, Management-Credentials. Er ist mit vielstufigen Sicherheitsmaßnahmen umgeben. Diese „Sicherheitsmaßnahmen“ sind zwar verlockend löchrig. Doch es sind viele. Und der scheinbare Gewinn rechtfertigt ja den Aufwand.

Sinn der Sache ist es, den Angreifer anzulocken und zu binden, bis die Intrusion Detection (die natürlich den Honeypot gezielt überwacht) ihn findet und eliminiert, bevor er das tatsächliche Produktivnetzwerk infiltriert.

Grundsätzlich gibt es zwei Arten von Honeypots, low-interaction und high-interaction Honeypots:

  • Low-interaction Honeypots emulieren Services (z.B. FTP, SSH oder Web Server Services). Sie dienen hauptsächlich zur Erkennung und zum Logging von Aktivitäten.
  • High-interaction Honeypots verfügen über ein komplettes Betriebssystem mit den entsprechenden Funktionen, welches meist in einer VM installiert ist. Der Angreifer besitzt somit viele Interaktionsmöglichkeiten und generiert eine Vielzahl an Daten, die gesammelt und ausgewertet werden können.

Hacker sind natürlich inzwischen auch auf dieses Konzept gekommen und haben Methoden gefunden, Honeypots zu identifizieren. Die nächste Evolutionsstufe waren dann sogenannte Honeynets, die komplette Netzwerkteile inklusive Fake-Traffic simulieren.

Ein Honeynet ist ein Netzwerk bestehend aus high-interaction Honeypots. Der Haken dabei ist die Skalierbarkeit, also der steigende Aufwand zum Betreiben solcher Schein-Netze, in denen sich Hacker verfangen sollen.

 

Distributed Deception Platforms (DDP) verfolgen daher einen anderen Ansatz: Statt einzelner Honeypots oder Fake-Netzen wird hier das normale Firmennetz Teil der Falle.

DDP – Das Licht am Ende des (APT) Tunnels

Distributed Deception Platforms (DDPs) haben sich auf den Bereich der Intrusion Detection spezialisiert. Um eine hohe Erkennungsrate zu gewährleisten, werden auf den produktiven Systeme Köder (Lures) verteilt. Diese Lures bestehen z.B. aus einem Net Share, Credentials, Hinweisen auf interne Webseiten oder Registry Keys.

Diese werden im System versteckt abgelegt und der normale Benutzer tritt im allgemeinen Arbeitsalltag mit diesen nicht in Kontakt. Die Ködersysteme wiederum legen eine Spur zu einem dedizierten Server (Decoy Server), zu dem der Angreifer geleitet werden soll. Lures und Decoy Server werden zentral in einer Management Konsole verwaltet und können flexibel an die individuellen Bedürfnisse und Policies angepasst werden. Bei Verwendung der Lures oder bei einem direkten Kontakt mit dem Decoy Server wird ein Alarm generiert. Die folgende Abbildung stellt das bereits Beschriebene Konzept grafisch dar:

Abb.1 DDP-Konzept

Der generierte Alarm kann entweder über die Management Konsole bearbeitet werden oder die Alarme werden mit den Informationen an eine SIEM/Logmanagement-Lösung weitergeleitet. Die False-Positive-Rate dieser Alarme ist im Vergleich zur typischen Rate im Security Operations Center sehr gering. Zusätzlich werden auf dem Decoy Server forensische Daten in Echtzeit generiert, mit denen die Angriffsmethodik und die Toolchain des Angreifers komfortabel analysiert werden kann.

Falls keine komplette Netzwerkabdeckung durch Lures gewünscht ist, bietet sich eine Fokussierung auf kritische Bereiche wie z.B. die Zugänge zu den Kronjuwelen oder sensible Netzwerkbereiche an. Ebenfalls wird von manchen Herstellern ein Deployment-On-Demand angeboten, welches dynamisch Lures auf Systeme verteilt wenn in einer SIEM/Logmanagement-Lösung Alarme generiert werden.

Distributed Deception Platforms ähneln auf einer hohen Abstraktionsebene den Honeynets und übernehmen praktisch alle ihre Vorteile, jedoch sind deren Nachteile bei diesem Ansatz vernachlässigbar.

Die sehr komplexe Skalierbarkeit wird durch die Breadcrumb- und Decoy-Server Kombination redundant. Bei einer 50% Abdeckung werden nicht mehr Decoy Server als vorher benötigt, wobei beim traditionellen Ansatz dieselbe Anzahl an Honeypots bezogen auf Produktivsysteme vorhanden sein müsste. Dies reduziert den Wartungsaufwand sowie Kosten.

Ebenfalls entdecken Honeypots und Honeynets nur Aktivitäten, die direkt gegen sie gerichtet sind. Durch den Einsatz von Breadcrumbs werden Angreifer zielgerichtet von den produktiven Systemen mit sensiblen Informationen weggeführt, damit sich der Fokus auf die Decoy Server verlagert. So kann effektiv einem Datenverlust oder einer Systemmanipulation vorgebeugt werden.

DDPS – nur ein weitere sinnlose Lösung?

Ein hundertprozentiger Schutz des Unternehmensnetzwerkes kann durch den Einsatz verschiedenster Applikationen und Systeme mit potentiellen Zero-Day Schwachstellen nicht gewährleistet werden. Durch die digitale Revolution wird es immer neue Angriffspunkte geben. Die Anzahl der gefundenen Schwachstellen in Applikationen nimmt stetig zu und hat sich innerhalb von vier Jahren nahezu verdoppelt, wie der Vulnerability QuickView Report der VulnDB (Nov. 2017) zeigt. Dies wiederum erhöht die Wahrscheinlichkeit für potentiell erfolgreiche Angriffe und verdeutlicht den Stellenwert des Patchmanagements.

Tabelle 1 – Entwicklung Anzahl Schwachstellen, VulnDB, Vulnerability QuickView Report

 

Tabelle 2 – Entwicklung Anzahl Schwachstellen, MITRE, Vulnerability QuickView Report

 

Davon sind auch weltweit agierende Anbieter von Services und Applikationen betroffen, die bei nahezu allen Unternehmen sowie Privatpersonen im Einsatz sind:

Tabelle 3 – Auflistung Schwachstellen per Hersteller bis September 2017, Vulnerability QuickView Report

Fazit

Das allgmeine Ziel ist es, eine möglichst hohe Widerstandsfähigkeit zu entwickeln um das Kosten-/Nutzenverhältnis eines Angreifers möglichst ungünstig zu halten. Angriffe sollen möglichst wenig lukrativ sein bei hohem Aufwand. Diese Strategie ist jedoch bei Angreifern mit sehr umfangreichen Ressourcen (APTs wie z.B. Nation States oder Hackergruppen) sinnlos, da dort anders geartete Motive im Vordergrund stehen. Daher ist eine schnelle Erkennung sich bereits im Netzwerk befindender Angreifer unerlässlich und ergänzt das bereits bestehende Sicherheitsportfolio hervorragend um eine weitere Komponente.

Mehr zu Distributed Deception Platforms, Vulnerability Management und den neuesten Security Tools können Sie übrigens live erleben auf der Detect & Defend 2018. Ich werde selbst auch dort sein. Es lohnt sich!

 


Links:

https://vulndb.cyberriskanalytics.com/

Titelbild: ©iT-CUBE SYSTEMS AG 2018

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer