Samstag, 26 November 2022 18:46

Alexey Kuzovkin: Steigerung der Monitoring – Effizienz durch Cyber Deception

geschrieben von
Alexey V. Kuzovkin Alexey V. Kuzovkin Pressematerialien

Alexey V. Kuzovkin ist CEO von Infosoft und ehemaliger Vorsitzender des Verwaltungsrats der Armada Group. Alexey Kuzovkin verfügt über große Erfahrung in der Leitung von Innovations- und IT-Projekten.

 

Angesichts der Fülle von Daten müssen Analysten, die in Überwachungs- und Reaktionszentren für Cyber-Vorfälle aller Art arbeiten, heute mit einer beeindruckenden Anzahl von Reaktionen interagieren, eine Reihe von Parametern und Daten vergleichen, die oft sehr unterschiedlich sind, und spezifische Cyber-Bedrohungen identifizieren und validieren. Um die Effizienz solcher Prozesse messbar zu verbessern und gleichzeitig von einem statischen zu einem proaktiven Erkennungsmodell überzugehen, lohnt es sich, Cyber Deception einzusetzen.

In der derzeitigen Phase der Reaktion auf Cyberangriffe besteht die Tendenz, die Anzahl der Korrelationsregeln und der Abonnements für Kompromittierungs-/Angriffsparameter (IoC/IoA) zu erhöhen. Je nach den technologischen Möglichkeiten und den Besonderheiten eines bestimmten Unternehmensnetzwerks führt jedes Unternehmen seine Überwachungs- und Reaktionsfunktionen für Cyber-Bedrohungen anders aus und verwendet Tools, die sich sowohl in Bezug auf den Anbieter als auch die Lösungsklasse unterscheiden. Das effektivste Tool, das dazu beitragen kann, Überwachungs- und Reaktionsprozesse zu rationalisieren und ihre Effizienz erheblich zu steigern, ist Deception, eine fortschrittliche Technologie zur Bekämpfung von Cyberbedrohungen.

Erstmalige Identifizierung der Cyberinzidenten

Die beliebtesten und bekanntesten Taktiken zur Identifizierung von Sicherheitsvorfällen lassen sich in zwei wichtigen Punkten zusammenfassen:

  • zulässige Korrelationsregeln;
  • IoC.

Ersteres beinhaltet die Anwendung bestimmter Verhaltensmuster und eine festgelegte Abfolge von Ereignissen, während letzteres die Verwendung von Artefakten aus technischen Werkzeugen beinhaltet. Im Wesentlichen können Korrelationsregeln als die universellste Lösung für die Identifizierung von Angreifern angesehen werden. Allerdings holen die Verteidigungswerkzeuge häufig die Angriffswerkzeuge ein. Die Angreifer von heute sind zu intelligent und flink. Sie verfügen über ein weites Feld von Möglichkeiten, in dem sie ihr Bestes tun, um sich den Korrelationsregeln zu entziehen. Die Art ihrer Handlungen und die von ihnen verwendeten Instrumente weisen eine Reihe von spezifischen Merkmalen auf, die es ermöglichen, unrechtmäßige Handlungen aufzudecken. Diese können angepasst werden, oder sie können so gestaltet werden, dass sie kaum erkennbar sind. So ist beispielsweise der Zusammenhang zwischen den Handlungen der Betrüger und den Techniken, Taktiken und Verfahren ganz offensichtlich.

Bedeutung der Deception - Systemen

Jedes Deception - System beinhaltet eine Kombination von cleveren Lockvogeltechniken, um Betrüger dazu zu bringen, mit Servern zu kommunizieren, die in der Tat Fallen sind. Solche Server erkennen in der Regel eindeutig jeden Besuch eines Angreifers. Diese Methode des "Erzwingens" von Serverbesuchen gilt als ein Hauptmerkmal aller Arten von Deception-Systemen und unterscheidet sie von den beliebten und beworbenen Honeypot-Systemen (aka Honeypots). Täuschungstaktiken erfordern kein Vorwissen über einen bestimmten Cyberangriff. Ihr grundlegendes Ziel ist es, Betrüger in einen begrenzten Raum, eine Umgebung, zu locken, indem sie Fallen auslegen, die logisch auf die IT-Ressourcen des Unternehmens verteilt sind und reale Infrastruktur imitieren können.

Solche PseudoInfrastrukturen sind mit unglaubwürdigen Informationen gefüllt, die normalen Besuchern nicht schaden, sondern Betrüger anlocken. Mit diesem Ansatz kann das System etwa 0 % falsche Reaktionen anzeigen. Wenn eine Interaktion mit einem bestimmten Pseudo-Server erkannt wird, handelt es sich in den meisten Fällen um bösartige Aktivitäten.

Es ist wichtig zu wissen, dass Deception-Systeme anders funktionieren als die traditionellen Datenschutz-Tools, an die die meisten IT-Experten gewöhnt sind. Ihr Hauptziel ist es, die rasche und genaue Identifizierung von Betrügern zu erleichtern, indem sie sie mit bewusst falschen Zielen anlocken.