Der chinesische Militärstratege Sun Tzu beschreibt in seinem Buch "Die Kunst des Krieges" die Notwendigkeit, im Kampf alle zur Verfügung stehenden Mittel einzusetzen, um ein Ziel zu erreichen. Dabei spielt die Täuschung des Gegenübers eine entscheidende Rolle.
Auch 2.500 Jahre später ist diese Methode immer noch sehr beliebt. Betrüger informieren sich heute im Vorfeld eines Angriffs gezielt über ihre Opfer. Sie geben sich als Kollege oder Vorgesetzter aus und manipulieren sie via Social Engineering. Sie greifen Unternehmen mit (Spear-)Phishing-Kampagnen an, verursachen Ausfälle oder entwenden sensible Daten.
Auf der anderen Seite können Sicherheits-Experten diese Taktik natürlich auch zur Verteidigung nutzen. Neue Strategien und Technologien, um Hacker zu verwirren und von einem erfolgreichen Angriff abzuhalten, stehen bei ihnen gerade hoch im Kurs und Security-Unternehmen beschäftigen sich intensiv mit diesem ungewöhnlichen Abwehrmechanismus.
Die Kunst des Online-Krieges
Für viele Security-Verantwortliche geht es nicht mehr darum, ob, sondern wann ein Angriff stattfindet. Laut einer Studie von IDG Research in Zusammenarbeit mit NTT Security war weit über die Hälfte der Unternehmen schon einmal Ziel von Cyber-Attacken. Ein Drittel aller Befragten IT-Entscheider gaben an, mehrmals attackiert worden zu sein.
Andererseits behaupteten aber auch über 40 Prozent von ihnen, noch nie angegriffen worden zu sein, oder es nicht zu wissen. Das ist eine ziemlich optimistische Einschätzung. Zutreffender scheint dagegen der in der Branche verbreitete Spruch, dass es zwei Arten von Unternehmen gibt: diejenigen, die bereits Opfer einer Cyber-Attacke geworden sind - und diejenigen, die es nicht wissen.
Moderne Bedrohungserkennung ist also unerlässlich geworden. Mithilfe moderner Techniken für Machine Learning, Big-Data-Analysen und anderen Threat Detection Tools sollen professionelle Security Operation Center (SOC) die sprichwörtliche Nadel im Heuhaufen finden können. Sie versprechen, Angreifer identifizieren zu können, die traditionellen Sicherheitstechnologien entgehen. Solche Werkzeuge sind aber längst nicht die Norm. Nur wenige Unternehmen und Managed-Security-Provider haben ausreichende Mittel und Ressourcen, SOCs professionell zu betreiben.
Dass diese Tools relativ wenig verbreitet sind, kann ein Grund sein, warum sich Angreifer in der EMEA-Region 2017 im Schnitt 175 Tage unentdeckt in Unternehmensnetzen herumtreiben konnten. Das liegt weit über dem globalen Durchschnitt. Je länger ein Angreifer unentdeckt bleibt, desto mehr Schaden kann er anrichten und desto teurer und zeitaufwändiger werden die Bereinigung und Beseitigung des angerichteten Schadens.
Aber es gibt Hoffnung. Glaubt man Szene-Insidern und Whitehat-Hackern, wollen Angreifer, sobald sie das Unternehmensnetzwerk infiltriert haben, die "Kronjuwelen" finden. Das sind etwa sensible Kundendaten, geistiges Eigentum oder Geschäftsgeheimnisse. Können diese Bemühungen erschwert und herauszögert werden, haben Security-Teams eine realistische Chance den Schaden minimal zu halten. Hier kommen intelligente Werkzeuge zur Tarnung und neue Täuschungsmanöver zum Einsatz, sogenannte Deception-Technologien.
Mit Honig fängt man Hacker
Deception-Technologien funktionieren ähnlich wie klassische Honeypots. Ein Server im Netzwerk verspricht Kundendaten, Passwörter und andere kritische Informationen. Assets, die wie echte Ordner, Dateien und Administratoranmeldeinformationen aussehen, jedoch keine sind, sollen Angreifer anlocken.
Wenn man einen Baum verstecken will, macht man das am besten in einem Wald. Moderne Täuschungswerkzeuge tun genau das, sie erstellen virtuelle Waldstrukturen von Datenbäumen. Diese Fälschungen gilt es am besten, auf einem Endpunkt zu positionieren, da diese zunehmend unter Druck stehen. Über 80 Prozent der Bedrohungen sind auf E-Mails zurückzuführen.
Um maximale Wirkung zu erzielen, sollten fortschrittliche Analysemethoden zur Bedrohungserkennung die Deception-Techniken ergänzen. So helfen beispielsweise durch künstliche Intelligenz gesteuerte Netz- und Kommunikationsanalysen dabei, Botnet-Master oder Auffälligkeiten proaktiv und automatisiert zu identifizieren.
Solche Instrumente zur Cyber Threat Detection und zum Threat Hunting waren bislang nur Regierungen, großen Finanzinstituten oder Versorgungsunternehmen vorbehalten. Dank Managed-Service-Providern stehen sie heute auch "normalen" Unternehmen zur Verfügung.