Hacking ist oft so, als würde man in einer Tasche wühlen, ohne hineinzuschauen. Wenn es Ihre Tasche ist, wissen Sie, wo Sie suchen müssen und wie sich die Gegenstände anfühlen. Sie können in Sekundenschnelle hineingreifen und einen Stift greifen, während eine andere Person möglicherweise einen Eyeliner greift.
Darüber hinaus können sie bei ihrer Suche für Aufruhr sorgen. Sie durchwühlen die Tasche länger als Sie, und der Lärm, den sie machen, erhöht die Wahrscheinlichkeit, dass Sie sie hören. Wenn Sie dies nicht getan haben, können Sie anhand der Unordnung in Ihrer Tasche erkennen, dass jemand Ihre Sachen durchsucht hat. Auf diese Weise funktioniert die Täuschungstechnologie.
Was ist Täuschungstechnologie?
Unter Täuschungstechnologie versteht man die Reihe von Taktiken, Tools und Lockmitteln, die Blue-Teams einsetzen, um Angreifer von wertvollen Sicherheitsressourcen abzulenken. Auf den ersten Blick sehen der Standort und die Eigenschaften des Lockvogels legitim aus. Tatsächlich muss der Lockvogel attraktiv genug sein, damit ein Angreifer ihn überhaupt für wertvoll genug hält, um damit zu interagieren.
Die Interaktion eines Angreifers mit Lockvögeln in einer Sicherheitsumgebung generiert Daten, die Verteidigern Einblick in die menschliche Komponente hinter einem Angriff geben. Die Interaktion kann Verteidigern dabei helfen, herauszufinden, was ein Angreifer will und wie er es erreichen will.
Warum Blue Teams Täuschungstechnologie nutzen
Keine Technologie ist unbesiegbar, weshalb Sicherheitsteams standardmäßig von einer Sicherheitsverletzung ausgehen. Ein Großteil der Cybersicherheit besteht darin, herauszufinden, welche Vermögenswerte oder Benutzer kompromittiert wurden und wie man sie wiederherstellen kann. Dazu müssen Blue-Team-Betreiber den Umfang der von ihnen geschützten Sicherheitsumgebung und die Vermögenswerte in dieser Umgebung kennen. Täuschungstechnologie ist eine solche Schutzmaßnahme.
Denken Sie daran, dass der Zweck der Täuschungstechnologie darin besteht, Angreifer dazu zu bringen, mit Lockvögeln zu interagieren und sie von wertvollen Vermögenswerten abzulenken. Warum? Alles läuft auf die Zeit hinaus. Zeit ist in der Cybersicherheit kostbar und weder Angreifer noch Verteidiger haben jemals genug. Die Interaktion mit einem Lockvogel verschwendet die Zeit des Angreifers und gibt dem Verteidiger mehr Zeit, auf eine Bedrohung zu reagieren.
Genauer gesagt: Wenn ein Angreifer denkt, dass es sich bei dem Täuschungsobjekt, mit dem er interagiert hat, um ein echtes Geschäft handelt, hat es keinen Sinn, im Verborgenen zu bleiben. Sie exfiltrieren die gestohlenen Daten und verschwinden (normalerweise). Wenn ein cleverer Angreifer jedoch schnell erkennt, dass es sich bei dem Asset um eine Fälschung handelt, weiß er, dass er entdeckt wurde und nicht lange im Netzwerk bleiben kann. So oder so verliert der Angreifer Zeit und das Sicherheitsteam erhält eine Vorwarnung und mehr Zeit, auf Bedrohungen zu reagieren.
Wie Täuschungstechnologie funktioniert
Ein Großteil der Täuschungstechnologie ist automatisiert. Das Lockmittel ist normalerweise Daten, die für Hacker von großem Wert sind: Datenbanken, Anmeldeinformationen, Server und Dateien. Diese Vermögenswerte sehen genauso aus und funktionieren genauso wie echte Vermögenswerte und arbeiten manchmal sogar mit echten Vermögenswerten zusammen.
Der Hauptunterschied besteht darin, dass es sich um Blindgänger handelt. Beispielsweise können Täuschungsdatenbanken gefälschte administrative Benutzernamen und Passwörter enthalten, die mit einem Täuschungsserver verknüpft sind. Dies bedeutet, dass Aktivitäten, die ein Paar aus Benutzername und Passwort auf einem Täuschungsserver – oder sogar einem echten Server – beinhalten, blockiert werden. Ebenso enthalten Lock-Zugangsdaten gefälschte Token, Hashes oder Kerberos-Tickets, die den Hacker im Grunde in eine Sandbox umleiten.
Darüber hinaus werden Blindgänger manipuliert, um Sicherheitsteams auf den Verdächtigen aufmerksam zu machen. Wenn sich ein Angreifer beispielsweise bei einem Täuschungsserver anmeldet, warnt die Aktivität die Blue-Team-Operatoren im Security Operations Center (SOC). In der Zwischenzeit zeichnet das System weiterhin die Aktivitäten des Angreifers auf, z. B. auf welche Dateien er zugegriffen hat (z. B. in Anmeldedaten stehlende Angriffe) und wie sie den Angriff ausgeführt haben (z. B. seitliche Bewegung Und Man-in-the-Middle-Angriffe).
Am Morgen froh, dass ich sehe; Mein Feind streckte sich unter dem Baum aus
Ein gut konfiguriertes Täuschungssystem kann den Schaden, den Angreifer an Ihren Sicherheitsressourcen anrichten können, minimieren oder sie sogar ganz stoppen. Und da vieles davon automatisiert ist, müssen Sie den Baum nicht Tag und Nacht bewässern und besonnen. Sie können es bereitstellen und SOC-Ressourcen für Sicherheitsmaßnahmen einsetzen, die einen praxisorientierteren Ansatz erfordern.