Die Mausefalle im Netzwerk
Im Augenblick ist in den Medien täglich von Cyberangriffen auf Firmen zu hören.
Die Folgen eines solchen Angriffes sind massiv.
- verschlüsselte Systeme
- gelöschte Backups
- wichtige Geschäftsdaten in den Händen dritter
- Lösegeldforderungen
- Produktionsstillstand
Angriff
Meist folgt dieser einem sehr ähnlichen Ablauf:
Der Angreifer verschafft sich Zugriff auf die Systeme über:
- einen Link im E-Mail
- einen liegengelassenen USB-Stick
- Sicherheitslücken in nicht aktuellen Systemen
- …
Das Ziel wird analysiert:
- was für Systeme gibt es?
- gibt es Backups? Wo sind diese?
- welche Daten erscheinen interessant?
In dieser Phase lassen sich die Angreifer meist etwas Zeit, da noch niemand von deren Eindringen weiß.
- Daten werden exportier / kopiert
Teilweise werden über Jahre hinweg Geschäftsgeheimnisse auf diese Art und Weise aus Unternehmen herausgezogen.
- Ausführung des Angriffes
- Löschen von vorhandenen Backups
- Aussperren der Administratoren
- Verschlüsseln der Systeme
- Lösegeldforderung
Verteidigung
Um sich vor so einem Angriff zu schützen sind mehrere kombinierte Abwehrmechanismen notwendig.
Der hier vorgestellte Mechanismus setzt auf einen oder mehrere Stolperdrähte im Netzwerk und kann dem Verantwortlichen kurz vor dem Ausbruch eine Warnung zukommen lassen.
Genauer gesagt werden ein oder mehrere Geräte (Canaries) im Netzwerk installiert, welche sich dem Angreifer als interessantes Ziel bei dessen Analyse zeigen. Beim Versuch sich auf dieses Gerät zu verbinden, schlägt dieses Alarm, indem es den Verantwortlichen darüber informiert, dass es kontaktiert wurde und wer diese Anfrage gestartet hat.
Nach Eintreffen dieser Meldung ist klar, dass das System von jemandem gescannt wird. Nun ist es wichtig SOFORT zu reagieren um das Schlimmste zu verhindern, indem die Quelle des Angriffs (das kontaktierende System) isoliert wird.
Die weitere Vorgehensweise ist schon im Notfall-Aktionsplan - welchen ich auch für Sie entwerfen kann - umrissen, um direkt umgesetzt werden zu können.
Es gibt neben installierten Canaries auch noch die Möglichkeit, diese Stolperfallen auf andere Dinge anzuwenden, wie z.B. Dokumente, Links auf Bilder, …
Die Anwendungsmöglichkeiten sind hier sehr vielfältig.
Links
Anbei weiterführende Links zum Thema
https://canary.tools | kommerzieller Anbieter von Canaries und Canarytokens |
https://opencanary.readthedocs.io/en/latest/ | Open Source Canary |
https://github.com/thinkst/canarytokens-docker | Open Source Canarytoken Server (Docker) |
Haben Sie weitere Fragen zum Thema?