Ein Ziel, viele Angriffs- und Abwehrmethoden

Schutz vor Cyberangriffen

Cyber Attack, Cyberangriffe

Alle Daten werden, bevor sie über das Internet gesendet und empfangen werden, zunächst in Pakete aufgeteilt. Um sicherzustellen, dass jedes Datenpaket sicher bleibt, verpackt ein VPN-Dienst es in ein äußeres Paket, das dann durch einen Prozess namens Verkapselung verschlüsselt wird. Dieses äußere Paket schützt die Daten während der Übertragung – das ist das Kernelement des VPN-Tunnels. Wenn die Daten beim VPN-Server ankommen, wird das äußere Paket durch einen Entschlüsselungsprozess entfernt, damit man wieder auf die Daten zugreifen kann.

VPN-Lösungen im Überblick:

Anzeige

4. Web und DNS Filtering

Bei diesem Angriffsvektor erfolgt eine Echtzeit-Blockierung von boshafter Schadsoftware mittels DNS-Filter. Mithilfe von Künstlicher Intelligenz und evolutionären Algorithmen werden Cyberangriffe nicht nur erkannt, sondern präventiv geblockt. Als zentrale, cloudbasierte Threat Intelligence werden sämtliche IP-basierte Devices geschützt und Bedrohungen blockiert, noch bevor diese die Infrastruktur erreichen.

Ein DNS-basierter Web-Filterdienst kann folgendes erreichen:

  • Blockiert den Zugang zu bösartigen und riskanten Websites
  • Verhindert das Herunterladen von Malware
  • Schafft eine sichere Umgebung zum Surfen für Netzwerkbenutzer, Wi-Fi-Benutzer und Gäste
  • Sorgt für die Durchsetzung von Policies
  • Verhindert, dass Benutzer auf unangemessene und NSFW-Inhalte zugreifen
  • Verbessert die Produktivität, indem er den Zugriff auf bestimmte Internet-Seiten blockiert
  • Begrenzt das Potenzial für regulatorischen Verstößen, indem er den Zugang zu Messenger-Diensten, persönlichen Webmails und sozialen Mediennetzwerken verhindert

Wichtig zu wissen, Browser-PlugIns wie etwa uBlock können zwar als Contentfilter wirken und Werbung und Tracking verhindern, sind aber ebenso wie AV-Software, Firewall etc. kein Ersatz, sondern eine Ergänzung für eine sichere Systemkonfiguration und IT-Infrastruktur.
Höherwertige Firewalls verfügen oft über integrierte Contentfilter. Für alle anderen ist ein externer DNS-Service die erste Wahl.

Anzeige

DNS-Filtering-Lösungen im Überblick:

5. Honeypots & Deception

Honeypots sind eine geeignete Maßnahme etwa bei DDoS- oder Schadsoftwareangriffen. Ziel ist die Ableitung von Traffic und die Gewinnung von Zeit. In dem man ihn vom eigentlichen Angriffsziel ablenkt, ist Zeit, seine Angriffsmethoden zu protokollieren, zu analysieren, ihn ggf. zu identifizieren und Gegenmaßnahmen einzuleiten. Deception ist die nächste Generation dieser Technologie, sie wird auch als Next Generation Honeypots bezeichnet.

Grundsätzlich gibt es drei Arten von Honeypots:

  1. Malware Honeypots. Hier werden Softwareanwendungen und APIs imituirt, um Malware-Angriffe zu provozieren. Die Malware wird anschließend analysiert. So lassen sich Sicherheitslücken in der API schließen und es kann geeignete Anti-Malware-Software entwickelt werden.
  2. Spider Honeypots. Hier werden Webseiten und Links erstellt, die nur für Webcrawler zugänglich sind. Diese kleinen Programme werden auch Spiders genannt – daher der Name dieses Honeypot-Typs. Eine effektive Crawler-Erkennung hilft Ihnen, Strategien für die Blockierung von schädlichen Bots und Crawlern von Anzeigennetzwerken auszuarbeiten.
  3. eMail Traps oder auch Spam-Traps genannt. Hier wird eine fiktive E-Mail-Adresse an einem verborgenen Ort eingerichtet, an dem sie nur von automatisierten E-Mail-Harvestern gefunden werden kann. Da die Adresse ausschließlich als Spam-Trap verwendet wird, ist jede eingehende E-Mail mit absoluter Sicherheit Spam. Alle Nachrichten, die den gleichen Inhalt haben wie die in der Spam-Trap gelandeten E-Mails, können automatisch blockiert werden. Zusätzlich lassen sich die Quell-IPs der Absender zu einer Denylist hinzufügen.

Heutzutage sind Honeypots skallierbar. So kann man mehrere Honeypots sozusagen zusammenschalten. Von außen sieht es aus wie ein echtes Netzwerk und enthält mehrere Systeme, wird aber auf einem oder wenigen Servern gehostet, die jeweils eine Umgebung repräsentieren. Zum Beispiel ein Windows-Honeypot-Rechner, ein Mac-Honeypot-Rechner und ein Linux-Honeypot-Rechner.

Eine „Honeywall” überwacht den ein- und ausgehenden Datenverkehr im Netzwerk und leitet ihn an die Honeypot-Instanzen weiter. Sie können Schwachstellen in ein Honignetz einschleusen, um einem Angreifer den Zugriff auf die Falle zu erleichtern.

Jedes System im Honignetz kann als Einstiegspunkt für Angreifer dienen. Das Honeynet sammelt Informationen über die Angreifer und lenkt sie vom echten Netzwerk ab. Der Vorteil eines Honeynets gegenüber einem einfachen Honeypot ist, dass es sich eher wie ein echtes Netzwerk anfühlt und einen größeren Einzugsbereich hat.

Das macht das Honeynet zu einer besseren Lösung für große, komplexe Netzwerke – es bietet Angreifern ein alternatives Unternehmensnetzwerk, das eine attraktive Alternative zum echten Netzwerk darstellen kann.

Es gibt aber auch Grenzen für den Einsatz. So besteht das Risiko, dass ein Angreifer nach erfolgreicher Ausnutzung des Honeypots seitlich in ein echtes Produktionsnetz eindringen kann. Um dies zu verhindern, muß man sicherstellen, dass der Honeypot angemessen isoliert ist.

Um die Skalierung von Sicherheitsmaßnahmen zu unterstützen, können Honeypots mit anderen Techniken kombinieret werden. Die Canary-Trap-Strategie beispielsweise hilft beim Aufspüren von Informationslecks, indem sie selektiv verschiedene Versionen sensibler Informationen an mutmaßliche Maulwürfe oder Whistleblower weitergibt.

Doch auch die Technik der Honeypots entwickelt sich weiter. Ein Manko ist, dass diese eher statisch sind und im Netzwerk nur das abdecken, was physisch installiert werden kann. Das Konzept der Deception hingegen deckt eine größere Bandbreite von Angriffsvektoren ab und identifiziert Angreifer auch noch innerhalb von mehreren Seitwärtsschritten. CyberTrap unterscheidet darüber hinaus zwischen Endpoint, Web Application und Active Directory Deception. Alle drei Techniken haben das Ziel, dass sie den Cyberangreifer von den produktiven Services ablenken und ihn auf die täuschend ähnlichen Server in eine Falle locken.

Honeypot-& Deception Lösungen im Überblick:

Ulrich

Ulrich

Parthier

Herausgeber it management, it security

IT Verlag GmbH

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.