Start Empfohlen Täuschungssicherheit: Moderne Reife für automatisierte Erkennung und Reaktion

Täuschungssicherheit: Moderne Reife für automatisierte Erkennung und Reaktion

106
0


Täuschung in ihren verschiedenen Ausführungsformen wird zu einem kritischen Teil der Sicherheitsinfrastruktur von Organisationen. Entsprechend Gärtner, schafft die Notwendigkeit einer besseren Erkennung und Reaktion neue Möglichkeiten für die Automatisierung, Integration, Konsolidierung und Orchestrierung von Sicherheitsstapeln und fördert gleichzeitig die Entstehung neuer Segmente wie Täuschung.

Diese Trends bilden die perfekte Kombination aus Täuschung und automatisierter Erkennung und Reaktion oder ADR.

Moderne Täuschung

Die Hauptziele der Täuschung sind:

  1. Erkennen Sie die Anwesenheit von Angreifern in internen Netzwerken
  2. Einen laufenden Angriff vereiteln, verwirren und verzögern
  3. Bieten Sie Einblick in die Aktivitäten, Ziele und Taktiken der Angreifer

Nach der Kompromittierung von Assets in einer Organisation beginnen Angreifer ihre Aufklärungsphase. Sie durchsuchen betroffene Assets nach wertvollen Informationen und Hinweisen darüber, wo sich die gewünschten Daten in der Umgebung befinden. Angreifer durchsuchen Endpunkte, Netzwerke und verschiedene Geräte, während sie versuchen, sich seitlich in der Umgebung zu bewegen. Die Täuschungsschicht greift in diese Aufklärungsphase ein, lockt und täuscht die Angreifer, erkennt ihre Aktivitäten sehr früh in der Kill Chain, bevor der Organisation Schaden zugefügt wird und die Angreifer ihr Ziel erreichen können.

Täuschung hat klare Vorteile, wenn sie richtig gemacht wird:

  • Null Fehlalarme: Es gibt keine falsch positiven Ergebnisse und das Sicherheitsteam muss nicht endlos Zeit in die Analyse falscher Ereignisse investieren. Jeder Täuschungsalarm ist eine Schlussfolgerung, die eine sofortige Reaktion rechtfertigt.
  • Erkennungs- und Reaktionsautomatisierung: Die Genauigkeit einer Täuschungsschicht ermöglicht verschiedene automatische Reaktionen, da das Sicherheitsteam sich keine Sorgen macht, die Aktivitäten legitimer Benutzer in der Organisation zu stoppen. Dies reduziert die Betriebskosten und erhöht die Effizienz des Sicherheitsteams.
  • Erkennung von Insider-Bedrohungen: Während sich kommerzielles ATD und IPS/IDS darauf konzentrieren, Malware zu finden und zu kennzeichnen, bietet Täuschung die Erkennung von Insider-Bedrohungen. Da Täuschungssysteme für die Mitarbeiter unsichtbar eingesetzt werden, ist eine sofortige Nachverfolgung erforderlich, wenn ein Täuschungsknoten, ein Täuschungsköder oder eine Falle von einem ansonsten entsprechend qualifizierten und bereitgestellten Personal ausgelöst wird.

Automatisierung der Deception-Bereitstellung und -Wartung

Beim Einsatz von Täuschungstechnologie gibt es mehrere Herausforderungen, die bewältigt werden sollten. Diese beinhalten:

  • Die Täuschungskomponenten authentisch machen
  • Anpassen der Köder an Ressourcen in den Netzwerken; einschließlich Assets und Anwendungen
  • Einfache Konfiguration und automatische Bereitstellung. Köder müssen einfach konfiguriert und gewartet werden. Darüber hinaus muss sich das Täuschungsnetzwerk an Veränderungen in der Netzwerkumgebung anpassen können.

Die wichtigsten Überlegungen zur effektiven Konfiguration und Wartung eines effektiven Täuschungsnetzwerks sind unten aufgeführt. Diesen Überlegungen und Herausforderungen stellen sich alle Organisationen, die Täuschungen implementieren. Nur eine integrierte ADR + Deception-Lösung bewältigt diese effektiv:

  • Wie sind die Netzwerke aufgebaut und welche Art von Assets, Betriebssystemen, Anwendungen und Daten sollten für die Täuschung verwendet werden?
  • Wo soll die Täuschung in ihren verschiedenen Ausgestaltungen platziert werden?
  • Wie werden Veränderungen in den Netzwerken und Assets verfolgt, damit sich die Täuschung an die Veränderungen anpassen kann?
  • Welche Infrastruktur ist erforderlich, um die Täuschung aufzubauen?
  • Was ist die Betrugsdeckung? Deckt die Täuschung das ab, was sie abdecken soll?
  • Verfügt die Organisation über die Ressourcen und das Fachwissen, um die Täuschung bereitzustellen und aufrechtzuerhalten?

Die richtige Methodik zum Umgang mit den obigen Herausforderungen besteht darin, die Täuschung in ihren verschiedenen Ausführungsformen automatisch einzusetzen und aufrechtzuerhalten. Kein anderer Weg wird die obige Liste überwinden.

Die Umgebung zu kennen und Sichtbarkeit zu haben, ist entscheidend, um Täuschungen aufzubauen. In vielen Fällen verfügt das Sicherheitsteam nicht über alle relevanten Informationen über die Umgebung, insbesondere, dass sich die Umgebung ständig ändert.

Automatisierte Sichtbarkeit und Analyse der Umgebung

Der erste Schritt beginnt mit der automatischen Identifizierung und Profilerstellung der Netzwerke, der Assets, der Anwendungen und aller anderen Parameter der Umgebung.

Das Kernmanagement der Täuschung besteht darin, die profilierten Informationen zu analysieren und verschiedene Kriterien zu verwenden, um die Täuschungsschichten zu definieren, die den Ressourcen der Organisation entsprechen. Dadurch entstehen überzeugende Lockvögel, die Angreifer effektiv vereiteln und verwirren.

Automatisierte Ködererstellung

Es baut dann automatisch die Täuschungskomponenten auf, definiert die richtigen Netzwerkstandorte für die Täuschung und verteilt die Täuschung im Netzwerk, vorzugsweise mit minimalen Ressourcen, dh eine Appliance kann mehrere Lockvögel in verschiedenen Subnetzen unterstützen, auf denen verschiedene Betriebssysteme und verschiedene laufen Anwendungen.

Da sich das Netzwerk und die Ressourcen in der Organisation ändern, wird die Täuschungslösung die Identifizierung und Profilerstellung ständig fortsetzen und die Täuschung an die Veränderungen in der Organisation anpassen.

Automatisierte Bereitstellung

Der oben beschriebene Bereitstellungsprozess für Täuschungen bietet dem Sicherheitsteam, das Jagdbemühungen und forensische Aktivitäten unterstützt, eine immense Sicherheitstransparenz. Als Teil der Visualisierung bietet die Lösung den Administratoren einen klaren Überblick darüber, wie die Täuschungsschichten die Ressourcen der Organisation abdecken und aufeinander abstimmen. dh über welche Ressourcen die Organisation verfügt und wie gut die Täuschungsimplementierung diese Ressourcen abdeckt. Dies ist wichtig, um zu beurteilen, wie gut die bereits eingesetzte Täuschung zur Organisation passt und welche Maßnahmen ergriffen werden sollten, um die Bereitstellung der Täuschung abzuschließen.

Abschluss

Die Verwendung des automatisierten Ansatzes für die Bereitstellung und Wartung von Täuschungen garantiert, dass die Ressourcen der Organisation effizient und effizient genutzt werden, wodurch der Sicherheitsreifegrad der Organisation erhöht wird.

Fidelis_Doron Kolton KopfschussDoron Kolton ist Chief Strategy Officer – Emerging Technologies at Fidelis-Cybersicherheit. Zuvor war er Gründer und Chief Executive Office von TopSpin Security, bis das Unternehmen von Fidelis Cybersecurity übernommen wurde. Herr Kolton verfügt über mehr als 20 Jahre Erfahrung in der Produkt- und Softwareentwicklung und -verwaltung, einschließlich der Leitung der Softwareabteilung bei Motorola Semiconductor. Er ist spezialisiert auf Cybersicherheit, Echtzeitsysteme, Hardware-/Software-Integration und Kommunikationsprotokolle.



Vorheriger ArtikelStart der Windows 10-Startseite
Nächster ArtikelAOC bringt zwei Android-betriebene mySmart All-in-One-Desktops auf den Markt

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein