Die Mausefalle im Netzwerk

Alexander Längle
Zuletzt aktualisiert am Tue, 05 Oct 2021 2 min Lesezeit Netzwerk
Image credit: Unsplash

Im Augenblick ist in den Medien täglich von Cyberangriffen auf Firmen zu hören.

Die Folgen eines solchen Angriffes sind massiv.

  • verschlüsselte Systeme
  • gelöschte Backups
  • wichtige Geschäftsdaten in den Händen dritter
  • Lösegeldforderungen
  • Produktionsstillstand

Angriff

Meist folgt dieser einem sehr ähnlichen Ablauf:

  1. Der Angreifer verschafft sich Zugriff auf die Systeme über:

    • einen Link im E-Mail
    • einen liegengelassenen USB-Stick
    • Sicherheitslücken in nicht aktuellen Systemen

  2. Das Ziel wird analysiert:

    • was für Systeme gibt es?
    • gibt es Backups? Wo sind diese?
    • welche Daten erscheinen interessant?

In dieser Phase lassen sich die Angreifer meist etwas Zeit, da noch niemand von deren Eindringen weiß.

  1. Daten werden exportier / kopiert

Teilweise werden über Jahre hinweg Geschäftsgeheimnisse auf diese Art und Weise aus Unternehmen herausgezogen.

  1. Ausführung des Angriffes
    • Löschen von vorhandenen Backups
    • Aussperren der Administratoren
    • Verschlüsseln der Systeme
    • Lösegeldforderung

Verteidigung

Um sich vor so einem Angriff zu schützen sind mehrere kombinierte Abwehrmechanismen notwendig.

Der hier vorgestellte Mechanismus setzt auf einen oder mehrere Stolperdrähte im Netzwerk und kann dem Verantwortlichen kurz vor dem Ausbruch eine Warnung zukommen lassen.

Genauer gesagt werden ein oder mehrere Geräte (Canaries) im Netzwerk installiert, welche sich dem Angreifer als interessantes Ziel bei dessen Analyse zeigen. Beim Versuch sich auf dieses Gerät zu verbinden, schlägt dieses Alarm, indem es den Verantwortlichen darüber informiert, dass es kontaktiert wurde und wer diese Anfrage gestartet hat.

Nach Eintreffen dieser Meldung ist klar, dass das System von jemandem gescannt wird. Nun ist es wichtig SOFORT zu reagieren um das Schlimmste zu verhindern, indem die Quelle des Angriffs (das kontaktierende System) isoliert wird.

Die weitere Vorgehensweise ist schon im Notfall-Aktionsplan - welchen ich auch für Sie entwerfen kann - umrissen, um direkt umgesetzt werden zu können.

Es gibt neben installierten Canaries auch noch die Möglichkeit, diese Stolperfallen auf andere Dinge anzuwenden, wie z.B. Dokumente, Links auf Bilder, …

Die Anwendungsmöglichkeiten sind hier sehr vielfältig.

Anbei weiterführende Links zum Thema

https://canary.toolskommerzieller Anbieter von Canaries und Canarytokens
https://opencanary.readthedocs.io/en/latest/Open Source Canary
https://github.com/thinkst/canarytokens-dockerOpen Source Canarytoken Server (Docker)

Haben Sie weitere Fragen zum Thema?

Kontaktieren Sie mich!

security breach ransomeware
Alexander Längle
Alexander Längle

Ähnliches