Der österreichische Sicherheitsanbieter Cybertrap will Hacker nicht nur in Echtzeit erkennen und dann abwehren, sondern die Angreifer in der Zwischenzeit auch analysieren und von ihnen lernen. Diesen proaktiven Security-Ansatz verfolgt der Hersteller nach eigenen Angaben mittels seiner auf der Deception-Technik (Täuschungstechnik) basierenden Lösung, die zielgerichtete Angriffe, etwa APT- und Zero-Day-Angriffe, identifiziert und anschließend zur Aufklärung über die Gegenseite nutzt.

Ein ausgereiftes Täuschungsmanöver versetze Unternehmen in die Lage, die Vorgehensweise der Angreifer sicher zu studieren, ohne dabei zum Opfer zu werden. Auf diese Weise sei es Betreibern kritischer Infrastrukturen möglich, Abwehrmechanismen zu optimieren und die Sicherheit auf ein höheres Schutzniveau zu heben.

Die Cybertrap-Lösung identifiziert nach Angaben des Herstellers im ersten Schritt Angreifer, die alle Sicherheitsstufen überwunden haben und sich bereits innerhalb der Infrastruktur befinden. Im nächsten Schritt leitet die Lösung die Angreifer um und überwacht sie, ohne dass dabei Schäden entstehen sollen.

Dazu, so der Hersteller, hinterlege man Köder (Lures) in Web-Applikationen oder Endpoints, die ausschließlich von Akteuren mit böswilligen Absichten entdeckt werden können. Ein Angreifer, der einem solchen Köder folgt, gelangt in eine für das Unternehmen maßgeschneiderte und von der echten Infrastruktur getrennte Täuschumgebung (Decoy), so der Hersteller weiter.

In dieser vermeintlich authentischen Umgebung könne der IT-Verantwortliche nun sämtliche Aktivitäten der Angreifer in Echtzeit verfolgen. Darüber hinaus sollen die Eindringlinge vorgeblich echte Datensätze vorfinden, die letztendlich aber wertlos sind. Öffnet ein Angreifer die entwendeten Daten, sendet das in der Lösung enthaltene Tracking-Verfahren – eine Art digitaler Peilsender – Informationen an das Unternehmen zurück. Auf diese Weise soll es erfahren, wohin die Angreifer die Daten weitergeleitet haben und wer diese nutzt, so die Österreicher weiter.

IT-Sicherheitsverantwortliche erhalten laut Cybertrap auf diese Weise die Möglichkeit, Erkenntnisse über eventuell noch unbekannte Angriffsvektoren zu erhalten und welche Assets für die Angreifer von besonderem Interesse sind. Darüber hinaus sollen die Informationen Unternehmen nicht nur dabei helfen, Schwachstellen zu beseitigen, sondern auch bei der Differenzierung ihrer Sicherheitsmaßnahmen unterstützen. Dies kann lauf Hersteller etwa die Verfeinerung von SIEM-Mechanismen beinhalten oder der zusätzliche Schutz von besonders gefährdeten Assets.

Die Honeypot-Technik von Cybertrap lässt sich lokal, Cloud-basiert oder hybrid einsetzen. Unternehmen sollen zudem die Wahl zwischen zwei Bereitstellungsvarianten haben. Für Großunternehmen und Behörden, die über umfassende IT-Security-Kapazitäten verfügen, empfehlen die Österreicher die Supported-Service-Variante. Dabei übernimmt der Hersteller die Schulung und Betreuung der unternehmensinternen Teams. Mit seinem Managed-Services-Angebot adressiert Cybertrap hingegen mittelständische Unternehmen.

Weitere Informationen stehen unter www.cybertrap.com zur Verfügung.

Timo Scheibe ist Redakteur bei der LANline.