{"id":52244,"date":"2024-04-18T15:32:44","date_gmt":"2024-04-18T13:32:44","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=52244"},"modified":"2024-04-22T16:43:39","modified_gmt":"2024-04-22T14:43:39","slug":"cyber-deception-wie-wir-angreifer-gezielt-in-die-falle-locken-und-was-sie-davon-haben","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyber-deception-wie-wir-angreifer-gezielt-in-die-falle-locken-und-was-sie-davon-haben\/","title":{"rendered":"Cyber Deception: Wie wir Angreifer gezielt in die Falle locken und was Sie davon haben"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyber-deception-wie-wir-angreifer-gezielt-in-die-falle-locken-und-was-sie-davon-haben\/#Was_ist_Cyber_Deception\" >Was ist Cyber Deception?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyber-deception-wie-wir-angreifer-gezielt-in-die-falle-locken-und-was-sie-davon-haben\/#Beispiel_einer_Implementierung\" >Beispiel einer Implementierung<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyber-deception-wie-wir-angreifer-gezielt-in-die-falle-locken-und-was-sie-davon-haben\/#Schlussfolgerung\" >Schlussfolgerung<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\"wp-block-paragraph\">In diesem Beitrag \u00fcber die dynamische Welt der Cyber Deception erfahren Sie wie gef\u00e4hrliche Angreifer mit wenig Aufwand sichtbar gemacht werden k\u00f6nnen. Au\u00dferdem zeigen wir anhand einer beispielhaften Implementierung und deren Anbindung an ein SIEM-System, wie das Wissen \u00fcber bislang unbekannte Angriffe und Angriffsmuster in die Abwehr einflie\u00dft und die <strong>Cyber Resillience<\/strong> st\u00e4rkt. Doch zun\u00e4chst eine kurze Begriffserkl\u00e4rung:<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Was_ist_Cyber_Deception\"><\/span><strong>Was ist Cyber Deception?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Cyber Deception ist eine proaktive <strong>IT-Sicherheitsstrategie<\/strong>, bei der simulierte Ziele geschaffen werden, um Angreifer von wichtigen Assets abzulenken oder generell abzuschrecken. Das Grundprinzip folgt der Idee, dass attraktive K\u00f6der die Aufmerksamkeit der Angreifer auf sich ziehen und ihre Aktionen auf eigens daf\u00fcr bereitgestellte Zielen lenken. Als erg\u00e4nzender Baustein von <a href=\"https:\/\/testing.secuinfra.com\/managed-detection-and-response\/\">MDR-Systemen (Managed Detection &amp; Response)<\/a> verschafft Cyber Deception der Abwehr einen entscheidenden zeitlichen Vorteil. Denn f\u00e4llt der Hacker auf das Ablenkungsman\u00f6ver herein, wird ein Alarm ausgel\u00f6st und die Verteidigung kann umgehend reagieren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Mit Honig f\u00e4ngt man Fliegen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Zwei der bekanntesten Kernkonzepte der Cyber Deception sind <strong>Honeypots<\/strong> und Honeytokens. W\u00e4hrend Honeypots als ganze K\u00f6dersysteme oder -netzwerke Angreifer anlocken, bestehen Honeytokens aus einzelnen Artefakten wie zum Beispiel Dateien, Accounts oder Registry-Eintr\u00e4gen, die beim Zugriff Alarm ausl\u00f6sen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im Gegensatz zu anderen oder herk\u00f6mmlichen Ma\u00dfnahmen, die auf reiner Erkennung und Abwehr mittels Signaturen, Heuristiken oder \u00e4hnlichem basieren, versucht Cyber Deception Angreifer proaktiv in eine kontrollierte und \u00fcberwachte Umgebung zu lenken. Neben den offensichtlichen Vorteilen bietet dieser Ansatz auch das Potenzial, wertvolle Daten f\u00fcr die Threat Intelligence zu gewinnen. Letztlich dient Cyber Deception auch dazu, Angreifer zu verstehen und ihren <strong>Entscheidungszyklus<\/strong> aktiv zu beeinflussen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Die Psychologie des Angreifers verstehen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Typischerweise w\u00e4hlen Angreifer den Weg mit dem geringsten Widerstand, um einen m\u00f6glichst hohen Wert zu erbeuten. Cyber Deception macht sich diese Denkweise zunutze und pr\u00e4sentiert den Angreifern genau das, was sie sehen wollen. Sobald der Angreifer den K\u00f6der geschluckt hat, l\u00e4sst er sich durch weitere Brotkrumen noch weiter in die Irre f\u00fchren. Es wird versucht, eine glaubw\u00fcrdige Geschichte zu erz\u00e4hlen, die mit jedem weiteren Schritt f\u00fcr den Angreifer glaubw\u00fcrdiger wird. Was aber, wenn der Angreifer den Trick der Cyber Deception durchschaut? Studien zeigen, dass dies selbst dann f\u00fcr die Verteidiger der Systeme von Vorteil ist, da die Angreifer oft zur\u00fcckschrecken oder auf langsamere und weniger effektive Angriffe ausweichen, was dem SOC-Team Zeit zum Analysieren und Reagieren gibt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Gibt es einen Haken?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Obwohl Cyber Deception eine m\u00e4chtige <strong>Verteidigungsstrategie<\/strong> ist, ist sie nicht frei von Herausforderungen. False Positives k\u00f6nnen immer noch auftreten und es muss an der genauen Umsetzung bzw. Implementierung der gew\u00e4hlten Techniken gearbeitet werden. Grunds\u00e4tzlich ist klar definiert, was legitimes und was b\u00f6sartiges Verhalten ist. Dennoch kann es vereinzelt vorkommen, dass ein neugieriger Mitarbeiter zuf\u00e4llig auf <strong>Cyber Deception Ressourcen<\/strong> zugreift. Solche Situationen m\u00fcssen im Voraus bedacht werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Au\u00dferdem m\u00fcssen Honeypots und Honeytokens st\u00e4ndig gewartet und angepasst werden. Die Geschichte, die wir einem Angreifer erz\u00e4hlen wollen, muss so glaubw\u00fcrdig wie m\u00f6glich sein. Ansonsten besteht die Gefahr, dass der Angreifer, wie bei anderen Erkennungsmethoden auch, Wege findet, diese zu umgehen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Beispiel_einer_Implementierung\"><\/span><strong>Beispiel einer Implementierung<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wie jede <strong>Cyber-Sicherheitsma\u00dfnahme<\/strong> erfordert auch Cyber Deception eine durchdachte Planung. Ob es gelingt, den Angreifer von der Echtheit der T\u00e4uschung zu \u00fcberzeugen, h\u00e4ngt davon ab, ob es gelingt, ihm eine klare und zusammenh\u00e4ngende Geschichte aus verschiedenen Teilen zu pr\u00e4sentieren. Vorschnelle Kritiker k\u00f6nnten nun unter Verweis auf Kerckhoffs Prinzip &#8222;no security through obscurity&#8220; behaupten, dass Cyber Deception keine echte Sicherheit schaffe. Solche Einw\u00e4nde sind nicht nur als Fehlinterpretation zu werten, sondern f\u00fcr uns als Systemverteidiger schlicht irrelevant. Das Kerckhoff&#8217;sche Prinzip mag f\u00fcr Kryptosysteme sinnvoll sein, aber f\u00fcr unser Anliegen gelten andere Vorzeichen. Denn letztlich ist jeder Ansatz wertvoll, der einen Angreifer von seinem Ziel ablenkt und seine Entdeckung erm\u00f6glicht. Je mehr wir den Angreifer zum Handeln bewegen und ihn davon abhalten, sich auf kritische Assets zu konzentrieren, desto gr\u00f6\u00dfer ist die Chance, ihn zu entdecken und gr\u00f6\u00dferen Schaden zu verhindern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der theoretische Aufbau einer nachhaltigen Cyber Deception gliedert sich in acht Schritte, die im Folgenden anhand eines einfachen Beispiels veranschaulicht werden:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Ziele definieren<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die anf\u00e4ngliche Bestimmung der strategischen Ziele ist erfolgsentscheidend f\u00fcr den Verlauf der Cyber Deception. Das Sammeln von Malware Samples f\u00fcr das <strong>Threat Intelligence Team<\/strong> geh\u00f6rt ebenso dazu wie das Ablenken verschiedener Angreifer von kritischen Systemen. Die strategischen Ziele bestimmen nicht nur die n\u00e4chsten Schritte, sondern auch die darauf aufbauenden \u00dcberlegungen. W\u00e4hrend der Zieldefinition ist die T\u00e4uschung noch anpassbar und kann entsprechend geformt und gestaltet werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Veranschaulichung soll ein mittelst\u00e4ndisches Unternehmen als Beispiel dienen. Nach eingehender Beratung haben die Verantwortlichen erkannt, dass viele Unternehmensprozesse von der Verf\u00fcgbarkeit und Integrit\u00e4t des <strong>Active Directory <\/strong>abh\u00e4ngen. Daher wird als Ziel definiert, die Sicherheit dieses Systems zu erh\u00f6hen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Gew\u00fcnschte Reaktionen festlegen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nach der strategischen Zielbestimmung wird die Psychologie des Angreifers betrachtet, um dessen Entscheidungsfindung aktiv zu beeinflussen. Auf der grundlegenden Analyse potenzieller Schritte und Handlungen werden die gew\u00fcnschten Reaktionen des Angreifers definiert. Dabei lautet die zentrale Frage: &#8222;Was soll der Angreifer wahrnehmen und wie soll er darauf reagieren?&#8220;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In unserem Beispielszenario k\u00f6nnte eine m\u00f6gliche Reaktion darin bestehen, die Angriffe st\u00e4rker auf die Deception Accounts zu lenken. Das Unternehmen hat zwei m\u00f6gliche Reaktionen identifiziert: Fall 1: Der Angreifer scheitert an einem <strong>Fake-Account<\/strong> und setzt seine Angriffe auf echte Accounts fort oder Fall 2: Der Angriff auf den Fake-Account ist erfolgreich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wichtig ist: Beide Szenarien haben zu diesem Zeitpunkt keinen negativen Einfluss auf die IT-Sicherheit, bringen aber einen Vorteil f\u00fcr die Verteidigung: Je mehr Zeit der Angreifer mit einem Deception Account verbringt, desto gr\u00f6\u00dfer ist die Chance, dass er entdeckt wird. Dennoch ist klar, dass das Unternehmen nicht m\u00f6chte, dass der Angreifer Erfolg hat.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Angreifer-Bias identifizieren<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das Prinzip Cyber Deception beruht gr\u00f6\u00dftenteils darauf, dass auch Angreifer menschlichen Eigenschaften und damit verbundenen Verzerrungen (engl. Bias) unterliegen, die ihr Handeln beeinflussen. Dieser menschliche Faktor und seine Schw\u00e4chen werden ausgenutzt. Die verschiedenen Arten von Bias k\u00f6nnen pers\u00f6nlicher, emotionaler, betrieblicher\/kultureller oder kognitiver Natur sein. Pers\u00f6nliche Verzerrungen sind besonders spezifisch und daher wirksam, w\u00e4hrend kognitive Verzerrungen allgemeiner und daher weniger wirksam sind. Da jedoch nur selten pers\u00f6nliche Informationen \u00fcber Angreifer zur Verf\u00fcgung stehen, um diese gezielt auszunutzen, sind operative oder kulturelle Verzerrungen oft die praktikabelsten Werkzeuge.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Grunds\u00e4tzlich geeignet ist auch der kognitive, in diesem Zusammenhang oft auch operative Best\u00e4tigungsfehler oder Confirmation Bias. Dieser tritt auf, wenn wir unbewusst Informationen h\u00f6her bewerten, wenn sie unsere bestehende Sichtweise unterst\u00fctzen. Eine M\u00f6glichkeit, den <strong>Confirmation Bias<\/strong> gegen den Angreifer zu nutzen, besteht beispielsweise darin, Accounts mit attraktiven Namen zu versehen, die dem Angreifer ein leichtes Ziel suggerieren. Zum Beispiel durch das Hinzuf\u00fcgen von Pr\u00e4- oder Suffixen wie \u201etest\u201c oder &#8222;dev&#8220; zu einem Account. Dadurch wird suggeriert, dass diese Accounts eher unsichere Passw\u00f6rter haben und leichte Beute sind.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Deception definieren<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">In diesem Schritt definieren wir auf Basis der bisherigen Erkenntnisse m\u00f6glichst genau, wie unsere Deception gestaltet sein soll. Dazu betrachten wir zun\u00e4chst die Komponenten von Computersystemen, die f\u00fcr die Integration von Cyber Deception genutzt werden k\u00f6nnen (Abb. 1). Anschlie\u00dfend betrachten wir die Faktoren zur Gestaltung der <strong>T\u00e4uschungsstrategie<\/strong> (Abb. 2).<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1000\" height=\"545\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Deception_Komponenten_Logo.png\" alt=\"\" class=\"wp-image-52247\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Deception_Komponenten_Logo.png 1000w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Deception_Komponenten_Logo-800x436.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Deception_Komponenten_Logo-768x419.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Abbildung 1: F\u00fcr Cyber Deception geeignete Komponenten von Computersystemen.<\/em><em><\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die T\u00e4uschung in einem Computersystem kommen haupts\u00e4chlich zwei Wege in Frage: der eine f\u00fchrt \u00fcber die Funktionalit\u00e4t, der andere \u00fcber seinen Zustand. Aufbauend auf den vorangegangenen Schritten entwickeln wir nun mit Hilfe dieser Komponenten unsere Deception Story. Diese Phase erfordert ein hohes Ma\u00df an Individualit\u00e4t und Anpassung an die spezifischen Gegebenheiten des Unternehmens und der Umgebung, in der die T\u00e4uschungsstrategie umgesetzt wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bei dem Beispielunternehmen, das seine Sicherheitsstrategie durch Cyber Deception erg\u00e4nzen m\u00f6chte, ist es aufgrund der bisherigen \u00dcberlegungen sinnvoll, einen f\u00fcr den Angreifer attraktiven Zustand des Systems zu simulieren. Daher werden die Deception Accounts so gestaltet, dass sie als leichte Angriffsziele erscheinen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"1000\" height=\"417\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Schaffen_von_Deception_Logo.png\" alt=\"\" class=\"wp-image-52249\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Schaffen_von_Deception_Logo.png 1000w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Schaffen_von_Deception_Logo-800x334.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Schaffen_von_Deception_Logo-768x320.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Abbildung 2: Arten, wie Angreifer get\u00e4uscht und welche Aspekte daf\u00fcr manipuliert werden k\u00f6nnen.<\/em><em><\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Abbildung 2 zeigt auf der linken Seite, wie wir die Realit\u00e4t zu unseren Gunsten gestalten k\u00f6nnen, indem wir sie teilweise verbergen, ver\u00e4ndern oder erzeugen. Die rechte Seite umfasst allgemeinere Aspekte, die wir ebenfalls manipulieren k\u00f6nnen, insbesondere die Natur und Wirkung sowie die Existenz und den Wert von Informationen oder Systemen. Nat\u00fcrlich gibt es in allen Bereichen \u00dcberschneidungen, die wir gezielt nutzen k\u00f6nnen, um unsere T\u00e4uschungsstrategie noch glaubw\u00fcrdiger zu machen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In unserem Beispielszenario ver\u00e4ndern wir den Bereich der Existenz, indem wir neue Konten anlegen. Gleichzeitig versuchen wir, die Wirkung und den Wert dieser Accounts f\u00fcr potenzielle Angreifer zu erh\u00f6hen, indem wir ihnen spezifische Namen und Rollen zuweisen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Monitorings einrichten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Um Angriffe erkennen zu k\u00f6nnen, ist neben einer gut durchdachten Deception auch ein effektives Monitoring entscheidend. In diesem Fall werden die Quellen der Deception mit dem vorhandenen SIEM-System verbunden. Aus technischer Sicht gibt es verschiedene M\u00f6glichkeiten, dies zu realisieren. Letztlich kommt es aber darauf an, dass die <strong>Deception Assets Logs<\/strong> generieren und entsprechende Regeln im <strong>SIEM-System <\/strong>erstellt werden. Im Hinblick auf eine nahtlose Integration von Deception in die bestehende Umgebung ist es wichtig, dass sich die Art der \u00dcberwachung nicht wesentlich von anderen \u00dcberwachungsverfahren unterscheidet.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Risikoanalyse<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die Einf\u00fchrung neuer Systeme in eine Umgebung bringt zwangsl\u00e4ufig neue Risiken mit sich, die entweder bereits bekannt sind oder vor der Implementierung identifiziert und behandelt werden m\u00fcssen. Im Idealfall bestehen bereits etablierte Prozesse zum <strong>Risikomanagement<\/strong>. Andernfalls ist es sp\u00e4testens jetzt an der Zeit, sich unabh\u00e4ngig von Cyber Deception damit zu besch\u00e4ftigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Als besondere Risiken beim Einsatz von Cyber Deception sind zum einen die Gefahr, dass Angreifer die Systeme \u00fcbernehmen und f\u00fcr ihre b\u00f6swilligen Absichten nutzen, und zum anderen die m\u00f6gliche negative Beeinflussung der regul\u00e4ren Nutzer in der <strong>IT-Landschaft<\/strong> hervorzuheben. Dieses Risiko ist aber auch als Chance zu sehen: Denn wenn Angreifer ihre Aufmerksamkeit auf die T\u00e4uschungssysteme richten, ist der angerichtete Schaden wahrscheinlich geringer als bei einem Angriff auf die Produktivsysteme.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das zweite Risiko betrifft die Aufdeckungsm\u00f6glichkeiten: Wird ein normaler Benutzer in der IT-Landschaft in irgendeiner Weise durch die Cyber Deception beeinflusst, steigt die Wahrscheinlichkeit von False Positives. Ein typischer Benutzer sollte daher im Idealfall nicht mit der Deception in Ber\u00fchrung kommen, es sei denn, er handelt au\u00dferhalb seines normalen Zust\u00e4ndigkeitsbereichs oder in b\u00f6swilliger Absicht.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Deception umsetzen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Mit einem ausgearbeiteten Plan und allen vorangegangenen \u00dcberlegungen im Hinterkopf folgt nun die Integration der Cyber-Deception in unsere Umgebung. Dabei ist es wichtig, die F\u00e4higkeiten des Angreifers zu ber\u00fccksichtigen und sich stark auf den Kontext des Unternehmens zu konzentrieren. Damit soll sichergestellt werden, dass die T\u00e4uschungsstrategie nahtlos in die Gesamtlandschaft eingebettet ist und ein potenzieller Angreifer die T\u00e4uschung nicht von den normalen Assets unterscheiden kann. Die Deception sollte nicht isoliert stehen, sondern so tief wie m\u00f6glich in die <strong>IT-Infrastruktur<\/strong> integriert werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im Beispielunternehmen werden daher die geplanten Deception Accounts eingerichtet und die Windows Logquellen an das bestehende SIEM System angebunden. Use Cases f\u00fcr die Erkennung von b\u00f6sartigen Aktivit\u00e4ten werden entwickelt. F\u00fcr den Fall eines erfolgreichen Logins auf den Deception-Accounts werden automatisierte SOAR-Regeln erstellt, um den Angreifer zu blockieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dieses Beispiel zeigt, dass Cyber Deception nicht notwendigerweise einen gro\u00dfen Stack verschiedener Cyber Defense Technologien erfordert. Genauso gut k\u00f6nnte das Unternehmen beim Login ein <strong>PowerShell-Skript<\/strong> ausf\u00fchren lassen, das beispielsweise eine E-Mail an das SOC sendet oder einen Webhook ausl\u00f6st. Nat\u00fcrlich bietet ein gro\u00dfer Technologie-Stack Vorteile, aber viel entscheidender ist eine gute Strategie.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Strategie bewerten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Im letzten Schritt wird die Cyber Deception Strategie abschlie\u00dfend evaluiert, wobei besonderes Augenmerk auf die Effektivit\u00e4t gelegt wird. Gibt es zu viele False Positives? Werden \u00fcberhaupt Alarme erzeugt? Ist der Wartungsaufwand zu hoch? All diese Fragen m\u00fcssen beantwortet werden und die Antworten k\u00f6nnen unterschiedliche Auswirkungen haben. Zum Beispiel kann das Ausbleiben von Alarmen bedeuten, dass keine Angriffe stattgefunden haben. Es kann aber auch bedeuten, dass die Erkennung ineffektiv ist oder die T\u00e4uschung zu leicht als solche zu erkennen ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">An dieser Stelle ist es sinnvoll, einen kontinuierlichen Verbesserungsprozess einzuleiten. So k\u00f6nnen z.B. durch die Erkenntnisse aus dem Monitoring potenziell neue Bereiche f\u00fcr den Einsatz von Cyber Deception identifiziert werden, um die Umgebung schrittweise noch besser vor Angreifern zu sch\u00fctzen und die Strategie weiterzuentwickeln.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Schlussfolgerung\"><\/span><strong>Schlussfolgerung<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Richtig eingesetzt kann Cyber Deception eine \u00e4u\u00dferst wirksame Waffe gegen Angreifer aller Art darstellen und uns einen entscheidenden Vorteil im st\u00e4ndigen Kampf zwischen Angreifern und Verteidigern verschaffen. Allerdings ist darauf hinzuweisen, dass Cyber Deception nicht isoliert betrachtet werden sollte, sondern vielmehr als eine sinnvolle Erg\u00e4nzung zu g\u00e4ngigen <strong>Sicherheitsma\u00dfnahmen<\/strong> wie EDR, NDR, Patch Management, SIEM oder Compromise Assessment.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In einer solchen Kombination oder als integrierter Bestandteil in einer umfassenden <a href=\"https:\/\/testing.secuinfra.com\/managed-detection-and-response\/\">MDR-L\u00f6sung<\/a> kann Cyber Deception einen entscheidenden Beitrag leisten, um die Cyber Resilience nachhaltig zu erh\u00f6hen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sie m\u00f6chten Ihre Cyber-Abwehr effektiv und flexibel aufstellen? Entdecken Sie jetzt die verschiedenen Wege f\u00fcr <a href=\"https:\/\/testing.secuinfra.com\/managed-detection-and-response\/\">Managed Detection &amp; Response<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In diesem Beitrag \u00fcber die dynamische Welt der Cyber Deception erfahren Sie wie gef\u00e4hrliche Angreifer mit wenig Aufwand sichtbar gemacht werden k\u00f6nnen. Au\u00dferdem zeigen wir anhand einer beispielhaften Implementierung und deren Anbindung an ein SIEM-System, wie das Wissen \u00fcber bislang unbekannte Angriffe und Angriffsmuster in die Abwehr einflie\u00dft und die Cyber Resillience st\u00e4rkt. <\/p>\n","protected":false},"author":35,"featured_media":52260,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[255,66],"tags":[],"dpc_coauthors":[],"class_list":["post-52244","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-mdr","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/52244","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=52244"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/52244\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/52260"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=52244"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=52244"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=52244"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=52244"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}