twitter btn

rss btn


Deception-Experte kündigt weitere Endpoint-Funktionen zur Abwehr von Fingerprinting an

Deflect-Funktion von Attivo Networks erkennt Ausspähungsversuche von Angreifern im Netzwerk


Fremont/Kalifornien, 28. Juli 2020

Attivo Networks hat die Funktionen seines Endpoint Detection Net (EDN) erweitert. Die neue Deflect-Funktion hindert Angreifer daran, Sicherheits-Schwachstellen auf einem Endpunkt zu identifizieren. Zudem verhindert sie, dass Angreifer den Endpunkt ausspionieren. Beides ist problematisch, weil Angreifer diese Taktiken im Zuge ihrer Abtastversuche (Fingerprinting) verwenden, um geeignete Ziele im Netzwerk zu identifizieren. Infolgedessen entscheiden sie, welche Schwachstellen ausgennutzt werden können und wie sie erfolgreich mit ihnen interagieren können.  

Im Gegensatz zu herkömmlichen Sicherheitslösungen arbeitet diese neue Funktion von Attivo Networks folgendermaßen: verdächtiger eingehender oder ausgehender Endpoint-Traffic wird vorbeugend in eine Täuschungs-Umgebung umgeleitet. Dort findet die Bekämpfung statt.

Die EDN Deflect-Funktion warnt so vor nicht autorisierten Host- und Service-Scans. Dies ist von entscheidender Bedeutung, da andere Sicherheits-Mechanismen in der Regel keine Warnung für diese Art von Aktivitäten generieren.

EDN-Funktion schließt Angriffsvektoren

Versuche von Angreifern am Endpunkt, die per Fingerprinting die Charakteristika in Netzwerken ausspähen wollen, werden regelmäßig übersehen. Dies liegt an komplexen Verfahren, die beim Verfolgen, Analysieren und Alarmieren des gesamten Kommunikations-Traffics auftreten. Die Deflection-Fähigkeiten erkennen Fingerprinting-Vorgänge in Netzwerken und Applikationen effizient und genau. Außerdem erkennen sie laterale Bewegungen im Netzwerk und schließt somit einen weiteren Angriffsvektor, der von Bedrohungsakteuren zunehmend genutzt wird.

Wenn Angreifer erfolgreich über einem Endpunkt in das Netzwerk vordringen und darin Fuß fassen – die so genannte 'Breakout-Zeit' wird auf durchschnittlich knapp neun Stunden geschätzt –, breiten sie sich auf andere Systeme aus. Sie erreichen dies, indem sie nach offenen Ports suchen und Fingerprints von Netzwerk-Services erfassen. Darüber hinaus belegt eine FireEye-Studie, dass lediglich 4 Prozent solcher Ausspähungs-Aktivitäten einen Alarm auslösen; in 54 Prozent der Fälle gelingt es den befragten Unternehmen nicht, entsprechende Techniken und Taktiken zum Testen von lateralen Bewegungen einzusetzen. Anhand seiner Ablenkfunktion identifiziert EDN diese Verbindungs- und Ausspähungs-Versuche. Es isoliert den Angreifer, indem es ihn in eine virtuelle Deception-Umgebung umleitet, um ihn dort außer Gefecht zu setzen. All dies geschieht, ohne dass wesentliche Produktions-Services oder -Controller gestört werden.

"Die EDN-Deflect-Funktion macht das Netzwerk widerstandsfähiger, indem sie Angreifer daran hindert, sich lateral zu bewegen und Netzwerk- oder Anwendungsdienste zu erfassen", erklärt Joe Weidner von Attivo Networks Deutschland. "Die Erkennung unbefugter Ein- und Ausgangsverbindungen sowohl an der Quelle als auch am Ziel bietet Security-Experten Echtzeit-Visibilität gepaart mit schlüssigen Erkennungswarnungen."

Angreifer tasten Ziel-Hosts ab, indem sie nach offenen Ports suchen, die sie angreifen können (HTTP/HTTPS, Remote-Desktop, SSH, MSSQL usw.), und dann entweder Exploits gegen deren Schwachstellen ausführen oder Fehlkonfigurationen wie auch schwache Passwörter finden, um sie zu kompromittieren.

Die Deflect-Funktion von Attivo Networks verschiebt die Machtverhältnisse zugunsten der Cyberabwehr:

- Angreifer, die geschlossene Ports auf geschützten Hosts scannen, werden in eine Decoy-Umgebung umgeleitet, um sie dort unschädlich zu machen.
- Fehlgeschlagene ausgehende Verbindungen werden von geschützten Endpoints zu Decoys umgeleitet.
- Jeder Endpoint wird zur potenziellen Falle, um das Abtasten von Netzwerk-Services durch Angreifer zu verhindern.
- Die Deflect-Funktion von EDN stellt aktive Erkennungs- und Präventionsfähigkeiten bereit – sowohl an der Quelle als auch am Ziel.

- Sie bietet Echtzeit-Visibilität und schlüssige Erkennung bei jedem Angriff, noch bevor sich der Angreifer von einem Endpoint entfernt.
- Sie isoliert und untersucht verdächtige Endpoints ohne Zuhilfenahme externer Tools.

Endpoint Detection Net mit der Deflect-Funktion ist ab sofort verfügbar.

Weitere Informationen sind im Datenblatt erhältlich: https://attivonetworks.com/documentation/Attivo_Networks-Deflect_Datasheet.pdf