Offensive Verteidigung

Ziele und Kontext

Unsere Einstellung zur Cybersicherheit wird durch unsere Forschung und Entwicklung zu „offensiven Verteidigungstechniken“ möglich, wobei Cloudtechnologien, Big Data und offensive Sicherheit miteinander kombiniert werden, um die Verteidigung einer Organisation zu stärken.

Wir verwendeten „Honigtöpfe“ in der Cloud: täuschende Softwarestacks zur Verfolgung von Gegnern. Die Honigtöpfe sind Server, die angreifbare Services nachahmen, um Viren anzuziehen. Die Honigtöpfe überwachen alle Interaktionen von einem Angreifer. Wenn diese erfasst wurden, können wir mit Hilfe von Datenvisualisierungstechniken mehr Einblicke erhalten und manchmal sogar Angriffe auf Organisationen vermeiden, bevor diese überhaupt stattgefunden haben.

Realisierung

Jedes Mitglied unserer Einheit muss seinen eigenen Honigtopf implementieren und warten. Hierfür dienen verschiedene Varianten des Open-Source-Projekts TPOT. Mehrere gut betreute Open-Source-Honigtöpfe werden zum Nachahmen von SH, Telnet, HTTP/S und FTP verwendet. Sie ahmen Standardserver, Clientstationen, Drucker und sogar IoT-Geräte nach.

Ein ELK-Stack dient zum Visualisieren und Organisieren von Daten und zeigt relevante Informationen wie: die am häufigsten angreifenden Länder oder IP-Adressen, die am häufigsten verwendeten Kennwörter für Angriffsversuche, eine Weltkarte der Angriffe, die Anzahl der Angriffe pro Protokoll und Vieles mehr.

Die Zustandsüberwachung wird vom Docker-Stack sichergestellt, der den Honigtopf bei Skalierung selbstheilend macht.

Mehrwert

AKKA ging die Herausforderung zur Erzielung optimaler Ergebnisse von verschiedenen Blickwinkeln aus an:

• Jagd auf Bedrohungen: Neue Angriffe werden wesentlich schneller blockiert. Wir können Bedrohungen visualisieren und aktiv identifizieren sowie erkennen, ob der Kunde stark ins Visier genommen wird.
• Überwachung: Jeder Angriff wird protokolliert, damit Sicherheitsteams geeignete Lösungen und Gegenmaßnahmen für die Kunden entwickeln können.