Horizon3.ai hat unter dem Namen „NodeZero Tripwires“ ein neues Sicherheitskonzept vorgestellt, das der Anbieter als „revolutionär für die gesamte Branche“ bezeichnet. Erstmals werden während eines simulierten Angriffs auf ein Firmennetzwerk – im Branchenjargon Penetrations- oder kurz Pentest genannt – automatisch „digitale Stolperdrähte“ („tripwires“) als Fallstricke für echte Angreifer ausgelegt.
Der Clou: Während der Simulation erkennt NodeZero selbständig, welche Wege durch das IT-Netz besonders anfällig für Attacken sind und platziert die „Stolperdrähte“ gezielt entlang dieser Pfade. Nähert sich ein tatsächlicher Angreifer, schlägt das System sofort Alarm, wenn ein „Stolperdraht gerissen“ wird und informiert die Sicherheitsteams, damit diese rasch reagieren können.
Neue Ära der Cybersicherheit
„Unser neues Konzept ist wegweisend in eine neue Ära der Cybersicherheit“, ist Dennis Weyel, International Technical Director mit Zuständigkeit für Europa bei Horizon3.ai, überzeugt. Er begründet: „Durch die Bereitstellung eines präzise platzierten Frühwarnsystems für unsichere Angriffspfade während eines Pentests verbessert NodeZero Tripwires die Sicherheitslage eines Unternehmens erheblich und erlaubt es, Angriffsversuche noch während ihres Laufs zu stoppen.“
Im Verlaufe des Pentests richtet NodeZero Tripwires automatisch Fallen ein, indem für Angreifer besonders attraktive Placebo-Informationen wie falsche Dateien oder funktionsunfähige Anmeldedaten an den gefährdeten Stellen im Netz verteilt werden. Diese im Fachjargon „Honeypots“ (Honigtöpfe) genannten Köder locken Cyberkriminelle an – ähnlich wie echter Honig als Fliegenfalle dient. Während sich die Hacker der Falle nähern, reißen sie unbeabsichtigt die gezielt platzierten digitalen Stolperdrähte und können gestoppt werden, bevor sie wirkliches Unheil anrichten.
Weyel zieht einen anschaulichen Vergleich: „Der Tripwires-Ansatz ist vergleichbar mit einer Alarmanlage in einem Haus, bei der zunächst systematisch untersucht wird, auf welche Weise ein Einbrecher am wahrscheinlichsten eindringen wird, und dann Bewegungsmelder auf allen besonders risikoreichen Wegen angebracht werden.“
Er betont: „Welche Wege das genau sind, basiert nicht auf Vermutungen, sondern wird durch simulierte Einbrüche beziehungsweise Pentests anhand von Fakten festgestellt. NodeZero Tripwires stattet also das gesamte Haus mit einem für dieses spezifische Gebäude optimierten Frühwarnsystem aus.“
Hilfe bei Sicherheitslücken, die nicht sofort behebbar sind
Beim Schutz gegen Cyberkriminalität hilft das neue Konzept insbesondere in allen Fällen, in denen eine Softwareschwachstelle zwar bekannt, aber für einige Zeit nicht behebbar ist. Schließlich muss der betroffene Softwarehersteller die Schwachstelle erst analysieren und dann ein Programm entwickeln und testen, um das Manko zu beheben.
Studien zufolge tritt dieser Fall sehr häufig auf; das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht von durchschnittlich mehr als 2.000 sogenannte Vulnerabilities („Verletzlichkeiten“) in Softwareprodukten pro Monat aus, von denen das Amt 15 Prozent als „kritisch“ einstuft.
Die Zeitspanne zwischen dem Bekanntwerden und der Bereitstellung eines sogenannten Patchprogramms zum Stopfen der Sicherheitslücke (Mean Time to Remediate, MTTR) beträgt im Durchschnitt rund 58 Tage. In diesen fast zwei Monaten präsentieren sich die IT-Netzwerke der betroffenen Unternehmen den Cyberkriminellen weitgehend schutzlos, die in der Regel genau diese Zeitspanne gezielt ausnutzen.
„Bei einem Pentest mit NodeZero Tripwires werden diese Schwachstellen aufgedeckt und durch digitale Stolperdrähte sorgfältig abgesichert, um jedweden Angriffsversuch sofort erkennen und dagegen angehen zu können“, erläutert Weyel den neuen Ansatz zum Schutz von Firmennetzen.
„NodeZero Tripwires stellt einen bedeutenden Fortschritt für Unternehmen dar, die ihre Systeme während eines kritischen Zeitfensters der Angreifbarkeit sichern wollen“, erklärt Snehal Antani, CEO von Horizon3.ai.
„Der schwierigste Teil beim Aufbau eines Frühwarnnetzwerks besteht darin, herauszufinden, wo Köder eingesetzt werden sollen. Durch die Verwendung von Pentest-Ergebnissen als Leitfaden können Kunden nahtlos Honigfallen – gefälschte AWS-Zugangsdaten, Azure-Tokens, sensible Befehlstoken, kubeconfig-Dateien – auf Servern und Filesharern einsetzen, die wahrscheinlich ausgenutzt werden, um das Signal zu maximieren und das Rauschen zu minimieren. Diese Verschmelzung von autonomem Pentesting und fortschrittlicher Bedrohungserkennung zeichnet NodeZero Tripwires als einen bahnbrechenden Ansatz im Kampf gegen Cyberbedrohungen aus.“
Der Einsatz von Honeypot-Ködern ist nicht neu, gibt Weyel zu, „aber bislang wurden diese gestützt auf starre Regelwerke im Netzwerk ausgelegt, ohne die tatsächlich kritischen Einfallstore gezielt zu berücksichtigen.“ Dadurch käme es häufig zu Fehlalarm und die Sicherheitsteams würden mit unnötigen Warnungen belastet. Er sagt: „NodeZero Tripwires stellt eine radikale Abkehr von diesen veralteten Methoden dar, indem die Sichtung der Schwachstellen autonom als Teil des Penetrationstestprozesses erfolgt.“
NodeZero Tripwires bietet laut Hersteller eine nahtlose Integration in gängige Programme für Security Information and Event Management (SIM) und andere Sicherheitstools. Dadurch können die Alarmmeldungen der „Stolperdrähte“ mühelos in die sicherheitsrelevanten Arbeitsabläufe eingebunden werden.