Das ACD-Deception ist ein zusätzliches Modul, welches im Rahmen eines aktiven ACD Managed Service Vertrags bereitgestellt wird und dazu dient, Angreiferaktivitäten frühzeitig im Netzwerk zu erkennen. Dabei werden sogenannte Canary Tokens als Datei(en) oder auch Benutzer auf Hosts (z.B. ein nicht verwendeter Admin User) registriert. Diese unterstützen Sie dabei, Angreiferaktivitäten in Form von Dateizugriffen und/oder Benutzeranmeldungen frühzeitig (auch bei lateralen Seitwärtsbewegungen) zu erkennen.
Detektiert werden auch Aktivitäten in Bezug auf Kerberos-Ticketanmeldungen und Authentifizierungsversuche überwachter Benutzer.
Mit Hilfe der Deception Technik stellen wir dem Angreifer im eigenen Netzwerk eine Falle.
Der Trick besteht darin, den falschen Köder im echten System so zu platzieren, dass er aus Angreifer-Sicht äußerst attraktiv erscheint. Um die Legitimität zu unterstreichen werden echte und gefälschte Begebenheiten geschickt kombiniert, wie beispielweise der "Fake Admin Account" in einer echten Infrastruktur. Sobald eine Interaktion stattfindet tricksen wir den Angreifer aus! Dafür haben wir uns im Vorwege genau überlegt, wir die einzelnen Handlungen aussehen könnten. Wird unsere Erwartungshaltung erfüllt, können wir gezielt agieren, den Angreifer schnell isolieren, weitere Schritte in der Attack-Chain unterbinden und IR- und Forensische Maßnahmen einleiten.
Voraussetzungen
- Betriebsfähige ACD-Infrastruktur aus allen bereitgestellten ACD-Komponenten.
- Installation eines Connection Brokers als virtuelle Maschine in der VMWare vSphere (Bereitstellung durch Allgeier secion).
- Installation des Deception Dienstes und Registrierung von Dateien und/oder Benutzern, die überwacht werden sollen.
- Die zu überwachenden Hosts müssen jeweils Mitglied der Domäne sein.
Leistungen
- Unterstützung bei Installation des Connection Brokers.
- Unterstützung bei Inbetriebnahme des ACD-Deception Dienstes auf dem/den zu überwachenden Host(s).
- Überwachte Datei(en):
-
- Datei-Zugriff
- Active Directory An- und Abmeldung zur Identifikation des Benutzers bzw. der zugreifenden IP-Adresse
-
- Überwachte Benutzer:
-
- Kerberos Authentifizierung
- Kerberos Ticket Anforderung
- Active Directory An- und Abmeldung
-
- Eskalation und Kommunikation von IT-Sicherheitsmeldungen über vereinbarte Meldekette.
- Handlungsempfehlung zur Reaktion auf das jeweilige IT-Sicherheitsereignis.
- Unterstützung für weitere Analysen im Rahmen des Active Cyber Defense Service.