Illusive Networks, Fortinet FortiDeceptor und Proofpoint-Lösungen (Shadow & Identity Threat Assessment)

Einleitung

In der heutigen, von digitalen Bedrohungen dominierten Ära, sind fortschrittliche Cybersicherheitsstrategien unerlässlich. Illusive Networks (Teil von Proofpoint), Fortinet mit ihrem Produkt FortiDeceptor und Proofpoints Shadow sowie Identity Threat Assessment bieten hierbei innovative Lösungen. Diese Blog-Analyse verbindet die Funktionen und strategischen Rollen dieser Technologien und hebt deren Bedeutung im Bereich Identity Threat Detection and Response (ITDR) hervor.

Illusive Networks und Fortinet FortiDeceptor: Detaillierter Vergleich und Proofpoint-Erweiterungen

  1. Illusive Networks (Teil von Proofpoint):
  1. Kernkompetenz: Spezialisiert auf ITDR zur Bekämpfung von Identitäts-basierten Cyberbedrohungen.
  2. Technologie und Funktionen: Einsatz von agentenloser Technologie und Täuschungstechniken zur proaktiven Erkennung und Behebung von Identitätsrisiken.
  3. Integration mit Proofpoint: Die Übernahme durch Proofpoint verstärkte Illusives Position im Cybersicherheitsmarkt durch erweiterte ITDR-Fähigkeiten und Ressourcen.
  4. Strategischer Vorteil: Bietet ein breites Spektrum an Lösungen, das auf die Erkennung komplexer Bedrohungen und den Schutz sensibler Identitätsdaten ausgerichtet ist.
  5. Fortinet FortiDeceptor:
  1. Schwerpunkt: Fokussierung auf Honeypot-Technologien zur Abwehr von Cyberangriffen durch Täuschung.
  2. Rolle in der Cybersicherheit: Aktive Erkennung und Reaktion auf unautorisierte Aktivitäten durch Täuschungssysteme.
  3. Unterscheidungsmerkmale: Spezialisiert auf die Schaffung von Täuschungsumgebungen zur Falle von Angreifern, ergänzt traditionelle Sicherheitsansätze.

Proofpoint ITDR-Lösungen: Shadow & Identity Threat Assessment

  • Proofpoint Shadow:
  • Vorteile: Ermöglicht frühzeitige Erkennung von Angreifern, bietet umfassende Bedrohungsuntersuchungen und reduziert Falschmeldungen.
  • Ansatz: Schafft ein Täuschungsnetzwerk auf Endpunkten, um Lateralbewegungen von Angreifern zu erkennen und zu alarmieren.
  • Technologie: Agentenlose Architektur, die sich von traditionellen, auf Signaturen oder Verhaltensanalysen basierenden Werkzeugen unterscheidet.
  • Proofpoint Identity Threat Assessment:
  • Prozess: Ein SaaS-basierter Prozess zur schnellen Lieferung handlungsrelevanter Einblicke und Sicherheitslücken.
  • Erkenntnisse: Identifizierung von Risiken wie unverwalteten lokalen Admin-Zugängen, fehlkonfigurierten privilegierten Credentials und exponierten Admin-Konten, die in Ransomware-Angriffen und APTs (Advanced Persistent Threats) häufig ausgenutzt werden.
  • Bedeutung: Entdeckt privilegierte Identitätsrisiken auf einem von sechs Unternehmens-Endpunkten, was eine wesentliche Rolle bei der Verhinderung von Sicherheitskompromissen spielt.

Abschließende Betrachtung

Illusive Networks, Fortinet FortiDeceptor und Proofpoints Shadow sowie Identity Threat Assessment bieten entscheidende Lösungen für den modernen Cybersicherheitsmarkt. Illusive, jetzt unterstützt durch Proofpoint, bietet ein breites Spektrum an ITDR-Lösungen. FortiDeceptor hingegen liefert tiefe Einblicke in Angreiferstrategien durch Honeypot-Technologie und arbeitet mit anderen Fortinet-Produkten über die Fortinet Security Fabric zusammen. Die Proofpoint-Lösungen ergänzen diese Technologien durch fortschrittliche Täuschungstechniken, präzise Bedrohungsanalysen und die Identifikation von Identitätsrisiken. Zusammen bilden sie ein umfassendes Sicherheitsnetz gegen moderne Cyberbedrohungen und sind unerlässlich für effektive Cybersicherheitsstrategien, die sowohl präventive als auch reaktive Maßnahmen gegen eine Vielzahl von Bedrohungen bieten.

Quellen:

Illusive (now part of Proofpoint)

https://www.proofpoint.com/us/resources/solution-briefs/identity-threat-detection-and-response

Proofpoint Spotlight

https://www.proofpoint.com/sites/default/files/solution-briefs/pfpt-us-sb-spotlight.pdf

Proofpoint Shadow

https://www.proofpoint.com/sites/default/files/solution-briefs/pfpt-us-sb-shadow.pdf

Proofpoint Identity Threat Defense

https://www.proofpoint.com/sites/default/files/data-sheets/pfpt-us-ds-identity-threat-assessment-brochure.pdf

Fortinet FortiDeceptor

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiDeceptor.pdf

FortiDeceptor – Innovative Täuschungstechnologie für OT-Umgebungen

Einleitung

In der Welt der Operational Technology (OT) stehen Sicherheitsexperten vor einzigartigen Herausforderungen. Viele OT-Systeme können keine herkömmlichen Sicherheitsagenten unterstützen, sei es aufgrund begrenzter Ressourcen oder weil sie in einem zertifizierten, unveränderlichen Zustand betrieben werden. Hier kommt FortiDeceptor ins Spiel, eine innovative Lösung, die speziell für die Herausforderungen in OT- und IoT-Umgebungen entwickelt wurde.

Die Herausforderung in OT-Netzwerken

In OT-Netzwerken ist die Installation von Endpunkt-Erkennungs- und Reaktionslösungen (EDR) oft nicht möglich. Netzwerkerkennung und -reaktion (NDR) können zu vielen Fehlalarmen führen. Viele OT-Systeme laufen auf veralteten Betriebssystemen, wie Windows 3.1 im Falle von KUKA-Robotern, was sie anfällig für Cyberangriffe macht.

FortiDeceptor: Eine Lösung für OT-Sicherheit

FortiDeceptor von Fortinet bietet eine elegante Lösung für diese Herausforderungen. Es handelt sich um eine Täuschungstechnologie, die falsche Systeme (Decoys) im Netzwerk platziert, um Angreifer anzulocken und von kritischen Systemen fernzuhalten.

Vorteile von FortiDeceptor

  • Früherkennung von Bedrohungen: Durch den Einsatz von Breadcrumb und Decoys erkennt FortiDeceptor Bedrohungen frühzeitig und ermöglicht eine automatisierte Reaktion, um sowohl IT- als auch OT-Segmente zu schützen.
  • Einfache und schnelle Implementierung: Im Gegensatz zu anderen Sicherheitslösungen erfordert FortiDeceptor keine Infrastrukturänderungen und verursacht keine Betriebsunterbrechungen.
  • Zentralisiertes Management: FortiDeceptor ermöglicht eine zentrale Verwaltung verteilter Deployments und bietet eine intuitive Benutzeroberfläche für die Überwachung und Konfiguration.
  • Integration in die Fortinet Security Fabric: FortiDeceptor ist nahtlos in andere Fortinet-Produkte integriert, was eine umfassende und kohärente Sicherheitsstrategie ermöglicht.

Erweiterte Funktionen und Einsatzbereiche

FortiDeceptor bietet erweiterte Funktionen für die OT-Sicherheit:

  • Automatische Erkennung von Netzwerkressourcen: FortiDeceptor entdeckt automatisch Netzwerkressourcen und empfiehlt geeignete Köder.
  • Unterstützung für SCADA-Köder: Es unterstützt eine Vielzahl von SCADA-Protokollen wie MODBUS, S7COMM, BACNET und viele andere, um eine realistische OT-Umgebung zu simulieren.
  • Integration mit Fortinet-Produkten: FortiDeceptor lässt sich nahtlos in Fortinet-Produkte wie FortiGate, FortiNAC, FortiSOAR, FortiSIEM, FortiAnalyzer und FortiSandbox integrieren, um eine umfassende Sicherheitslösung zu bieten.
  • Überwachung der Hacker-Aktivitäten: FortiDeceptor ermöglicht die Überwachung von Vorfällen, Ereignissen und Kampagnen, um die Taktiken der Angreifer zu verstehen und entsprechend zu reagieren.

Integration in Nicht-Fortinet-Umgebungen

  • Vielseitige Kompatibilität: FortiDeceptor lässt sich problemlos in Nicht-Fortinet-Umgebungen integrieren und kann Log-Informationen an fremde SIEM- oder SOAR-Systeme weiterleiten.
  • Erweiterung der Sicherheitsarchitektur: Diese Flexibilität ermöglicht es Unternehmen, FortiDeceptor als Ergänzung zu ihrer bestehenden Sicherheitsinfrastruktur zu nutzen, unabhängig von den eingesetzten Systemen.

Schnelle Installation und sofortige Ergebnisse

  • Zeiteffiziente Einrichtung: Die Installation von FortiDeceptor ist in etwa 2-4 Stunden abgeschlossen, was eine schnelle Implementierung in jedem Netzwerk ermöglicht.
  • Sofortige Wirkung: Nach der Installation beginnt FortiDeceptor sofort mit der Erkennung von Bedrohungen, was Unternehmen ermöglicht, schnell auf potenzielle Sicherheitsrisiken zu reagieren.

Formfaktoren von FortiDeceptor


FortiDeceptor ist in verschiedenen Formfaktoren verfügbar, um unterschiedliche Einsatzanforderungen zu erfüllen:

  • FortiDeceptor VM: Ideal für flexible und skalierbare Cloud- oder virtualisierte Umgebungen. Unterstützt verschiedene Hypervisoren und bietet eine breite Palette an Betriebssystemen für Decoy VMs.
  • FortiDeceptor Appliance: Eine dedizierte Hardwarelösung für On-Premise-Umgebungen, die robuste Hardware-Spezifikationen und hohe Leistung bietet.
  • FortiDeceptor Rugged Appliance: Speziell für den Einsatz in rauen oder industriellen Umgebungen konzipiert. Bietet Widerstandsfähigkeit und Zuverlässigkeit in anspruchsvollen industriellen Umgebungen.

Fazit

FortiDeceptor stellt eine effektive Lösung dar, um die einzigartigen Sicherheitsherausforderungen in OT- und IoT-Umgebungen zu bewältigen. Mit seiner Fähigkeit, Angreifer frühzeitig zu erkennen und abzulenken, bietet es einen entscheidenden Vorteil in der modernen Landschaft der Cybersecurity. FortiDeceptor ist ein Beispiel dafür, wie innovative Technologie eingesetzt werden kann, um komplexe und spezialisierte Umgebungen sicher zu halten.

Quellen:


https://www.fortinet.com/products/fortideceptor
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiDeceptor.pdf
https://docs.fortinet.com/document/fortideceptor/5.2.0/administration-guide/304013/introduction
https://www.youtube.com/watch?v=cczJj0KTTKg

Übersicht zu Fortinet FortiDeceptor und anderen Honeypot-Systemen

FortiDeceptor von Fortinet ist ein hochentwickeltes Honeypot-System, das in der Cybersecurity-Industrie eine wichtige Rolle spielt. Honeypots dienen als Sicherheitsmechanismen, die Angriffe erkennen, ablenken oder auf andere Weise Gegenmaßnahmen gegen unbefugte Nutzung von Informationssystemen einleiten. Sie sind entscheidend für das Verständnis und die Abwehr von Cyberangriffen, indem sie als Köder dienen, um potenzielle Angreifer von wertvolleren Zielen abzulenken und Einblicke in deren Vorgehensweisen zu gewähren.

Neuerungen und Fusionen: Illusive Networks und Proofpoint Inc.


Die Übernahme von Illusive Networks durch Proofpoint Inc. in 2022 stellt eine wichtige Entwicklung dar. Illusive, bekannt für seine agentenlose Technologie und Täuschungstechnologien, hat sich mit Proofpoint zusammengeschlossen, um verbesserte Lösungen im Bereich der Identitätsbedrohungserkennung und -reaktion anzubieten. Diese Fusion verbindet Illusive’s spezialisierte Täuschungstechnologien mit Proofpoint’s umfangreichen Cybersicherheits- und Compliance-Kapazitäten, was ein stärkeres Angebot im Bereich der ITDR schafft.

Bezüglich Cisco, Palo Alto Networks und Checkpoint ist es wichtig zu beachten, dass sie zwar umfassende Sicherheitslösungen anbieten, aber ihre Fokussierung auf Honeypot-Technologie im Vergleich zu spezialisierten Anbietern wie FortiDeceptor und anderen unterschiedlich ist und keine Honeypot-Produkte z.Z. vorhanden sind.

Vorteile der Deceptor-Technologie:

  • Früherkennung von Angriffen: Honeypots können Cyberangriffe erkennen, bevor sie kritische Systeme erreichen, und somit als Frühwarnsystem dienen.
  • Ablenkung von Angreifern: Sie lenken potenzielle Angreifer von den tatsächlichen Zielen ab und reduzieren dadurch das Risiko echter Sicherheitsverletzungen.
  • Sammlung wertvoller Daten: Honeypots sammeln Informationen über Angriffsmethoden, Taktiken und das Verhalten von Angreifern, die zur Verbesserung der Sicherheitsstrategien genutzt werden können.
  • Verbesserung der Bedrohungsintelligenz: Die durch Honeypots gewonnenen Erkenntnisse können genutzt werden, um Sicherheitssysteme zu trainieren und die Erkennungsfähigkeiten zu verbessern.
  • Geringe False-Positive-Rate: Da Honeypots nur selten im regulären Netzwerkverkehr verwendet werden, sind die von ihnen generierten Alarme meist eindeutig auf böswillige Aktivitäten zurückzuführen.
  • Kosten-Effizienz: Honeypots sind oft kostengünstig zu implementieren und zu warten, vor allem im Vergleich zu anderen Sicherheitsmaßnahmen.
  • Flexibilität und Anpassbarkeit: Sie können an spezifische Netzwerkumgebungen angepasst und für verschiedene Szenarien konfiguriert werden, von einfachen Fallen bis hin zu komplexen Simulationen.
  • Abschreckung von Angreifern: Allein die Präsenz von Honeypots kann potenzielle Angreifer abschrecken, da sie das Risiko eingehen, entdeckt zu werden.
  • Unterstützung bei Compliance und Audits: Honeypots können helfen, regulatorische Anforderungen zu erfüllen, indem sie Beweise für Sicherheitsvorfälle und deren Handhabung liefern.
  • Forschung und Bildung: Sie bieten eine wertvolle Ressource für Sicherheitsforscher und Bildungseinrichtungen, um Cyberangriffe zu studieren und Sicherheitspersonal auszubilden.

Andere Honeypot-Hersteller und Daten zur technischen Ausrichtung

  • Cynet 360 AutoXDR
    • Technisch: Bietet eine integrierte Plattform mit Funktionen wie automatisierter Bedrohungserkennung, Reaktion und Monitoring.
    • Differenzierung: Cynet konzentriert sich stark auf die Automatisierung und Vereinfachung des Sicherheitsmanagements, was es für Unternehmen mit begrenzten Sicherheitsressourcen attraktiv macht.
  • SentinelOne Singularity
    • Technisch: Nutzt künstliche Intelligenz für die Erkennung und Reaktion auf Bedrohungen über Endpunkte, Cloud und IoT hinweg.
    • Differenzierung: Die Stärke liegt in der KI-gesteuerten Analyse und dem proaktiven Ansatz zur Bedrohungsabwehr, der über traditionelle Honeypot-Funktionen hinausgeht.
  • Morphisec
    • Technisch: Fokus auf Prävention, insbesondere gegen Zero-Day- und unbekannte Bedrohungen, durch Verschleierung und Täuschung.
    • Differenzierung: Morphisec’s Ansatz basiert auf der aktiven Veränderung der Angriffsfläche, um Angreifer proaktiv zu täuschen.
  • LMNTRIX
    • Technisch: Spezialisiert auf aktive Verteidigung und Reaktion mit einem Fokus auf Täuschungstechnologien.
    • Differenzierung: LMNTRIX verwendet eine Kombination aus Täuschung, Verhaltensanalyse und Bedrohungsintelligenz, um Angriffe zu erkennen und darauf zu reagieren.
  • Zscaler Deception
    • Technisch: Cloud-basierte Sicherheitslösungen mit einem Fokus auf Täuschung und Verkehrsanalyse.
    • Differenzierung: Bietet eine cloud-native Architektur, die sich gut für Unternehmen eignet, die eine flexible und skalierbare Sicherheitslösung suchen.
  • CyberTrap
    • Technisch: Spezialisiert auf fortgeschrittene Täuschungstechnologien und Angriffsforensik.
    • Differenzierung: Fokus auf detaillierte Forensik und Nachverfolgung von Angreiferaktivitäten, um Einblicke in Angriffsmethoden zu gewinnen.
  • Forescout Continuum
    • Technisch: Bietet Lösungen für Geräteerkennung, Compliance und Netzwerksicherheit.
    • Differenzierung: Forescout bietet umfassende Einblicke in Netzwerke und Geräte, was besonders für das Management von IoT-Geräten vorteilhaft ist.
  • Attivo BOTsink
    • Technisch: Bietet fortschrittliche Täuschungsnetzwerke und Reaktionen auf Bedrohungen.
    • Differenzierung: Attivo konzentriert sich auf die Bereitstellung von Täuschungstechnologie, die sich nahtlos in bestehende Sicherheitsinfrastrukturen integrieren lässt.
  • InsightIDR (Rapid7)
    • Technisch: Kombiniert XDR und SIEM in einer Lösung, mit Schwerpunkt auf Verhaltensanalyse und Erkennung.
    • Differenzierung: Bietet eine Kombination aus fortschrittlicher Analytik und automatisierter Erkennung, die sich für mittelgroße Unternehmen eignet.
  • Symantec Endpoint Security
    • Technisch: Umfassende Endpunktsicherheit mit Schwerpunkt auf Malware-Erkennung und EDR.
    • Differenzierung: Symantec ist bekannt für seine robuste und umfassende Endpunktsicherheitslösung, die sich für große Unternehmen eignet.
  • FireMon
    • Technisch: Spezialisiert auf Netzwerksicherheitsmanagement und -analyse.
    • Differenzierung: FireMon bietet fortschrittliche Netzwerküberwachung und -managementfunktionen, die sich gut für komplexe Netzwerke eignen.
  • Akamai Guardicore Segmentation
    • Technisch: Fokussiert auf Netzwerksegmentierung zur Verbesserung der Sicherheit.
    • Differenzierung: Stellt fortschrittliche Segmentierungslösungen bereit, die sich besonders für Cloud- und Rechenzentrums-Umgebungen eignen.
    •  

OT-und Deception-Systeme

Die Eignung der Deceptor-Technik, also der Einsatz von Honeypots und ähnlichen Täuschungstechnologien, im Operational Technology (OT)-Umfeld verdient besondere Beachtung. OT-Systeme sind kritisch für die Steuerung von industriellen Prozessen und physischen Geräten und umfassen alles von Produktionsliniensteuerungen bis hin zu Infrastrukturmanagementsystemen. Hier sind einige wichtige Punkte zu berücksichtigen:

  • Anpassung an OT-Umgebungen: OT-Systeme haben oft spezifische Protokolle und Netzwerkcharakteristika, die sich von typischen IT-Netzwerken unterscheiden. Deceptor-Technologien, die im OT-Umfeld eingesetzt werden, müssen in der Lage sein, die Besonderheiten dieser Umgebungen zu emulieren, um glaubwürdig zu sein und effektiv Angreifer anzulocken.
  • Sicherheitsbedenken: In OT-Umgebungen können Sicherheitsvorfälle schwerwiegende physische Folgen haben, einschließlich Schäden an Ausrüstungen und potenziellen Gefahren für das Personal. Daher müssen Deceptor-Lösungen sicherstellen, dass sie keine zusätzlichen Risiken für die OT-Systeme darstellen, etwa durch falsch positive Erkennungen oder Störungen im Netzwerkverkehr.
  • Erfassung spezifischer Bedrohungen: OT-Systeme können Ziel spezieller Arten von Cyberangriffen sein, einschließlich solcher, die auf industrielle Kontrollsysteme und kritische Infrastrukturen abzielen. Deceptor-Technologien in diesem Bereich müssen darauf ausgelegt sein, solche spezifischen Bedrohungen zu erkennen und wertvolle Einblicke in die Angriffsmethoden zu liefern.
  • Integration mit bestehenden Systemen: OT-Umgebungen enthalten oft eine Mischung aus älteren Systemen und neueren Technologien. Honeypots und Deceptor-Lösungen müssen nahtlos mit dieser heterogenen Landschaft interagieren können, ohne Betriebsabläufe zu beeinträchtigen.
  • Compliance und Regulierung: OT-Umgebungen unterliegen oft strengen regulatorischen Anforderungen. Jegliche Sicherheitsmaßnahmen, einschließlich Deceptor-Technologien, müssen diese Anforderungen erfüllen und dürfen die Compliance nicht gefährden.

Zusammenfassend lässt sich sagen, dass während Deceptor-Technologien effektive Instrumente zur Verbesserung der Cybersicherheit in OT-Umgebungen sein können, ihre Implementierung sorgfältig geplant und an die spezifischen Bedürfnisse und Herausforderungen dieser kritischen Systeme angepasst werden muss.