Deception: Früherkennung von Eindringlingen reduziert Kosten

Laut ATTIVO NETWORKS kann Deception Schäden durch Datendiebstahl halbieren

[datensicherheit.de, 14.09.2020] Unternehmen, die sogenannte Deception-Technologien zur Früherkennung von Cyber-Angriffen einsetzen, könnten durch Datendiebstähle verursachte Kosten um mehr als die Hälfte (51%) reduzieren – so das wichtigste Ergebnis einer neuen Studie, welche ATTIVO NETWORKS nach eigenen Angaben gemeinsam mit Kevin Fiscus von Deceptive Defense durchgeführt hat. Der Bericht „Cyber Deception Reduces Breach Costs & Increases SOC Efficiency“ identifiziere die direkten und messbaren finanziellen und Produktivitätsvorteile von Deception-Technologien für Organisationen aller Art und Größe.

Foto: ATTIVO NETWORKS

Joe Weidner: Unternehmen nutzen zunehmend Deception-Technologien, um proaktive Verteidigung aufzubauen

Deception bringt messbare Kostensenkung

Die Untersuchung zeige auch, dass die durchschnittliche Reduzierung der Kosten für Datenschutzverletzungen 1,98 Millionen US-Dollar pro Vorfall oder 75,12 US-Dollar pro kompromittiertem Datensatz betrage.
Diese Kostensenkungen würden erreicht „durch schnellere Erkennung und effektive Reaktion auf Vorfälle sowie durch eine geringere Komplexität bei deren Handhabung“.

Durch Deception auch mehr Effizienz für SOC-Agenten

Zudem könne Deception-Technologie laut diesem Bericht den Zeitaufwand für die Bearbeitung von Fehl-Warnungen (False Positives) erheblich reduzieren und die Effizienz des typischen „Security Operations Center“ (SOC) steigern. Eine kürzlich von Ponemon und Exabeam durchgeführte SIEM-Produktivitätsstudie habe ergeben, dass der durchschnittliche Zeitaufwand pro SOC-Analyst und Vorfall etwa zehn Minuten betragen habe und SOC-Analysten etwa 26 Prozent ihres Tages mit der Bearbeitung von Fehlalarmen verschwendeten, „was einem Produktivitätsverlust von über 18.000 US-Dollar pro Analyst und Jahr entspricht“.
Die Befragten hätten dabei eine erhebliche Zeitersparnis bei der Bearbeitung von Alarmen auf Basis der Deception-Technologie im Vergleich zu anderen Alarmen angegeben, was Unternehmen letztendlich bis zu 32 Prozent oder knapp 23.000 US-Dollar pro SOC-Analyst und Jahr einsparen könne.

Deception als wirklicher Game Changer

Der Begriff „Game Changer“ werde viel zu oft verwendet, so Kevin Fiscus, „Principal Instructor“ des SANS-Instituts und Gründer von Deceptive Defense. „Wer ihn benutzt, wird oft zu Recht mit Argwohn betrachtet. Cyber-Deception ist anders, und es handelt sich nicht nur um eine neue Iteration einer veralteten Technologie.“
Deception veranlasse die Angreifer dazu, alles in Frage zu stellen, was sie zu wissen glaubten, und helfe oft einen Angriff zu stoppen, bevor er überhaupt richtig begonnen hat. „Das ist wirklich ein Game Changer.“

Deception-Technologien, um proaktive Verteidigung gegen Datendiebstahl, Lösegeld-Erpressung etc. aufzubauen

„Die Fähigkeit, Angriffe frühzeitig zu erkennen, die Kosten für Datenverstöße zu senken und die SOC-Effizienz zu verbessern, macht Cyber-Täuschung zu einer entscheidenden Sicherheitskontrolle für das Unternehmen“, sagt Joe Weidner, „Regional Director DACH“ von Attivo Networks.
Große wie kleine Unternehmen nutzten zunehmend Deception-Technologien, um eine proaktive Verteidigung gegen Datendiebstahl, Lösegeld-Erpressung und andere Attacken aufzubauen und die Sicherheit ihrer Daten zu gewährleisten.

Deception-Technologien helfen, Dwell Time deutlich zu reduzieren

Zusätzlich zu den finanziellen und Produktivitätsvorteilen der Deception-Technologie werde in dem Bericht zudem angeführt, dass sie – richtig eingesetzt – die durchschnittliche unentdeckte Verweildauer eines Angreifers im Unternehmensnetz (Dwell Time) zwischen 90 und 97 Prozent reduzieren könne – bis auf nur noch 5,5 Tage. Dies sei insofern von Bedeutung, als jüngste Berichte zeigten, dass die durchschnittliche Verweildauer derzeit bei 56 Tagen liege und die durchschnittliche Zeit bis zur Feststellung eines Einbruchs 207 Tage betrage.
In Verbindung mit den Testergebnissen des „DIY APT-Tool“-Tests von MITRE ATT&CK zeige der Bericht von Attivo und Deceptive Defense, wie Täuschungstechnologie eine leistungsstarke Sicherheitskontrolle sein könne, „die zum Arsenal jedes Verteidigers gehört“. Der APT-Test habe speziell die Fähigkeit der Lösungen von Attivo Networks bestätigt, die EDR-Erkennungsraten um durchschnittlich 42 Prozent zu steigern.

Beispiel für Deception-Plattform: Attivo ThreatDefend

Die „Attivo ThreatDefend“-Plattform biete umfassende Möglichkeiten zur Verhütung und Erkennung von Angriffen, mit denen sie nicht nur Täuschungstechniken, sondern auch eine Vielzahl anderer Methoden abdecken könne. Diese Plattform lenke Angreifer proaktiv mit gefälschten Informationen von ihren Zielen ab, löse eine Warnung aus und leite den Angreifer auf einen Köder um.
So würden wichtige Informationen wie „Active Directory“-Objekte, Daten und „Storage“ verborgen und der Angreifer am Zugriff gehindert. Mit der Fähigkeit, den Weg des Angreifers in einen Köder zu steuern, könnten Verteidiger zudem wertvolle Erkenntnisse gewinnen, um die Werkzeuge und Techniken sowie die Absicht ihres Gegners zu verstehen.

Weitere Informationen zum Thema:

ATTIVO NETWORKS
Whitepaper: Cyber Deception Reduces Breach Costs & Increases SOC Efficiency

datensicherheit.de, 08.09.2019
Cybersecurity ist bei fast 50 Prozent der globalen Unternehmen Chefsache