Zielgerichtete Angriffe, die schützenswerte Assets eines Unternehmens aufs Korn nehmen, sind in der Regel leise und tödlich. Mit CyberTrap soll sich das grundsätzlich ändern. Die COMPUTERWELT sprach mit CEO Jack C. Wagner und CTO Avi Kravitz. [...]
Sie waren unter anderem als Inkubator bei Greentube engagiert. Was hat sie dazu bewogen, bei CyberTrap einzusteigen?
Jack C. Wagner: Cybersecurity ist ein sehr großer Wachstumsmarkt, ich halte CyberTrap für eine extrem spannende Technologie. Ein motiviertes junges Team und meine Erfahrung sind eine sehr gute Kombination.
Wie beurteilen Sie die aktuellen Rahmenbedingungen für Startups?
Wagner: Seit einigen Jahren entsteht ein Ökosystem, in dem etwa Geld, das aus einem Exit verdient wurde, in neue Startups reinvestiert wird. Es gibt auch immer mehr Acceleratoren, und auch die Förderlandschaft hat sich massiv geändert. In Summe haben sich die Rahmenbedingungen deutlich verbessert.
Die Technologie CyberTrap war ursprünglich bei SEC Consult angesiedelt. Was war das Motiv, ein Startup zu gründen?
Avi Kravitz: Wir sind eigentlich eine Tochter von SEC Technologies. Das Unternehmen versteht sich als Startup-Inkubator, der Ideen, die von Consultants kommen und sich bewährt haben, auf Schiene bringt. CyberTrap war der erste Spin Out im März 2015.
Wagner Wenn man wie wir ein Produkt auf den Markt bringen und es auch global vertreiben will, ist eine ganz andere Organisationsform notwendig. Man braucht auch ganz andere Strategien, um an den Markt heranzutreten. Uns war diese Abgrenzung sehr wichtig.
Sie nennen Ihren Ansatz Deception Technology. Was ist der Unterschied zu Honeypot?
Kravitz: Klassische Honeypots waren gut genug, um Würmer oder automatisierte Angriffe zu identifizieren. Mittlerweile ist das Rauschen des Internets so groß geworden, dass Systeme, die man ungepatcht ins Netz stellt, innerhalb von wenigen Minuten kompromittiert sind. Klassische Honeypots haben keinen wirklichen Wert, weil sie kontextlose Alerts generieren.
Zielgerichtete Angriffe haben immer einen Menschen dahinter. Menschen haben eine Motivation, sind gut ausgebildet. Wenn ein menschlicher Angreifer auf ein Honeypot-System trifft, erkennt er in Sekunden, dass es nicht das ist, was er haben möchte. Wir haben festgestellt, dass es ein gleichsam aufgebohrtes Honeypot-System braucht – ich nenne es „Honeypot on Steroide“.
Woran erkennt der Angreifer das Honeypot-System?
Kravitz: An den Signaturen und den fehlenden Interaktionsmöglichkeiten. Ab einem gewissen Grad der Interaktion kennt sich das Honeypot-System nicht mehr aus, da keine echten Services dahinterstehen.
Was machen Sie anders?
Kravitz: Dazu muss man verstehen, wie ein zielgerichteter Angriff abläuft. Wenn der initiale Angriff erfolgreich war, bewegt sich der Angreifer sehr langsam von einem Produktivsystem zum anderen, um von Anomalie-basierten Systemen nicht erkannt zu werden. Bis er das gefunden hat, wonach er gesucht hat, vergehen oft Tage, Wochen, wenn nicht sogar Monate. Im Unterschied zu Honeypot-Lösungen legen wir auf jeder Maschine Köder aus, die ihm das geben, was braucht, um von einem System zum anderen zu gelangen. Das können etwa falsche Passwörter, Zertifikate oder Cookies sein. Sobald der Angreifer einen Köder geschluckt hat, werden wir benachrichtigt und beginnen, ihn sehr genau zu beobachten. Gleichzeitig kommt er vom Köder aus in die von uns geschaffene Scheinwelt ohne produktive Daten. Die Interaktionsmöglichkeiten sind unbeschränkt – auch das ist ein Unterschied zu Honeypot –, so dass er über einen langen Zeitraum glaubt, in der Produktivumgebung zu sein.
Was sagen die so gewonnenen Informationen über das Schutzlevel des Unternehmens?
Kravitz: Dass die Schutzmaßnahmen wie Firewall oder Intrusion Detection System nicht funktioniert haben. Sobald wir einen Alert bekommen haben, beginnt automatisch die Live-Forensik. Es wird genauestens protokolliert, wie der Angreifer im Netzwerk vorgeht, welche Tools er dazu verwendet, welche Arbeitszeiten er hat oder wonach er sucht. All das mündet in Threat Intelligence. Technisch gesehen ist das das wertvollste, das man aus dem System holen kann. Diese Intelligence spiele ich in meine produktive Infrastruktur ein und mache damit den zuvor unsichtbaren Feind sichtbar. Damit kann ich ihn auf einen Schlag rausschmeißen und auf Basis des gewonnenen Täterprofils erkennen, wenn er wiederkommt. Gleichzeitig machen wir die Infrastruktur resilient, um eine Modewort zu bemühen: Die Firewall nimmt sich aus der Threat Intelligence die IP-Adressen, die sie vorher nicht gekannt hat. Das Intrusion Detection System nimmt sich die Signaturen, die zuvor unbekannt waren usw.
Wie sieht die logische Weiterentwicklung Ihrer Technologie aus?
Kravitz: Wir arbeiten derzeit sehr intensiv an einem Thema, das ich Deception on Demand genannt habe. Es geht darum, dass diese Scheinumgebung lernt und sich auf Basis des Verhaltens des Angreifers weiterentwickelt.
Wie vertreiben Sie Ihre Lösung?
Wagner Für Unternehmen mit einem eigenen Security Operation Center direkt, oder indirekt über Managed Security Service Provider für Unternehmen, die über keine Ressourcen bzw. kein eigenes SOC verfügen.
Was sind Ihre geschäftlichen Pläne?
Wagner Eine Säule unserer Go-to-Market-Strategie sind große Referenzkunden in der DACH-Region, wobei sich zeigt, dass Österreich etwas langsamer in der Adaption dieser Technologie ist. Deutschland ist da schon weiter und stellt auch mehr Ressourcen zur Verfügung. Es hat sich gezeigt, dass es die Awareness des Top Management und einen Schmerzpunkt braucht. Typisches Beispiel ist, wenn mich der Mitbewerb stets um einen Hauch unterbietet, was auf Industriespionage hinweist. Die USA werden wir wahrscheinlich erst 2019 angehen und konzentrieren uns bis dahin auf die europäischen Referenzkunden. Wir arbeiten auch mit dem European Institute of Innovation & Technologies zusammen, die ein Accelerator-Programm für den Kundenzugang haben. Sie helfen uns, Türen zu öffnen.
Be the first to comment