•  

Wie Deception-Technologien die Sicherheit für IoT-Devices gewährleisten können

Auf die flasche Fährte führen + Das Internet der Dinge kann die Heilerfolge bei Patienten erhöhen, da es die Prozesse für die Beschäftigten im Gesundheitswesen stark vereinfacht – und dabei auch noch die Kosten senken kann. Die Telemetrie, die in Patientenmonitoren für die Überwachung der Vitalparameter, in EKGs und in andere Geräte integriert ist, ermöglicht es, dass Krankenschwestern und Ärzte stets einen aktuellen Patientenstatus erhalten.

Diese IoHT-Geräte (IoHT: Internet of Healthcare Things) bergen jedoch auch ein hohes Sicherheitsrisiko. Zum einen erhöhen sie die Angriffsfläche für Gesundheitseinrichtungen drastisch, denn sie sind ein beliebtes Angriffsziel von Cyberkriminellen. Zum anderen unterstützt die Mehrheit dieser Geräte den Einsatz von EPP-Agenten (Endpoint Protection) nicht. Solche Endgeräte werden als „unmanaged“ oder „nicht-verwaltet“ bezeichnet. Damit ist ihr Einsatz strittig, denn sie können die branchenüblichen Standards und Verfahren nicht erfüllen und auch keine richtlinienbasierten Schutzmaßnahmen abbilden. Diese Risiken stellen eine große Herausforderung für viele Gesundheitsorganisationen und -einrichtungen dar.

Marktübliche Lösungen für Cybersicherheit basieren darauf, eine Fülle von Daten – gemäß den HIPAA-Vorgaben – auf Netzwerkebene zu schützen und festzustellen, ob sicherheitsrelevante Ereignisse wie Eindringversuche auftreten. Viele dieser Lösungen sind nicht in der Lage, dieses ungeheure Datenvolumen effektiv zu überwachen. Zudem können sie nicht erkennen, ob bestimmte Aktivitäten „normal“ oder „anormal“ sind. Somit können sie schadhafte und böswillige Aktivitäten auch nicht melden.

Deception-Technologien haben sich in den vergangenen fünf Jahren als Alternative zu herkömmlichen Techniken und Methoden in der Cybersicherheit etabliert. Diese Technologien basieren auf dem Aufbau einer Täuschungsebene mit Ködern (Decoys) oder Hosts, die den Anschein der Echtheit erwecken – mit der Absicht, Angreifer zu verwirren und irrezuführen.

Ziel ist es, dass Cyberkriminelle Verbindung zu diesen Ködern (Decoys) aufnehmen und sie so aufzuspüren. Diese Deception-Technologien sind eine interessante, hochtechnologische Methode – vor allem für Branchen, in denen ein Großteil der IT-Infrastruktur „unmanaged“ also nicht-verwaltet ist. Eine dieser Branchen ist auch das Gesundheitswesen. Gesundheitseinrichtungen und Organisationen im Gesundheitswesen sollten Deception-Technologien als geeignete Sicherheitsmaßnahme in Betracht ziehen, um Cyberkriminelle abwehren und Datenverluste vermeiden zu können.


Bild: Quelle Fidelis Security

In der Cybersicherheit wird die Angriffsfläche über die Anzahl der Geräte definiert, die anfällig für Cyberangriffe und somit gefährdet sind. Die meisten medizinischen Geräte unterstützen im Gegensatz zu IT-Geräten wie einem Computer keine Endpunkt-Erkennung und keinen Endpunkt-Schutz. Dabei handelt es sich um eine Software, mit der IT-Verantwortliche die Systemnutzung, die Leistung und die Aktivitäten auf Geräte- und Host-Ebene überwachen und verfolgen können. Vernetzte Geräte im Gesundheitswesen müssen sowohl auf Netzwerk- als auch auf Geräteebene überwacht werden. Bei nicht-verwalteten Geräten ist dies natürlich eine schwierige Aufgabe.

Um ein Monitoring auf Netzwerkebene zu ermöglichen, müssen IT- und Sicherheitsteams verschiedene Arten von Sensoren einsetzen, die den Datenverkehr, der über das Netzwerk übermittelt wird, sowie die Switches und Router überwachen. So fungiert eine Pflegestation beispielsweise als Kontrollraum oder Überwachungssystem und integriert viele verschiedene Geräte, die Informationen über Patienten sammeln und das Pflegepersonal auf mögliche gesundheitliche Probleme aufmerksam machen. Die Gesundheitsdaten werden in einem Ethernet-basierten Netzwerk gesammelt, korreliert und in den Pflegestationen analysiert, um einen Überblick über den Gesundheitsstatus der verschiedenen Patienten nahezu in Echtzeit darstellen zu können. Der Schutz dieser Infrastruktur ist von großer Bedeutung. Nur wenige Plattformen für Cybersicherheit können das Volumen und die Integrität dieses Datenverkehrs überwachen.

Das Problem ist, dass dies vielenorts nicht optimal funktioniert. Die Absicherung der Geräte kann Kosten- und Integrationsprobleme verursachen, die zumindest neue Middleware und Authentifizierungssysteme erfordern. Die Überwachung des gesamten Spektrums des Netzwerkverkehrs hat zur Folge, dass die Verantwortlichen sich intensiv mit Richtlinien und Logdaten-Analysen beschäftigen müssen, um anormale und normale Verhaltensmuster im Netzwerk exakt identifizieren zu können. Das ist nicht einfach, denn die Angreifer ändern ihre Taktiken, Techniken und Verfahren ständig.

Es ist an der Zeit, neue Sicherheitsmethoden für dieses mit Schwachstellen behaftete System zu nutzen. Sicherheitslösungen, die Deception-Technologien einsetzen, können dabei unterstützen, da sie Angreifer täuschen und Attacken vereiteln können.

Täuschung ist die Vorgehensweise, digitale Fälschungen beziehungsweise als angreifbar getarnte Geräte, sogenannte Decoys, einzusetzen, um sie für einen Angreifer bewusst harmlos erscheinen zu lassen. Der Angreifer geht davon aus, dass er sich unentdeckt im Netzwerk bewegen kann. Aber nicht nur die Daten, die er sammelt, sind gefälscht. Wird ein Decoy angegriffen, wird das Sicherheitsteam alarmiert, um den Eindringling im Netzwerk beobachten und von seinen Aktivitäten lernen zu können.

Breadcrumbs – Dateien, E-Mails, Dokumente, gefälschte Anmeldeinformationen, Browser- oder Anwendungsdaten – werden als Köder zwischen echten Assets und Decoys verteilt. Jeder, der den Weg zu einem Decoy findet, stellt eine Bedrohung dar – ob in böser Absicht oder aus Versehen. Denn eigentlich gibt es keinen Grund, diese Assets zu nutzen. Sobald die Decoys das Interesse eines Angreifers geweckt haben, alarmieren sie das System über die Bedrohung, verwehren dem Angreifer den Zugriff auf alle realen Assets und beschäftigen ihn mit einer weiteren, vergeblichen Suche nach – ebenfalls gefälschten – Diensten und Daten, um auf diese Weise seine Taktiken beobachten zu können ohne die Sicherheit zu gefährden.

Der Weg, sich auf diese Weise eines Angreifers zu entledigen, hat den zusätzlichen Vorteil, dass IT-Verantwortliche die IT-Umgebung anpassen und absichern können, da sie die Sichtweise des Angreifers und seine möglichen Angriffsziele nun kennen. Darüber hinaus können gut durchdachte Täuschungsmanöver das „Grundrauschen“ in der IT-Umgebung reduzieren, sodass sich die Sicherheitsverantwortlichen im operativen Betrieb auf neue oder gleichzeitig aktive Bedrohungen konzentrieren können.

Moderne Täuschungsmanöver nutzen Emulationen oder virtuelle Maschinen als Decoys und Dienste und erhöhen das Risikoprofil nicht. Ein Täuschungssystem kann weitgehend automatisiert werden – von der Netzwerk- und Asset-Erkennung, der Decoy-Erstellung, der Decoy- und Breadcrumb-Verteilung bis hin zu den erforderlichen Netzwerk- und Ressourcenänderungen. Gleichzeitig können diese Täuschungssysteme Sicherheitsmaßnahmen aktiv einleiten, wenn dies vorab so definiert wurde.

Im Gesundheitswesen verlagert sich der Fokus von der reaktiven Pflege, die sich auf die Bekämpfung von Krankheiten konzentriert, hin zur Prävention, das heißt, wie Menschen aktiv gesund bleiben können. Genauso sollten Sicherheitsteams agieren. Sie sollten nicht mehr nur gegen Sicherheitsbedrohungen kämpfen, wenn diese bereits aufgetreten sind. Große Unternehmen mit ausgereiften Maßnahmen für Cybersicherheit haben bereits begonnen, Deception-Technologien einzusetzen. Aber auch kleine und mittlere Unternehmen initiieren tagtäglich neue Projekte, um den Schutz nicht-verwalteter Hosts zu unterstützen.

So wurde beispielsweise die künstliche Bauchspeicheldrüse (Open Artificial Pancreas System; OpenAPS) auf einer Branchenkonferenz vorgestellt – eine relativ neue Technologie, die heute im Gesundheitswesen zum Einsatz kommen kann. Dieses Gerät entstand aus dem Wunsch heraus, Diabetikern eine bessere Methode zur Überwachung und Kontrolle ihres Insulinspiegels zu bieten. Leider unterstützt das Basisbetriebssystem des Geräts – der Raspberry Pi-Controller – nicht ohne weiteres eine EPP-Technologie oder einen Agent. In diesem Fall könnte eine Deception-Technologie, die Emulation oder eine virtuelle Maschinen nutzt, einen Angreifer, der ein OpenAPS-Gerät kompromittieren möchte, irreführen und die Wahrnehmung der Angriffsfläche verändern.

Auch Organisationen im Gesundheitswesen mit traditionellen IT-Umgebungen betrachten Deception-Technologien als sinnvoll und als Schlüsselkomponente einer proaktiven Sicherheitsarchitektur.

Deception-Technologien können zwar in beschränkten Einsatzbereichen oder Projekten eingesetzt werden, ihre wahre Stärke entfalten sie jedoch erst dann, wenn eine Organisation damit vollkommene Transparenz über die gesamte IT-Umgebung schafft, einen klaren Überblick über die gesamte Angriffsfläche gewinnt und ein gutes Verständnis für Cyberbedrohungen entwickelt. Der Prozess, Deception-Technologien in Betracht zu ziehen und zu implementieren, kann Organisationen im Gesundheitswesen dabei unterstützen, die eigenen Fähigkeiten und Möglichkeiten zu prüfen, sich einen Gesamtüberblick über die IT-Umgebung zu verschaffen und sich optimal zu schützen.

Cyberbedrohungen sind immer auf dem Vormarsch. Es ist an der Zeit, dass Sicherheitsverantwortliche im Gesundheitswesen die richtigen Werkzeuge einsetzen, um Cyberkriminelle besser zu bekämpfen.

Ein kurzes Video zu Deception. Es ist eine neue Technologie zur POST-Breach-Detection.
https://www.fidelissecurity.com/resource/video/fidelis-deception-explained 

Autor: Roland Messmer – Fidelis Cybersecurity GmbH
https://www.fidelissecurity.com/

Deception Technology

Deception Technology - Deception steht für Betrug oder Täuschung - ist eine Sicherheitstechnik, die im Gegensatz zu klassischen Sicherheitstechniken mit einem anderen Ansatz arbeitet.
Quelle: https://www.itwissen.info/Deception-Technology-deception-technology.html

Autor: Roland Messmer

Diesen Artikel empfehlen