Moving target security

Schutz der Daten muss endlich zum Grundstandard des Internets gehören. _cyel führt deshalb eine neue Strategie der Cybersicherheit ein: keine neue Generation an Patches und Firewalls, sondern Moving Target Security – wir nehmen die Angriffsziele weg. Ohne Ihr bestehendes System auszuwechseln.

Bisherige Sicherheitslösungen reagierten auf Angriffe, neuere setzen auf intelligente Angriffserkennung und werden damit proaktiver. Sie lösen aber das Problem nicht, denn die Ziele bleiben für die Angreifer sichtbar.

Moving Target Security löst dieses Problem grundsätzlich: Wir bewegen, verteilen und verstecken die Angriffsziele. Anstatt das Eindringen in ein statisches Netz zu verhindern, wird das Netz zu einem dynamischen System mit beweglichen Zielen. Die Nutzer sind für die Außenwelt nicht mehr ohne Weiteres sichtbar. Jede Datenübertragung ist verschlüsselt. Ein Eindringling, der sich lateral bewegt, fällt systembedingt auf.

  • Systemunabhängig und rückwärtskompatibel: Die Installation erfolgt als Zusatz zum existierenden Netzwerk, ohne Anpassung von Netzwerkverkabelung, Nutzersystemen, Servern oder Anwendungen.
  • Potenzielles Upgrade: Die Lösung macht aus Ihrer bestehenden Layer-2- oder Layer-3-Infrastruktur ein zoniertes Layer-3-Netzwerk.
  • Sparpotenzial: Die Lösung ist – einmal in Betrieb gesetzt – fast ohne Aufwand zu betreuen.
  • Skalierbarkeit: Je nach Bedrohungslage lässt sich die Sicherheit automatisch anpassen.
  • Schutz gegen Mitschneider unterwegs: vollständige Verhinderung von Informationslecks aus Metadaten.
  • Schutz vor direkten Angriffen auf Services und interne Strukturen: Jeder Eindringling fällt systembedingt auf.
  • Diebstahl von Kennwörtern sinnlos: Der Schutz findet auf Netzwerkebene statt, gekoppelt an die Geräte.
Software Defined Networking

Wir verändern die Netzwerktopologie und setzen ein Software Defined Network vor Ihre bestehende Infrastruktur. Jeder Datenverkehr wird nahtlos darüber umgeleitet.

Moving target security
Stochastic Target Obfuscation

Weil sich das Netzwerk ständig in verschiedenen Dimensionen verändert, steigt der Aufwand eines Angriffes ins Unermessliche. Die Sicherheit wird berechenbar.

Dynamic Flow Checking

Jeder Datenverkehr ist systembedingt unter Kontrolle, Netzwerkschnittstellen wie Ports und Dienste sind geschützt.

Attack surface mutation
Attack Surface Mutation

Statt einer festen IP-Adresse erhält jedes Gerät pro Transaktion eine neue Adresse. Selbst wenn sich Fremde einschalten, beobachten sie keine Regelmäßigkeit und können keine Schlüsse ziehen: Bei jeder neuen Transaktion sind Sender und Empfänger nicht mehr erkennbar. Gesammelte Informationen werden augenblicklich wieder wertlos.

Encryption
Encryption

Selbstverständlich wird jede Kommunikation von Punkt zu Punkt verschlüsselt. Dabei ändert sich die Verschlüsselung an jedem Knoten. Es gibt keine Chance, die Datenpakete zurückzuverfolgen, die Botschaft ist nicht mehr als dieselbe erkennbar.

Triple A
AAA

Authentifizierung, Autorisierung und Accounting bedeutet: Jeder Vorgang im Netzwerk kann nur durch authentifizierte Geräte durchgeführt werden, muss explizit erlaubt sein (weiße Liste) und wird festgehalten. Es gibt keine externen Akteure, unbekannte Routen, Lateralbewegungen oder ungeprüfte Aktionen.

Honey pot
Honey Pot

Erkannte Angreifer werden in eine simulierte Umgebung geleitet, einen Honey Pot. Dort richten sie keinen Schaden an; ihr Verhalten kann aber beobachtet werden. Damit sind Sie den Angreifern immer einen Schritt voraus, anstatt auf Lecks reagieren zu müssen.

Dummy traffic
Dummy Traffic

Das System sendet Störverkehr los, der das wahre Signal übertönt. Angreifer können kein Verhaltensmuster erkennen und nutzen; vielfrequentierte Server sind von vereinzelten Nutzern nicht zu unterscheiden.