Google Cloud Deception

Master-Studiengang Information Security

Lindenhofer Julian

Betreuer: DI Dr. Martin Pirker 

Ausgangslage

Die heutige Unternehmenswelt ist geprägt durch permanente Veränderung und Fortschritt. Aktuell ist der Trend hin zur Implementierung und Verwendung von Cloudsystemen innerhalb vieler Unternehmen und von Privatpersonen nicht mehr aufzuhalten. Die Schattenseiten dieser Zentralisierung der Datenspeicherung sind einerseits der Verlust der vollständigen Kontrolle über die Daten bei Verwendung eines Drittanbieters und die Möglichkeit einer ungewollten Veröffentlichung dieser Daten durch den Drittanbieter im Zuge eines Cyberangriffes.

Oftmals bemerken die Opfer viel zu spät, dass sie Opfer eines Cyberangriffes sind. In diesen Fällen haben viele Angreifer zumeist schon ihr Ziel erreicht und die gesuchten Daten gestohlen. Mit der zusätzlichen Verwendung von Deception-Technologien kann sich die Zeitspanne, in welcher sich der Angreifer unbemerkt im internen Netzwerk befindet, verringern und somit auch der potenzielle Schaden eingedämmt werden.

Ziel

Das Ziel der Arbeit ist, festzustellen, inwieweit Deception Technologien mit Cloudprodukten und Infrastrukturen kompatibel sind. Die Arbeit eruiert, ob der Einsatz von Deception Technologien in der Cloud zu einer Verbesserung der Sicherheit führt und ob es möglich ist, Angriffe schneller als bisher zu detektieren. Dazu wird die Google Cloud Platform und dessen Services analysiert und erarbeitet, wie Angriffe mithilfe von Ködern in der Cloud detektiert werden können.

Ergebnis

Im Zuge dieser Arbeit wurden Szenarien definiert, welche realistische Anwendungsbereiche von Cloudservices darstellen. Basierend auf den Szenarien erörtert die Arbeit Deception Konzepte, welche eine Angriffserkennung ermöglichen. 

Die erläuterten Konzepte wurden anschließend in die Praxis umgesetzt und mittels dreier Köder realisiert. Bei den Ködern handelte es sich um Fake Userdaten, Fake Administratoren und Fake Storage Einheiten innerhalb der Google Cloud. Sollten Angreifer diese Köder benutzen, schlägt das System Alarm und der Angriff wird detektiert.

Mithilfe von simulierten Angriffen und diversen Tools wurden die Köder auf deren Funktion getestet. Es konnte gezeigt werden, dass potenzielle Hacker diese Köder finden, nicht von anderen Daten unterscheiden können und auch verwenden. Sobald dies geschieht, schlägt das System Alarm.