Arctic Wolf gibt die Einführung von Decipio bekannt. Dabei handelt es sich um ein defensives Cybersecurity-Tool, das Security-Teams dabei unterstützt, Angreifer genau in dem Moment zu erkennen, in dem sie Zugangsdaten innerhalb eines Netzwerks stehlen wollen.
Der Diebstahl von Zugangsdaten zählt weiterhin zu den häufigsten Arten von Cyberangriffen, gleichzeitig stellt sich deren frühzeitige Erkennung als besonders schwer dar. Der jährliche Threat-Report von Arctic Wolf zeigt wiederholt, dass gestohlene Zugangsdaten ein zentraler Initial-Access-Vektor sind. Decipio wurde entwickelt, um dieses Muster zu durchbrechen, indem Aktivitäten zum Diebstahl von Zugangsdaten frühzeitig sichtbar gemacht werden, und nicht erst dann, wenn kompromittierte Zugangsdaten bereits für laterale Bewegungen oder Angriffe genutzt wurden.
„Da Angreifer ihre Prozesse zunehmend automatisieren und unauffälliger vorgehen, können es sich Verteidiger nicht leisten, erst nach einem Schaden zu reagieren“, mahnt Ismael Valenzuela, VP of Threat Intelligence Research bei Arctic Wolf. „Decipio steht für einen Defense-First-Ansatz im Umgang mit KI-gestützten Angriffen. Ziel ist es, Bedrohungsakteure genau in dem Moment zu erkennen, in dem sie sich zeigen und Verteidigern damit einen entscheidenden Vorteil zu verschaffen. Indem wir dieses Tool mit der Community teilen, laden wir Fachleute dazu ein, aktiv mitzugestalten, KI verantwortungsvoll in der Cyberabwehr einzusetzen.“
Im Gegensatz zu klassischen Erkennungsansätzen, die sich auf Aktivitäten nach einer Kompromittierung konzentrieren, setzt Decipio auf einen einfachen Frühwarnmechanismus. Dieser soll Angreifer sichtbar machen, sobald sie versuchen, Zugangsdaten über gängige Windows-Netzwerktechniken wie LLMNR- oder NBT-NS-Missbrauch zu stehlen. Das erzeugte Signal ist binär, erfordert nur minimale Anpassung und liefert klare, belastbare Hinweise für eine schnelle Analyse.
Decipio wird erstmals im Rahmen des SANS-AI-Summit öffentlich vorgestellt, wo Arctic Wolf gemeinsam mit führenden Sicherheitsforschern und Experten auftritt. Das Tool wird zunächst als limitierte, zugangsbeschränkte Community-Beta bereitgestellt, wobei der Zugriff geprüft und nur an verifizierte Security-Experten vergeben wird.
In Zeiten großflächigen Datenscrapings und automatisierter Wiederverwendung durch KI kann eine vollständige Open-Source-Bereitstellung defensiver Tools unbeabsichtigt genau die Methoden beschleunigen, die eigentlich erkannt und verhindert werden sollen. Durch einen kontrollierten Zugang kann Arctic Wolf praxisnahe Abwehrmechanismen mit verifizierten Anwenderinnen und Anwendern teilen und gleichzeitig eine verantwortungsvolle Nutzung sicherstellen.
#ArcticWolf
