Welchen Beitrag können Honeypots zur Cybersicherheit leisten?

Honeypots sind digitale Objekte, die von Cybersicherheitsexperten entwickelt werden. Sie unterstützen Unternehmen bei der Aufrechterhaltung ihrer Sicherheit. Diese Objekte sind so konzipiert, dass sie für Hacker attraktiv sind. Sobald ein Hacker versucht, auf das Objekt zuzugreifen, wird er von den Sicherheitsexperten verfolgt. Sobald sich ein Hacker Zugriff verschafft hat, werden dessen Versuche, das Objekt auszunutzen, überwacht. Auf diese Weise gewinnen Cybersicherheitsexperten wertvolle Einblicke in die Taktiken, die Hacker anwenden, um solche Objekte auszunutzen.

Was ist Honeypot？

Ein Honeypot ist ein Computersystem, das im Bereich der Cybersicherheit zum Fang eines Angreifers eingesetzt wird. Der Begriff lehnt sich an die Funktionsweise von Honigtöpfen an, die bei Insekten zum Fangen von Tieren dienen. Durch die regelmäßige Erkennung, Überwachung und Auswertung des Verhaltens dieser Angreifer im Honeypot gewinnen Sicherheitsexperten erfolgreich Informationen über die IP-Adressen der Cyberkriminellen sowie über die von ihnen angewandten Strategien und Angriffsarten. Darüber hinaus unterstützt es die Sicherheitsforscher dabei, die vielfältigen Angriffsarten der Hacker zu analysieren und zu untersuchen. Dadurch können effektivere Verteidigungstaktiken entwickelt werden.

Wie funktionieren Honeypots?

Ein Honeypot dient nicht der Behebung eines bestimmten Problems, beispielsweise der Installation einer Firewall oder einer Antiviren-Software. Vielmehr nutzen ihn die Teams für Systemsicherheit, um Informationen zu gewinnen und potenzielle Gefahren für das System zu erkennen. Es handelt sich um eine Falle, die Angreifern eine Falle stellt. Das Funktionsprinzip lässt sich in zwei Teile untergliedern:

• Fallenstellen mit gefälschten Daten

  In einigen Fällen werden zusätzliche Informationen hinzugefügt, die scheinbar sensible Daten sind. Dadurch sollen Hacker dazu verleitet werden, sich Zugang zu verschaffen und die Daten zu stehlen. Sobald die Hacker in die Falle der gefälschten Daten gelockt wurden, können Netzwerksicherheitsspezialisten das Eindringen in ihre Systeme rückgängig machen. Auf diese Weise kann das Intrusion Detection System (IDS) des Unternehmens optimiert und auf ähnliche Angriffe in der Zukunft vorbereitet werden.

• Absichtlich herbeigeführte Sicherheitsschwachstellen

  Es ist unvermeidlich, dass Hacker versuchen werden, jede Schwachstelle, die sie in den Systemen eines Unternehmens finden, auszunutzen. Um dies auszunutzen, schaffen Entwickler Sicherheitslücken, indem sie absichtlich anfällige Ports schaffen, z. B. Ports, die auf Port-Scans oder schwache Passwörter reagieren. Diese Ports werden dann mit einer Honeypot-Umgebung verbunden. So können Angreifer über diese Ports in das System eindringen und versuchen, großen Schaden anzurichten. Sie werden jedoch dazu verleitet, einen Honeypot statt einer sicheren Implementierung des Netzwerksystems einzurichten.

Arten von Honeypots

Honeypots zielen darauf ab, ein Zielsystem zu imitieren, um potenzielle Hacker von wertvollen, realen Systemen abzulenken. Trotz ihrer Einfachheit können Honeypots auf verschiedene Weise aufgebaut werden, um unterschiedlichen Anforderungen gerecht zu werden.

1. Entsprechend dem Einsatzkonzept

• Produktions-Honeypots
  

  Diese werden verwendet, um Risiken im internen Netzwerk einer Organisation zu erkennen. Sie werden in der Regel neben Servern im Produktionsnetzwerk eingesetzt. Diese Art von Honeypot enthält in der Regel einige gefälschte Informationen, um Angreifer abzuschrecken und es den Administratoren zu ermöglichen, Schwachstellen im eigentlichen System zu finden und zu beheben, bevor der Angreifer Zugang erhält.

• Forschungs-Honeypots

  Diese werden zu Forschungszwecken eingesetzt. Im Vergleich dazu bieten Forschungs-Honeypots eine größere Vielseitigkeit. Netzwerksicherheitsexperten nutzen diese Honeypots, um das Verhalten von Angreifern zu erfassen und zu analysieren, damit rechtzeitig Gegenmaßnahmen ergriffen werden können.

2. Nach Komplexität unterteilt

• Reine Honeypots

  Bei diesen Honeypots werden komplette Systeme auf einer Reihe von Servern betrieben, die vollständig so konfiguriert sind, dass sie eine Produktionsumgebung widerspiegeln. Sie speichern Daten und Informationen, die als geheim oder sensibel eingestuft werden könnten, und sind mit mehreren Sensoren ausgestattet, um Angreiferaktivitäten zu verfolgen und zu beobachten.

• Honeypots mit geringer Interaktion

  Diese Honeypots sind für eine geringe Interaktion mit potenziellen Angreifern ausgelegt. Sie verwenden weniger Ressourcen und dienen in erster Linie dazu, grundlegende Informationen über die Art und die Quelle der Bedrohung zu erhalten. Die Konfiguration ist einfach und nutzt TCP/IP und Webdienste. Der Inhalt ist jedoch nicht ausreichend, um die Aufmerksamkeit eines Angreifers über einen längeren Zeitraum aufrechtzuerhalten.

• Honeypots für mittlere Interaktionen

  Diese Honeypots ahmen Elemente der Anwendungsschicht nach, verfügen aber nicht über ein Betriebssystem. Ihr Zweck ist es, Angreifer zu verwirren oder ihre Aktionen zu verzögern, damit das Unternehmen mehr Zeit hat, auf den Angriff zu reagieren.

• Honeypots mit hoher Interaktion

  Diese Honeypots sollen einen Angreifer so lange wie möglich in den Honeypot einbinden, damit die Sicherheitsexperten die Ziele und Absichten des Angreifers besser verstehen und potenzielle Systemschwächen leichter erkennen können. Honeypots mit hoher Interaktion können zusätzliche Systeme, Datenbanken und Verfahren umfassen, die es den Forschern ermöglichen, zu beobachten, wie ein Angreifer nach Informationen sucht, welche Daten er bevorzugt und wie er versucht, sich Zugang zu verschaffen, was einen wichtigen Einblick in sein Verhalten bietet.

3. Andere Arten von Honeypots

• Malware-Honeypots

  Diese Honeypots emulieren Softwareanwendungen und APIs, um Malware-Angriffe zu provozieren. Durch die Analyse dieser Angriffe können Anti-Malware-Maßnahmen entwickelt oder API-Schwachstellen behoben werden, wodurch die Sicherheit des Systems verbessert wird.

• Spam-Honeypots

  Gefälschte E-Mail-Adressen werden an Stellen platziert, die für das menschliche Auge nicht ohne weiteres erkennbar sind, aber von automatisierten Adressensammlern identifiziert werden können. Da diese Adressen ausschließlich für Spam-Fallen bestimmt sind, werden alle an diese Adressen gesendeten E-Mails automatisch als Spam eingestuft. Alle E-Mails, die als ähnlich eingestuft werden, werden automatisch blockiert, und die IP-Adresse des Absenders wird auf eine schwarze Liste gesetzt.

• Datenbank-Honeypots
  

  Die Einrichtung von Täuschungsdatenbanken ermöglicht die Überwachung von Software-Schwachstellen und die Entdeckung von Angriffen, die unsichere Systemarchitekturen ausnutzen oder SQL-Injection, SQL-Service-Exploits oder Privilegienmissbrauch verwenden.

• Client-Honeypots

  Client-Honeypots sollen Angreifer dazu verleiten, ein Client-System über einen bösartigen Server zu kompromittieren. Sie geben sich als Clients aus und beobachten, wie der Angreifer den Server während des Angriffs modifiziert. Sie werden in der Regel in virtualisierten Umgebungen ausgeführt, wobei Maßnahmen zur Eindämmung des Risikos für die Forscher ergriffen werden. 

• Spider-Honeypots
  

  Spider-Honeypots werden verwendet, um Web-Crawler abzufangen, indem Webseiten und Links erstellt werden, die nur für Crawler zugänglich sind. Die Identifizierung dieser Crawler ermöglicht die Entwicklung von Strategien zur Verhinderung bösartiger Bots und werbender Webcrawler.

• Honeynet

  Ein Honeynet ist ein System, das aus mehreren Honeypots besteht, um verschiedene Arten von Angriffen zu untersuchen, z. B. DDoS-Angriffe, Angriffe auf CDNs oder Ransomware-Angriffe. Das Honeynet überwacht den gesamten Datenverkehr (sowohl eingehend als auch ausgehend), um die übrigen Systeme des Unternehmens zu schützen.

Vorteile der Verwendung von Honeypots

Netzwerksicherheitspersonal kann die Netzwerksicherheit eines Systems durch den klugen und richtigen Einsatz von Honeypots effektiv verbessern:

• Einfach und effizient
  

  Honeypots sind einfach einzurichten und liefern Administratoren Warnungen und Informationen über das Verhalten von Angreifern. Der Einsatz im Vorfeld und die Beobachtung des Verhaltens eines Angreifers, der den Köder schluckt, ermöglichen den Einsatz dieser Methode auch ohne ständige Überwachung oder Informationen über bekannte Bedrohungen.

• Unterbindung des Angriffsprozesses

  Hacker sind fortwährend auf der Suche nach Schwachstellen in Ihrem System. Honeypots können mit den Angreifern interagieren, während diese umherstreifen. Sobald sie entdeckt werden, können Administratoren die Angreifer in eine Falle locken und ihr Angriffsverhalten analysieren, um die Angriffskette zu unterbrechen. Darüber hinaus können Honeypots Angreifer verwirren und sie dazu bringen, sich auf irrelevante und falsche Informationen zu konzentrieren, anstatt auf die eigentlichen sensiblen Daten.

• Ein hervorragendes Tool für die Sicherheitsschulung
  

  Mit Honeypots können Sie die Fähigkeiten Ihres Sicherheitsteams und dessen Reaktionsfähigkeit auf Systembedrohungen testen, so dass Sie Probleme frühzeitig erkennen und Verbesserungen vornehmen können

• Optimieren und verbessern Sie die Netzwerksicherheit:
  

  Honeypots erzeugen weniger Fehlalarme als herkömmliche Intrusion-Detection-Systeme (IDS). Die Korrelation der von Honeypots gesammelten Daten mit anderen System- und Firewall-Protokollen ermöglicht die Konfiguration relevanter Warnungen für das IDS, was zu einer Verringerung von Fehlalarmen führt. Honeypots tragen somit dazu bei, die Leistung anderer Netzwerksicherheitssysteme zu optimieren und zu verbessern.

• Geringe Hardware-Anforderungen
  

  Honeypots beanspruchen nur geringe Systemressourcen, da sie lediglich eine begrenzte Menge an Datenverkehr verarbeiten können. Ein weiterer Vorteil ist, dass Unternehmen keine neuen Geräte kaufen müssen, sondern alte, veraltete und nicht mehr genutzte Computer für die Einrichtung von Honeypots verwenden können. Dadurch lassen sich Kosten einsparen.

• Verteidigung gegen interne Bedrohungen

  Vergessen Sie nicht, dass es auch innerhalb des Unternehmens Bedrohungen geben kann, z. B. durch Mitarbeiter, die vertrauliche Dokumente stehlen, bevor sie das Unternehmen verlassen. Während Firewalls diese Bedrohung nicht aufhalten können, können Honeypots effektiv dagegen vorgehen und Probleme aufdecken, z. B. wenn Insider Schwachstellen in den Systemberechtigungen ausnutzen.

Beschränkung der Verwendung von Honeypots

Honeypots sind so konzipiert, dass sie nur bestimmte Angriffe erkennen können und nicht alle Aktivitäten umfassend überwachen können. Des Weiteren ist zu berücksichtigen, dass nicht alle Hacker durch Honeypots abgeschreckt werden. Sobald sie sich ihrer Existenz bewusst werden, können sie diese ausnutzen, um Ihnen vorzugaukeln, dass Sie in eine Falle gelockt wurden. Dadurch werden Sie abgelenkt und Angriffe auf das eigentliche System können gestartet werden, die noch mehr Schaden anrichten könnten. Es sei darauf hingewiesen, dass Honeypots im Gegensatz zu anderen Erkennungssystemen wie z. B. Firewalls nur als Teil einer Netzwerksicherheitsstrategie eingesetzt werden können. Ihre Verwendung in Verbindung mit anderen Sicherheitsmaßnahmen ist daher unerlässlich. Andernfalls besteht das Risiko, dass sie von Angreifern als Einstiegspunkt in das System genutzt werden.

Fazit

Die Vorteile des Honeypotting überwiegen die Nachteile. Als Teil einer Cybersicherheitsstrategie sollten Honeypots in Verbindung mit anderen Formen des Schutzes eingesetzt werden. ForeNova Security ist der führende Cybersicherheitsdienst, der Unternehmen nicht nur dabei hilft, ihre bestehenden Security Operations Teams (SecOps) zu verstärken, sondern auch ein komplettes Angebot an 24/7-Überwachung und -Reaktion, Bedrohungsdaten und anderen Cyberabwehr-Tools für Ihr Unternehmen bereitstellt.

Nehmen Sie mit uns Kontakt auf, um Ihre Anforderungen an Cybersicherheitsdienste zu besprechen.