Honeypots

Erfahren Sie, wie Honeypots Ihre Sicherheit verbessern können und Ihnen helfen, Hacker zu fangen.


Was ist ein Honeypot?

Honeypots sind Ködersysteme oder Server, die neben Produktionssystemen in Ihrem Netzwerk eingesetzt werden. Wenn Honeypots als attraktive Angriffsziele bereitgestellt werden, tragen sie zur Sicherheitsüberwachung durch die „blauen Teams“ bei und führen den Gegner vom eigentlichen Ziel weg. Honeypots können passend zu den Anforderungen der jeweiligen Organisation unterschiedlich komplex gestaltet werden und sind eine bedeutende Verteidigungslinie, was die frühzeitige Warnung vor Angriffen betrifft. Diese Seite erläutert näher, was unter Honeypots zu verstehen ist, wie sie verwendet werden und welche Vorteile Ihnen aus deren Implementierung entstehen.

Grundlagen zu Honeypots

Haben Sie nur zwei Minuten Zeit? Schauen Sie sich unser erklärendes Honeypot-Video an.

Für Honeypots gibt es viele Anwendungen und Anwendungsfälle, mit denen bösartiger Datenverkehr von wichtigen Systemen ferngehalten wird, Frühwarnungen über einen laufenden Angriff ausgehen, bevor kritische Systeme betroffen sind und Informationen über Angreifer und deren Methoden gesammelt werden. Wenn Honeypots keine wirklich vertraulichen Daten enthalten und gut überwacht werden, können Sie Erkenntnisse über die Tools, Taktiken und Verfahren (TTPs) der Angreifer erhalten und forensische und rechtliche Beweise sammeln, ohne den Rest des Netzwerks zu gefährden.

Damit ein Honeypot funktionieren kann, sollte das System legitim aussehen. Es sollte Prozesse ausführen, die erwartungsgemäß in einem Produktionssystem laufen und offenbar wichtige Scheindateien enthalten. Jedes System kann zum Honeypot werden, wenn es mit den sachgemäßen Sniffing- und Logging-Funktionen eingerichtet wurde. Es empfiehlt sich, den Honeypot hinter die Unternehmens-Firewall zu setzen, dadurch gewährleisten Sie nicht nur entscheidende Logging- und Warnmeldekapazitäten, sondern sperren auch abgehenden Datenverkehr, damit ein kompromittierter Honeypot nicht verwendet werden kann, um andere interne Assets anzugreifen.

Forschungs- vs. Produktions-Honeypots

Im Hinblick auf die Ziele gibt es zwei Arten von Honeypots: Forschungs- und Produktions-Honeypots. Honeypots für Forschungszwecke sammeln Informationen über Angriffe und werden speziell zur Untersuchung von im weitesten Sinne bösartigen Verhaltensweisen verwendet. Sie sammeln aus sowohl Ihrer Umgebung als auch global Informationen über Trends unter Angreifern, Malware-Versionen und Sicherheitslücken, die von Hackern aktiv anvisiert werden. Daraus können Sie Informationen für Ihre Abwehr, Patch-Priorisierung und zukünftige Investitionen ziehen.

Honeypots für die Produktion befassen sich hingegen damit, aktive Kompromittierungen Ihres internen Netzwerks zu erkennen und den Angreifer zu täuschen. Das Sammeln von Informationen steht weiter ganz oben, da Honeypots zusätzliche Überwachungsmöglichkeiten für Sie schaffen und geläufige Erkennungslücken bei der Identifizierung von Netzwerkscans und der Ausbreitung im Netzwerk füllen. Honeypots für die Produktion passen zu den übrigen Produktionsservern und führen Services aus, die in Ihrer Umgebung normalerweise ausgeführt werden. Honeypots für die Forschung sind in der Regel komplexer und speichern mehr Datenarten als Honeypots in der Produktion.

Honeypot-Komplexität kann variieren.

Honeypots für die Produktion und Forschung sind zudem je nach Komplexität der Anforderungen Ihres Unternehmens in unterschiedliche Stufen unterteilt:

  • Pure Honeypot: Dies ist ein komplett imitierendes Produktionssystem von voller Größe, das auf verschiedenen Servern läuft. Er enthält „vertrauliche“ Daten und Benutzerinformationen sowie viele Sensoren. Obwohl diese komplex sein können und ihre Wartung nicht immer einfach ist, sind die von ihnen erhältlichen Informationen unerlässlich.
  • High-interaction Honeypot: Dieser ist mit einem „pure“ oder reinen Honeypot vergleichbar, da er jede Menge Services ausführt, aber nicht so komplex ist und auch nicht so viele Daten enthält. High-interaction Honeypots sind nicht dafür vorgesehen, ein komplettes Produktionssystem in seiner gesamten Größe zu imitieren, sondern sie führen (vermeintlich) alle Dienste aus, die auch in einem Produktionssystem laufen würden, einschließlich eines ordnungsgemäßen Betriebssystems. Diese Art von Honeypot ermöglicht es dem Unternehmen, das ihn bereitstellt, die Verhaltensweisen und die Methodik von Angreifern zu sehen. High-interaction Honeypots sind ressourcenintensiv und bedürfen einiger Wartung, aber die Ergebnisse machen den Extraufwand wett.
  • Mid-interaction Honeypot: Diese bilden Aspekte der Anwendungsebene nach, verfügen jedoch nicht über ihr eigenes Betriebssystem. Ihre Aufgabe ist es, Angreifer aufzuhalten oder zu verwirren, damit Unternehmen mehr Zeit haben, herauszufinden, wie sie auf diesen Angriff richtig reagieren.
  • Low-interaction Honeypot: Diese Art von Honeypot wird am häufigsten in einer Produktionsumgebung eingesetzt. Low-interaction Honeypots führen eine Handvoll Services aus und dienen vorrangig als Frühwarnsystem bei Angriffserkennung. Sie lassen sich ganz leicht bereitstellen und instandhalten, wobei viele Sicherheitsteams mehrere Honeypots in verschiedenen Segmenten ihres Netzwerks einsetzen.

Arten von Honeypots

Mehrere, derzeit eingesetzte Honeypot-Technologien umfassen: 

  • Malware-Honeypots: Diese verwenden bekannte Replikations- und Angriffsvektoren zur Erkennung von Malware. So wurden beispielsweise Honeypots (z. B. Ghost) entwickelt, um ein USB-Speichergerät nachzubilden. Wenn ein Rechner mit Malware infiziert ist, die über USB verbreitet wird, veranlasst der Honeypot die Malware, das nachgebildete Gerät zu infizieren.
  • Spam-Honeypots: Diese werden verwendet, um offene Mail-Verteilung und offene Proxys nachzubilden. Spammer testen die offene Mail-Verteilung, indem sie sich zunächst selber eine E-Mail senden. Wenn dies erfolgreich ist, versenden sie große Mengen an Spam. Diese Art von Honeypot kann diesen Test erkennen und die anschließende Menge von Spam erfolgreich blockieren.
  • Database-Honeypot: Aktivitäten wie SQL-Injection werden häufig von Firewalls nicht erkannt, was einige Unternehmen veranlasst, eine Datenbank-Firewall zu verwenden, die Honeypots unterstützt, um Köder-Datenbanken einzurichten.
  • Client-Honeypots: Die meisten Honeypots sind Server, die nach Verbindungen lauschen. Client-Honeypots suchen aktiv nach bösartigen Servern, die Client-Rechner angreifen, und überwachen verdächtige und unerwartete Änderungen am Honeypot. Diese Systeme laufen in der Regel mit Virtualisierungstechnologie und verfügen über eine Eindämmungsstrategie, um die Risiken für das Forschungsteam zu minimieren.
  • Honeynets: Statt ein einzelnes System ist ein Honeynet ein Netzwerk, das aus mehreren Honeypots bestehen kann. Honeynets sollen strategisch die Methoden und Motive eines Angreifers festhalten, während sie gleichzeitig allen ein- und ausgehenden Datenverkehr eindämmen. 

Vorteile eines Honeypots

Honeypots bieten viele Sicherheitsvorteile für Unternehmen, die sie implementieren, einschließlich dieser:

Sie brechen den Erfolg von Angreifern und verlangsamen den Fortschritt des Angreifers.

Wenn Angreifer in Ihrer Umgebung unterwegs sind, schauen sie sich um, scannen das Netzwerk und suchen nach fehlkonfigurierten, anfälligen Geräten. In diesem Stadium werden sie höchstwahrscheinlich Ihren Honeypot auslösen, der Sie benachrichtigt, damit Sie den Zugriff durch den Angreifer untersuchen und eindämmen können. So können Sie reagieren, bevor der Angreifer die Chance hatte, erfolgreich Daten aus Ihrer Umgebung abzurufen. Bösartige Akteure verbringen mitunter beträchtliche Zeit damit, sich mit dem Honeypot auseinanderzusetzen, statt sich auf Bereiche mit echten Daten zu konzentrieren. Durch die Ablenkung auf ein nutzloses System werden Zyklem verschenkt, während Sie eine Frühwarnung über den laufenden Angriff erhalten.

Sie sind unkompliziert und bedürfen wenig Wartung

Moderne Honeypots lassen sich einfach herunterladen und installieren, und können auch präzise Warnmeldungen über gefährliche Fehlkonfigurationen und Angreiferverhalten liefern. In einigen Fällen kommt es vor, dass Ihr Team vergisst, dass jemals ein Honeypot bereitgestellt wurde, bis jemand in Ihrem internen Netzwerk herumstochert. Im Gegensatz zu Eindring-Erkennungssystemen brauchen Honeypots keine bekannten Angriffssignaturen oder neueste Informationen, um nützlich zu sein.

Sie helfen Ihnen, Ihre Reaktionsprozesse auf Vorfälle zu testen.

Honeypots sind eine kostengünstige Möglichkeit, den Reifegrad Ihres Sicherheitskonzepts zu erhöhen, da sie testen, ob Ihr Team weiß, was zu tun ist, wenn ein Honeypot unerwartete Aktivitäten aufdeckt. Kann Ihr Team die Warnmeldung untersuchen und entsprechende Gegenmaßnahmen ergreifen?

Honeypots sollten nicht Ihre einzige Strategie der Bedrohungserkennung sein, aber sie stellen eine weitere Sicherheitsebene dar, die zur frühzeitigen Entdeckung von Angriffen hilfreich sein kann. Sie sind eine der wenigen Methoden, die Sicherheitsexperten zur Verfügung stehen, um bösartige Verhaltensweisen in der realen Welt zu untersuchen und Kompromittierungen des internen Netzwerks aufzudecken. Möchten Sie mehr über andere Technologiearten erfahren, die die Abwehr Ihres „blauen Teams“ stärken können? Werfen Sie einen Blick auf unsere Seite über Täuschungstechnologie.

Erfahren Sie mehr über Honeypots

Honeypots: Aktuelles aus dem Rapid7 Blog