Was ist ein Honeypot?

Ein Honeypot ist ein an ein Netzwerk angeschlossenes System, das als Lockvogel für Cyber-Angreifer eingerichtet wurde. Hiermit sollen Hacking-Versuche erkannt, abgewehrt und untersucht werden. Die Funktion eines Honeypots besteht darin, sich im Internet als potenzielles Ziel für Angreifer darzustellen – in der Regel ein Server oder ein anderes hochwertiges Objekt. Anschließend können Informationen darüber gesammelt werden, wie ein Angriff stattfinden könnte.

Honeypot-Systeme verwenden häufig gehärtete Betriebssysteme, bei denen zusätzliche Sicherheitsmaßnahmen ergriffen wurden, um die Gefährdung durch Bedrohungen zu minimieren. Sie werden in der Regel so konfiguriert, dass sie Angreifern ausnutzbare Schwachstellen zu bieten scheinen. Beispielsweise könnte ein Honeypot-System so aussehen, als würde es auf SMB-Protokollanfragen (Server Message Block) reagieren, die von der WannaCry-Ransomware-Attacke verwendet werden und sich als Unternehmensdatenbankserver ausgeben, der Verbraucherdaten speichert.

Große Unternehmen nutzen häufig Honeypots, um Angriffe von Advanced Persistent Threats (APT) zu erkennen und abzuwehren. Honeypots sind ein wichtiges Instrument, das große Unternehmen zur aktiven Verteidigung gegen Angreifer oder für Cybersecurity-Forscher einsetzen, die mehr über die von Angreifern verwendeten Tools und Techniken erfahren möchten.

Wie funktioniert ein Honey Pot?

Ein Honeypot besteht in der Regel aus einem Computer, Anwendungen und Daten, die das Verhalten eines realen Systems simulieren, das für Angreifer attraktiv wäre. Es erscheint Teil eines Netzwerks zu sein, ist aber in Wirklichkeit isoliert und wird streng überwacht. Da es für legitime Benutzer keinen Grund gibt, auf einen Honeypot zuzugreifen, werden alle Versuche mit ihm zu kommunizieren, als feindlich betrachtet.

Honeypots werden häufig in einer demilitarisierten Zone (DMZ) des Netzwerks platziert. Auf diese Weise bleibt er vom Hauptproduktionsnetzwerk isoliert, ist aber dennoch ein Teil davon. In der DMZ kann ein Honeypot aus der Ferne überwacht werden, während Angreifer auf ihn zugreifen, wodurch das Risiko eines Einbruchs in das Hauptnetzwerk minimiert wird.

Honeypots können auch außerhalb der externen Firewall zum Internet hin aufgestellt werden, um Versuche zu erkennen, in das interne Netz einzudringen. Die genaue Platzierung des Honeypots hängt davon ab, wie aufwändig er ist, welchen Datenverkehr er anziehen soll und wie nahe er an sensiblen Ressourcen innerhalb des Unternehmensnetzes liegt. Unabhängig von der Platzierung wird er immer bis zu einem gewissen Grad von der Produktionsumgebung isoliert sein.

Die Anzeige und Protokollierung von Aktivitäten im Honeypot gibt Aufschluss über das Ausmaß und die Art der Bedrohungen, denen eine Netzwerkinfrastruktur ausgesetzt ist, und lenkt Angreifer von den wirklich wertvollen Ressourcen ab. Cyberkriminelle können Honeypots kapern und gegen das Unternehmen, das sie einsetzt, verwenden. Es ist auch bekannt, dass Cyberkriminelle Honeypots nutzen, um Informationen über Forscher oder Organisationen zu sammeln, als Köder zu fungieren und Fehlinformationen zu verbreiten.

Virtuelle Maschinen (VMs) werden häufig als Host für Honeypots verwendet. Auf diese Weise kann der Honeypot schnell wiederhergestellt werden, wenn er z. B. durch Malware beschädigt wird. Zwei oder mehr Honeypots in einem Netzwerk bilden ein Honeynet, während eine Honeyfarm eine zentralisierte Sammlung von Honeypots und Analysetools ist.

Es gibt sowohl Open-Source- als auch kommerzielle Angebote, die bei der Einrichtung und Verwaltung von Honeypots helfen. Zu den Produkten gehören sowohl eigenständige Honeypot-Systeme als auch Honeypots, die mit anderer Sicherheitssoftware kombiniert und als Täuschungstechnologie vermarktet werden. GitHub verfügt über eine umfangreiche Liste von Honeypot-Software, die Anfängern helfen kann, eine Vorstellung von der Verwendung von Honeypots zu bekommen.

Vorteile eines Honeypots

Honeypots bieten Unternehmen zahlreiche Sicherheitsvorteile, darunter die folgenden:

1. Sie unterbrechen die Angriffskette und verlangsamen die Angreifer

Während sich Angreifer in Ihrem Netzwerk bewegen, führen sie Erkundungen durch, scannen Ihr Netzwerk und suchen nach falsch konfigurierten und anfälligen Geräten. In dieser Phase ist es wahrscheinlich, dass sie Ihren Honeypot auslösen und sie alarmieren, um den Angreifer zu untersuchen und seinen Zugriff einzudämmen. So können Sie reagieren, bevor ein Angreifer die Möglichkeit hat, erfolgreich Daten aus Ihrer Umgebung zu exfiltrieren. Angreifer können auch viel Zeit damit verbringen, sich mit dem Honeypot zu beschäftigen, anstatt Bereiche mit echten Daten anzugreifen. Durch die Umleitung ihres Angriffs auf ein nutzloses System werden Zyklen verschwendet und Sie erhalten eine Frühwarnung über einen laufenden Angriff.

2. Sie sind unkompliziert und wartungsarm

Moderne Honeypots sind nicht nur einfach herunterzuladen und zu installieren, sondern können auch genaue Warnungen über gefährliche Fehlkonfigurationen und Angreiferverhalten liefern. In manchen Fällen vergisst Ihr Team sogar, dass ein Honeypot jemals eingesetzt wurde, bis jemand beginnt, in Ihrem internen Netzwerk herumzustochern. Im Gegensatz zu Intrusion Detection Systemen benötigen Honeypots keine bekannten Angriffssignaturen und keine neuen Informationen über Bedrohungen, um nützlich zu sein.

3. Sie helfen Ihnen dabei, Ihre Prozesse zur Incident Response zu testen

Honeypots sind ein kostengünstiger Weg, um Ihre Sicherheitsreife zu erhöhen, da sie testen, ob Ihr Team weiß, was zu tun ist, wenn ein Honeypot unerwartete Aktivitäten aufdeckt. Kann Ihr Team den Alarm untersuchen und geeignete Gegenmaßnahmen ergreifen?