Honeypots: Definition und Rolle bei Cybersicherheitstests

Honeypots sind Netzwerke oder Geräte, die so gestaltet sind, dass sie wie legitime Systeme aussehen. Sie sehen aus und fühlen sich an wie ein gültiger Teil eines Computernetzwerks. Aber diese Geräte sind eigentlich Hacker-Köder.

Richten Sie einen Honeypot ein und locken Sie Hacker in eine Forschungsumgebung. Sie beobachten alles, was ein Angreifer tut, und diese Erkenntnisse können Ihnen dabei helfen, ein noch stärkeres System für Ihr Unternehmen aufzubauen.

Was ist ein Honeypot? Eine formale Definition

Ein Honeypot ist ein Stück Hardware oder Software, das verwendet wird, um Angriffe von Hackern zu erkennen oder zu untersuchen. Die IT funktioniert wie ein gültiges Gerät. Aber die IT ist nicht an tiefere oder sensible Strukturen innerhalb Ihres Unternehmens gebunden. Alle Informationen, die in den Honeypot eingegeben werden, sind enthalten, und alle Daten werden zu Forschungs- und Sicherheitszwecken gesammelt.

Sie können einen Honeypot nicht verwenden, um unerwünschten Datenverkehr oder unerwünschte Aktivitäten zu blockieren, und auf diesem Gerät sollten keine legitimen Arbeiten ausgeführt werden. Stattdessen nutzen Sie die IT ausschließlich, um zu verstehen, wie ein Angriff auf Ihr System verlaufen könnte. 

Stellen Sie sich vor, Sie werden gebeten, die staatlichen Computersysteme von Utah zu verteidigen, die bis zu 300 Millionen Hacking-Versuche pro Tag aushalten. Je mehr Sie über die Personen wissen, die versuchen, Daten zu stehlen, desto besser können Sie Ihre Arbeit erledigen.

Theoretisch könnten Sie darauf warten, dass ein Hacker einen legitimen Teil Ihres Systems angreift. Du könntest diese Person genau beobachten und hoffen, dass du den Schaden begrenzen wirst, bevor die ES zu weit geht. Wenn der Angriff vorbei ist, können Sie die Lücken flicken, die die Sicherheitsverletzung ermöglichten. 

Oder Sie könnten einen Honeypot verwenden, um ein Experiment durchzuführen und einen Hacker praktisch ohne Risiko zu beobachten.

Die allererste Honeypot-Studie fand 1991 statt. Ein Hacker verschaffte sich Zugriff auf einen Server und wurde von den Administratoren über einen Monat lang aufmerksam beobachtet. Seitdem sind Computerexperten auf der ganzen Welt von dieser Idee fasziniert. 

Der durchschnittliche Hacker verbringt mehr als 200 Tage in einem System , bevor er erkannt wird. Selbst mit ausgefeilten Tools und Prozessen fehlen Ihnen wahrscheinlich die Signaturen eines Angriffs, während er sich entfaltet. Richten Sie einen Honeypot ein, und Sie erfahren in Echtzeit mehr über Bedrohungen. Das könnte Ihnen helfen, den nächsten Hacker ganz draußen zu halten.  

5 Verwendungsmöglichkeiten für Honeypots

Zu den gängigen Honeypot-Typen gehören:

• Datenbank-Köder. Einige Angriffe passieren Ihre Firewall, da sie in der Form der SQL-Injection auftreten. Ein Honeypot wird erstellt, um diese Angriffe zu erfassen, wodurch die realen Ressourcen funktionsfähig bleiben. 
• Malware. Fallen sehen aus wie Software-Apps und sollen Malware-Angriffe verhindern, die untersucht und repliziert werden können. 
• Spinne. Webbasiert Pages, die für Website-Crawler erstellt wurden, untersuchen bösartige Aktivitäten.
• Produktion. Fallen scheinen Teil eines gültigen Netzwerks zu sein, und sie werden als Köder platziert, um die realen Ressourcen eines Unternehmens zu schützen. Ein Hacker, der in einem Honeypot gefangen ist, verbringt dort so viel Zeit, dass die Administratoren die Abwehr des echten Assets aufrüsten können. 
• Forschung. Die Daten werden mit Kennungen versehen und wenn Hacker diese Informationen stehlen, können sie verfolgt werden, um die Verbindung zwischen den Beteiligten herzustellen. 

Einige dieser Honeypots verbrauchen nur eine winzige Menge an Ressourcen und sammeln nur grundlegende Informationen. Diese Honeypots mit geringer Interaktion sind einfach einzurichten und schnell einsatzbereit. 

Ein Honeypot mit hoher Interaktion ist aufwendiger, und die Teams hoffen, Hacker über längere Zeiträume für eine detaillierte Datenerfassung zu gewinnen. 

Manchmal gehen Forscher noch einen Schritt weiter und verbinden viele Honeypots in einem System, das einem gültigen Netzwerk sehr ähnlich sieht. Honeynets wie dieses liefern eine Fülle von Informationen, und es ist fast unmöglich, sie von echten Netzwerken zu trennen. 

Forscher richten auch E-Mail-Adress-Fallen oder Spam-Fallen ein, die ein bisschen wie ein Honigtopf funktionieren. Eine gefälschte E-Mail-Adresse wird erstellt, und die IT befindet sich an einer Stelle, die wahrscheinlich von Hackern besucht wird. Jede E-Mail-Adresse, die an diese Adresse gesendet wird, stammt wahrscheinlich von einem Spammer, der es den Forschern ermöglicht, diese Akteure zu erkennen und an ihrer Arbeit zu hindern. Da E-Mail-Adresse-Traps keinen Computer oder Computernetzwerk betreffen, handelt es sich nicht um echte Honeypots. 

Wie funktionieren Honeypots?

Alle Elemente, die Sie in einem Standard Rechner benötigen, erscheinen auch in einem Honeypot. Je mehr Sie eine reale Umgebung nachahmen können, desto wahrscheinlicher ist es, dass Sie Ihre Hacker austricksen. 

In einem gängigen Setup enthält ein Honeypot:

• Ein webbasiert-fähiges Gerät. Einen Computer, ein Tablet oder ein Telefon. 
• Anwendung. Dieses Gerät muss in der Lage sein, in irgendeiner Weise echte Arbeit zu leisten. 
• Daten. Informationen, die wertvoll erscheinen, sollten sich entweder auf dem Gerät befinden oder für die IT zugänglich sein. 
• Überwachung. Alles, was in diesem Honeypot passiert, ist ein Beweis für Hacking.

Ein Honeypot ist in der Regel vom Produktionsteil des Netzwerks isoliert. Und die IT kann Sicherheitslücken enthalten, die für Hacker attraktiv sind. 

Risiken und Vorteile des Honeypot-Netzwerks

Zu den allgemeinen Vorteilen gehören:

• Offengelegte Schwachstellen. Sind Sie absolut sicher, dass Ihre Daten sicher sind? Ein Honeypot ermöglicht es Ihnen, Ihr Setup in Echtzeit zu testen. 
• Geringe Investition. Einfache Honeypots benötigen nicht viel Hardware oder Software. Sie könnten sie in wenigen Minuten zum Laufen bringen. 
• Neue Verständnisse. Die Daten, die Sie sammeln, könnten Ihnen die Augen für Bedrohungen öffnen, von denen Sie einfach nicht wussten, dass sie existieren. Zum Beispiel richteten Forscher einen gefälschten Fertigungsserver ein, um zu sehen, was Hacker tun könnten. Einer unerschrockenen Person gelang es, die Produktionslinie ganz stillzulegen, und das schien sehr überraschend. 

Auch einige Honeypot-Risiken sind häufig. Möglicherweise treten folgende Ereignisse auf:

• Lockvögel. Wenn es einem Hacker gelingt, herauszufinden, dass Sie einen Honeypot eingerichtet haben, könnte er Ihre Aufmerksamkeit von einer echten Bedrohung ablenken, die auf Ihren gültigen Servern stattfindet. 
• Tiefgreifende Angriffe. Wenn Sie Ihr Setup zu sorgfältig nachahmen, könnte ein Hacker an Ihrem Honeypot üben, um später einen Angriff auf Ihre gültigen Server zu starten. 
• Verschwendete Ressourcen. Wenn Sie ein tiefgreifendes System aufbauen, können Sie Zeit von Ihrer eigentlichen Arbeit ablenken. 

Wenn Sie entscheiden, dass ein Honeypot nicht das Richtige für Sie ist, sollten Sie einen Pentest in Betracht ziehen. Sie unterziehen Ihr System einer Reihe aufwändiger Sicherheitsabfragen und erfahren, wie gut es bei einem Angriff abschneidet. Mehr zu diesem Ansatz erfahren Sie in unserem Blog-Beitrag. 

Referenzen

NSA-Rechenzentrum mit 300 Millionen Hacking-Versuchen pro Tag. Der Rat der Versicherungsagenten und -makler. 

Ein Abend mit Berferd, an dem ein Cracker gelockt, ertragen und studiert wird. AT&T Bell Laboratories. 

Hacker verbringen 200+ Tage in Systemen, bevor sie erkannt werden. (Februar 2015). Informationssicherheit. 

Ausgeklügeltes Honeypot-"Fabrik"-Netzwerk, das von Ransomware, RAT und Cryptojacking betroffen ist. (Januar 2020). Dunkle Lektüre.