Was ist ein Honeypot?
Durch Software oder menschliche Aktivitäten soll ein Honeypot so aussehen, als würde ein Unternehmen über Zugangspunkte zu seinen Systemen verfügen, die nicht ausreichend geschützt sind.
Wie funktioniert das?
Als vorbeugende Maßnahme richtet ein Unternehmen eine Reihe von Servern oder Systemen ein, die anfällig erscheinen. Es sieht so aus, als wäre das Unternehmen in Bezug auf bestimmte Sicherheitsaspekte nachlässig gewesen. Nach dem Stellen der Falle besteht das Ziel darin, Angreifer anzulocken.
Was der Kriminelle nicht weiß, ist, dass es sich nicht um einen verwundbaren Einstiegspunkt, sondern um eine Falle handelt, die vom betroffenen Unternehmen genau überwacht wird.
Davon können Unternehmen auf drei Arten davon profitieren: Erstens können sie wirklich gefährliche Angriffe abwehren; zweitens können sie Angreifer dazu bringen, ihre Zeit zu verschwenden; und drittens können sie ihre Bewegungen analysieren, um mögliche neue Angriffsformen erkennen zu können, die in ihrer Branche eingesetzt werden.
Kontrollmaßnahmen
Ein Honeypot ähnelt der Spionageabwehr im Bereich Cybersicherheit, wo ebenfalls Köder zum Einsatz kommen, die anscheinend angreifbar sind, um Angreifer anzuziehen und ihre Angriffe zu vereiteln sowie in der Zwischenzeit alle ihre Aktionen zu analysieren und zu überwachen.
Dies kann eine nützliche Strategie sein, insbesondere für große Unternehmen, die meist über große Mengen an vertraulichen Daten verfügen und aufgrund ihrer Geschäftsvolumen ein attraktives Ziel für Angreifer sind.
Malware-Honeypots
Malware-Honeypots dienen zum Erkennen von Malware, wobei bekannte Verbreitungs- und Angriffsvektoren von Malware zum Einsatz kommen. Verbreitungsvektoren, wie z. B. USB-Laufwerke, können einfach überprüft werden, indem Sie manuell oder mithilfe spezieller Honeypots, die diese Laufwerke emulieren, feststellen, ob Änderungen vorgenommen wurden.
Malware wird zunehmend zum Schürfen von Kryptowährungen verwendet, wodurch Dienste wie Bitcoin Vigil für wenig Geld Honeypots erstellen und überwachen können, um ein System mit Anreizen zu schaffen, das bei Malware-Infektionen frühzeitig warnt.
Honeynets
Es gibt auch Möglichkeiten, den Prozess weiter zu verfeinern: Wenn der Honeypot nicht in Nicht-Produktions-Netzwerken erstellt wird, sondern in realen Anwendungen und Systemen, handelt es sich um ein anderes Konzept: das Honeynet. Es überlistet Cyberkriminelle zusätzlich, indem es sie glauben macht, dass sie ein echtes IT-System angreifen.
Ein Honeynet ist ein Netzwerk interaktiver Honeypots, die ein echtes Netzwerk simulieren und so konfiguriert sind, dass alle Daten diskret überwacht und aufgezeichnet werden. Normalerweise werden Honeynets verwendet, um große oder heterogene Netzwerke zu überwachen, bei denen ein einziger Honeypot nicht ausreichen würde.
Die Kombination aus Honeynets und Honeypots kommt häufig im Rahmen umfassenderer Netzwerk-Intrusion-Detection-Systeme zum Einsatz. Honeynets bieten eine zentrale Sammlung an Honeypots und Analysetools.
