Angreifer täuschen: Honeypots und Co.
Bei Deception geht es um Erkenntnisse über Angriffe - und darum, die Kriminellen so zu beschäftigen, dass den Verteidigern Zeit zum Reagieren bleibt.
(Bild: Vanessa Bahr / KI / heise medien)
- Frank Ully
Es ist ein Klischee, aber dennoch wahr: Manche Verteidiger fallen im Wettlauf gegen immer besser ausgerüstete Angreifer weiter zurück. Denn reine Prävention genügt schon lange nicht mehr. Aber sie schafft Freiraum, um Sicherheitsvorfälle rechtzeitig zu erkennen. Zur Detektion dienen Endpoint Detection and Response (EDR) oder Security Information and Event Management (SIEM). Diese Produkte arbeiten signatur- oder verhaltensbasiert – und sind anfällig für Fehlalarme, was zu einer gefährlichen Alarmmüdigkeit bei den Verteidigern führt. Außerdem muss man ein Security and Operations Center (SOC), das sich 24/7 durch die Meldungsflut kämmt, auch erst einmal intern aufbauen oder extern beauftragen. Diese Ansätze sind aufwendig und erfordern reife Sicherheitsorganisationen; das E in SIEM steht nicht für Effizienz.
- Im engeren Sinn sind klassische Honigtöpfe nach außen gerichtet, um als Research-Honeypots Erkenntnisse über verschiedene Malwarefamilien und das typische Vorgehen von Angreifern zu gewinnen, wenn sie beispielsweise über SSH-Passwort-Raten Zugriff auf einen Linux-Server erlangen.
- Honigtöpfe für Intrusion Detection richten sich hingegen nach innen, um dort Angreifer auf falsche Fährten zu locken, so einen Angriff zu erkennen und Erkenntnisse über die spezifischen Täter zu sammeln. Neben der Einbruchserkennung lenken solche Honigtöpfe Angreifer ab und binden ihre Ressourcen, wodurch die Verteidiger Zeit für ihre Reaktion gewinnen.
- Dabei helfen verschiedene Open-Source-Lösungen – von einfachen, aber vielseitigen Canarytokens bis zu komplexen Honeypot-Plattformen.
Gleichzeitig professionalisieren Angreifer ihre Taktiken, Sicherheitsmechanismen auszuhebeln und unbemerkt in IT-Infrastrukturen einzudringen. Statt Schadsoftware nutzen sie Werkzeuge, die mit dem Betriebssystem ausgeliefert werden oder vom Windows-Hersteller Microsoft digital signiert sind – in einem erweiterten Verständnis generell vorhandene, eigentlich legitime Software. Diese Taktik ist seit einigen Jahren bekannt als "Living off the Land" (LOTL). Das erschwert es, die Handlungen der Kriminellen von gutartigen Administratoraktivitäten zu unterscheiden. Selbst wenn sie dadurch EDR oder Malwarescanner nicht ganz umgehen und Verteidiger nach bösartiger Fernverwaltung Ausschau halten, interpretieren die Verteidiger solche Aktivitäten womöglich als Fehlalarm.
Um in ein kompromittiertes Netzwerk vorgedrungene Hacker zu finden, braucht es eine andere Denkweise. Ein besonders effizienter Ansatz zur Einbruchserkennung ist Täuschung, neudeutsch Deception. Kein legitimer Benutzer sollte in einen Honigtopf, also eine der ausgelegten Fallen, greifen. Jede Interaktion damit ist mindestens verdächtig, im schlimmsten Fall bösartig. Dabei müssen Einbrecher jeden aufgespannten Stolperdraht umgehen, um nicht entdeckt zu werden. Verteidiger müssen nur eine der Alarmglocken hören. Diese Art der Erkennung eignet sich besonders wegen der wenigen falsch positiven Alarme. Der Ansatz, digitale Stolperdrähte in der eigenen Infrastruktur zu platzieren, egal ob vor Ort, im Rechenzentrum oder in einer Cloud, verspricht die Erkennungslücke zu schließen. Das lohnt sich für Organisationen, die bislang noch viel zu wenig in Detektion investiert haben, und erst recht für SIEM- und SOC-Betreiber.
Das war die Leseprobe unseres heise-Plus-Artikels "Angreifer täuschen: Honeypots und Co.". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
