ENISA wirbt für digitale Hackerfallen
Die Europäische Agentur für Netz- und Informationssicherheit hat 30 kostenlose Honeypots getestet und spricht Empfehlungen für die Anwendung in Unternehmen aus. Die Studie soll die Nutzung von Honeypots ausweiten.
Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) empfiehlt den Einsatz von Honeypots zur frühzeitigen Erkennung von Gefahren; 30 aktuelle Systeme hat die Behörde getestet und spricht konkrete Empfehlungen aus.
Honeypots sind digitale Fallen, um Cyber-Angriffe, Angriffsstrategien und Angriffswerkzeuge zu untersuchen. ENISA hat in der Studie versucht, die Honeypots auf ihre Wirksamkeit und Anwendbarkeit zu überprüfen. Die Organisation konzentrierte sich dabei auf frei verfügbare Honeypots. Die Untersuchungsergebnisse sollen unter anderem Unternehmen darin unterstützen, die für sie besten digitalen Fallen zu finden und die Entwicklung von Honeypots voran zu treiben.
(Bild: ENISA )
Das für die Studie von der ENISA eingesetzte und neu erarbeitete Bewertungssystem konzentriert sich besonders auf die Anwenderfreundlichkeit. Als Vorlage nutzten die Mitarbeiter der ENISA hierfür das Honeypot-Bewertungsschema, das von Christian Seifert, Ian Welch und Peter Komisarczuk 2006 entwickelt wurde. Sie erweiterten es allerdings um mehr "praktische" Kategorien und unterscheiden stärker zwischen verschiedenen Honeypot-Arten. Unter anderem wurden Server-Side-Honeypots, Client-Side-Honeypots, Low-Interaction-Honeypots, High-Interaction-Honeypots und Hybrid-Honeypots sowie Sandboxes getestet. Auch frei verfügbare Online-Honeypots zur Überwachung von verdächtigen URLs wurden geprüft.
ENISA hat als Ergebnis der Studie zu mehreren digitalen Fallen eine Empfehlung ausgestellt, etwa für dionaea, Glastopf, kippo und Honeyd, als leicht zu nutzende Software. Als Client-Honeypots wurden Thug und Capture-HPC NG hervorgehoben.
(Bild: ENISA )
Nachholbedarf sieht ENISA bei den Analyse-Tools der Honeypots. Es werden zwar Daten zu Angriffen gesammelt, aber nicht so aufbereitet, dass sie leicht auszuwerten sind. Bestehende Open-Source Honeypot-Projekte sind in ihrer Anwendung teilweise auch so kompliziert, dass für die Nutzung von Honeypots zumeist mehr Fachwissen erforderlich ist als für andere Sicherheits-Lösungen. Wohl auch deshalb nutzen ein Großteil der für die Studie befragten Sicherheitsteams zunächst Firewalls, Log-Dateien und Antivirenprogramme, um Informationen über sicherheitsrelevante Vorgänge in einem Netzwerk zu erhalten.
ENISA rät trotzdem dazu, digitale Fallen einzurichten, denn die teils empfehlenswerte "Software [...] ist vorhanden - und sogar kostenlos." Einige Open-Source Honeypots bedürften zwar der Fortentwicklung, aber je mehr Sicherheitsteams sich für die Nutzung von digitalen Fallen entscheiden würden, umso eher wären auch die Honeypots stets auf dem neusten Stand und eine gute Bereicherung um "bösartige Aktivitäten" zu registrieren und schnell reagieren zu können. Geschäftsführer von ENISA, Professor Udo Helmbrecht, fügt hinzu: “Honeypots bieten für CERTs ein leistungsfähiges Werkzeug um Informationen zu Bedrohungen zu sammeln ohne die Produktionsinfrastruktur zu beeinflussen."
Die komplette Studie Proactive Detection of Security Incidents steht als PDF-Datei zum kostenlosen Download zur Verfügung. (kbe)
