Weshalb ein Honigtopf keine umfassende Sicherheitslösung ist

Ein wesentliches Sicherheitsprinzip und vielleicht eine der wichtigsten Lektionen, die Sie als Sicherheitsexperte lernen werden, ist AHAT (Always have an audit trail = Immer ein Protokoll machen). Warum? Wenn Sie...
Michael Buckbee
5 minute gelesen
Letzte aktualisierung 1. November 2021

Ein wesentliches Sicherheitsprinzip und vielleicht eine der wichtigsten Lektionen, die Sie als Sicherheitsexperte lernen werden, ist AHAT (Always have an audit trail = Immer ein Protokoll machen). Warum? Wenn Sie es je mit einem Sicherheitsverstoß zu tun hatten, wissen Sie zumindest, was, wo und wann es geschah. Es gibt auch einige Gesetze und Vorschriften, die diese Protokolle erfordern.

Zur Unterstützung gibt es ein Sammelsurium an Tools, die Ihnen dabei helfen, Geräte, Systeme, Apps und Protokolle zu überwachen. Da diese Tools Netzwerke rund um die Uhr überwachen, generieren sie täglich tausende von Protokolleinträgen, die Administratoren oft mit zu vielen Daten überfordern. Neben dieser Vielzahl an Daten gibt es Benachrichtigungen, rote Markierungen und überquellende Posteingänge mit SIEM-Benachrichtigungen und Benachrichtigungen über das Erkennen von Eindringlingen.

Ich frage mich, ob man den Wald vor lauter Bäumen noch sehen kann?

Ja, diese Tools tun, was man ihnen sagt – dies und das herausfinden, Benachrichtigungen auslösen – aber um den Preis massenhafter Benachrichtigungen, bei der es schwerfällt, das herauszufinden, was man unbedingt untersuchen wollte.

Wenn unbedingt alles untersucht werden muss, dann ist nichts wichtig.

Aus diesem Grund wurden „Honigtöpfe“ zum bevorzugten Sicherheitstool und bessern in gewisser Weise Schwachpunkte Ihres vorhandenen Überwachungstool aus.

Was ist ein Honigtopf?

Bei einem Honigtopf handelt es sich im Wesentlichen um einen Köder (Passwörter, Sicherheitslücken, gefälschte sensible Daten), der explizit darauf abzielt, Personen anzulocken und einzufangen. Ziel ist es, einen Hacker, der versucht, unerlaubt auf Ihr Netzwerk zuzugreifen, zu täuschen und anzulocken. Der Honigtopf wird wiederum von der IT-Sicherheit überwacht. Jeder, der in den Honigtopf fällt, gilt als Eindringling.

Vorteile eines Honigtopfs

Bevor wir näher darauf eingehen, weshalb ein Honigtopf nicht die einzige Sicherheitslösung für Ihre Organisation sein sollte, lassen Sie uns einen Blick darauf werfen, weshalb er eine so effektive Maßnahme in der IT ist – vor allem um mehr darüber zu erfahren, wer in Ihrer Umgebung lauern könnte.

Mit einem Honigtopf können Sie mehr darüber erfahren, wie der Angreifer in das System eingedrungen ist, von wo (z. B. IP-Adressen, an welche die gestohlenen Daten gehen und woher sie stammen), was gelöscht oder hinzugefügt wurde (z. B. wenn der Angreifer seine Berechtigungen erhöht hat, um Admin zu werden), Tastenanschläge einer Person und welche Malware verwendet wurde (z. B. Hinzufügen eines Trojaners oder Rootkits an das System).

Sinnvolle Benachrichtigungen – Wie bereits erwähnt, wird die IT täglich oft mit tausenden Benachrichtigungen bombardiert, wobei kaum oder gar keine Unterscheidung zwischen hohen und geringen Risiken und Bedrohungen gemacht werden. Demgegenüber protokollieren Honigtöpfe nur einige hundert Ereignisse und erleichtern der IT damit die Verwaltung und Analyse. So kann die IT schneller reagieren und den Angreifer vertreiben, bevor größerer Schaden angerichtet wird.

Bei Honigtopf-Benachrichtigungen müssen Sie sich auf andere Falschmeldungen gefasst machen.

So kann ein Angreifer bspw. eine Umleitung erstellen, die Ihre Produktionssysteme manipuliert und vorgibt, den Honigtopf anzugreifen. In der Zwischenzeit würde Ihr Honigtopf diesen Spoofing-Angriff erkennen und Ihre IT-Administratoren anleiten, die falsche Attacke zu untersuchen, nämlich das Ihr Produktionssystem Ihren Honigtopf angreift. Während dieses falschen Alarms könnte sich ein Angreifer auf eine echte Attacke konzentrieren. Ja, Hacker sind clever!

Alternative Maßnahme zur Vorbeugung von Ransomware– Wenn Sie kein automatisiertes Dateiüberwachungssystem haben, können Sie statt dessen einen Honigtopf mit gefälschten Dateien und Ordnern erstellen und anschließend regelmäßig überwachen, sozusagen eine Alternative zur Vorbeugung von Ransomware. Ach, und warum sollten Sie nicht einfach unsere bewährte PowerShell-basierte Dateiüberwachungslösung testen?

Natürlich müssten Sie dafür ein für Dateisysteme natives Auditing aktivieren. Denken Sie dabei daran, dass es zu einem erheblichen Verwaltungsaufwand auf Ihren Systemen kommen wird. Versuchen Sie statt dessen Folgendes: priorisieren und erstellen Sie eine zugriffsfähige Dateifreigabe mit Dateien, die normal und wichtig aussehen, aber tatsächlich gefälscht sind.

Da theoretisch keine rechtmäßige Benutzeraktivität mit einer Honigtopf-Dateifreigabe verbunden sein sollte, handelt es sich bei jeder beobachteten Aktivität wahrscheinlich um einen Eindringling,sodaß die Aktivität mit höchster Alarmbereitschaft behandelt werden sollte. Nachdem Sie natives Auditing für die Aufzeichnung der Zugriffsaktivitäten aktiviert haben, können sie ein Skript erstellen, um die IT zu benachrichtigen, sobald Ereignisse in das Sicherheitsereignisprotokoll geschrieben werden (z. B. unter Verwendung von dumpel.exe).

Potenziell erkannte Insider-Risiken – Es wird häufig angenommen, dass jede Interaktion mit einem Honigtopf einen Hinweis darauf gibt, dass Sie ein Hacker sind. Doch es gibt für niemanden einen Grund, dort zu sein.

Je nach Setup müssen Ihre Mitarbeiter nicht automatisch schuldig sein, nur weil sie die Benachrichtigungen auslösen. In einer konfliktreichen Welt können Benutzer argumentieren, dass der Arbeitgeber ihre Privatsphäre verletzt hat, weil er ihnen nicht die Berechtigung erteilt hat, seine personenbezogenen Daten aus dem Honigtopf auszusortieren.

Vertrauen ist gut, Kontrolle ist besser.

Auf der anderen Seite der Firewall kann es bei der Nutzung von Anmeldeinformationen und IP-Adresse des Unternehmens schwierig sein, bösartige und/oder verärgerte Insider auszumachen.

Warum?

Ein Insider würde niemals einen Honigtopf verwenden oder damit interagieren, deshalb wäre er als Rechercheinstrument nicht sehr hilfreich. Außerdem würde ein Honigtopf nicht funktionieren, wenn der Insider weiß, dass es ihn gibt oder ihn irgendwie entdeckt hat. Der Insider wird wissen, wie er den Honigtopf umgehen kann, und sich demzufolge nicht einloggen und keine Aktivität auslösen.

Entschlüsselte Daten – Organisationen fangen an, ihre Daten zu verschlüsseln. Schließlich wird es als bewährtes Verfahren empfohlen und ist für manche eine Compliance-Anforderung. Aber Technologien, die unsere Daten schützen, wie etwa eine Verschlüsselung, können etwas darüber aussagen, was in unseren Netzwerken geschieht. Und genau dann ist ein Honigtopf hilfreich. Er wird Aktivitäten erfassen, weil Honigtöpfe als Endpunkte agieren, an denen die Aktivität entschlüsselt wird.

Allerdings sind Honigtöpfe kein Patentrezept.

Entscheiden Sie sich statt dessen für integrierte Sicherheit – Ähnlich wie Penetrationstests sind Honigtöpfe das Gegenteil von integrierter Sicherheit. Um mehr über die Umgebung Ihrer Organisation zu erfahren, werden Honigtöpfe oft im Anschluss an die Systembereitstellung installiert. Es ist vielmehr eine pädagogische Übung, bei der Sie Rechner dazu bringen, Ihnen mitzuteilen, wo genau Ihre Sicherheitsrisiken liegen.

Eine proaktivere Vorgehensweise zur Minderung von Risiken und zur Verbesserung der Sicherheit ist es, vor der Veröffentlichung eines Produkts oder einer neuen IT-Umgebung Tests durchzuführen. Verlangen Sie dabei von Ihrer IT-Umgebung dasselbe wie bei Speisen, Bauwerken und Elektrizität. Genau dafür steht integrierte Sicherheit – integrieren Sie Sicherheit in jeden Bereich des IT-Managementprozesses und beginnen Sie damit schon in der Designphase.

UBA: eine bessere Methode zum Erkennen von Outsidern, Insidern und Ransomware – Sobald ein Außenstehender durch rechtmäßige öffentliche Ports eintritt (E-Mail, Internet, Login) und Zugriff als Benutzer erhält, ist er bei der Implementierung einer Attacke, die nicht einfach zu überwachen ist, sehr clever vorgegangen.

Tatsächlich sehen Sie für einen IT-Admin, der lediglich die Systemaktivität überwacht, genauso aus wie ein weiterer Benutzer.

An dieser Stelle kann UBA (User Behavioral Analytics = Analysen des Nutzerverhaltens) sehr nützlich sein, sogar effektiver als ein Honigtopf!

UBA zeichnet sich vor allem durch den Umgang mit dem Unbekannten aus. Im Hintergrund kann die UBA-Engine eine Baseline für die normale Aktivität eines jeden Benutzers einrichten und anschließend Abweichungen erkennen und diese in Echtzeit melden – unabhängig davon, in welcher Form sie sich selbst offenbaren – Outsider? Insider? Ransomware? – sie werden erkannt werden. Ein IT-Admin kann bspw. eine Regel konfigurieren, sagen wir, die tausende von „Dateimodifizierungs“-Aktionen in einem kleinen Zeitfenster erkennen kann.

Haftbar für Schäden, falls Ihr Honigtopf „gekapert“ wurde – Sie werden erwarten, dass ein Honigtopf sondiert und angegriffen wird, aber Sie sollten auch die Möglichkeit in Betracht ziehen, dass er ausgeschlachtet wird.

Allerdings sind manche Honigtöpfe weniger gefährlich, etwa Honigtöpfe mit geringer Interaktion. Sie sind einfach zu installieren und sind eigentlich kein funktionierendes Betriebssystem, auf dem ein Angreifer arbeiten kann. Sie befinden sich meist im Leerlauf und warten auf irgendeine Aktivität. Sie erfassen sehr wenig Daten und benachrichtigen Sie nur dann, wenn jemand Ihren Honigtopf aufsucht und Sie die Aktivität beobachten sollten.

Dagegen ist ein Honigtopf mit hoher Interaktion viel gefährlicher. Als echtes Betriebssystem verfügt er über Dienste, Programme und E-Mails und wird wie ein echter Computer betrieben. Er ist auch schwieriger zu installieren und bereitzustellen und erfordert eine strategische Platzierung. Sie könnten wahlweise das Risiko Ihres Netzwerks als ganzes steigern, oder so, daß es niemand mitbekommt.

Allerdings erfasst Ihr „gefährlicher“ Honigtopf mehr Daten – die IP-Adresse, in manchen Fällen den Namen des Benutzers, die Art der Attacke, wie die Attacke ausgeführt wurde und letztlich erfahren Sie, wie Sie Ihr Netzwerk besser schützen können.

Denken Sie daran, dass ein Angreifer anstatt seine Entdeckung zu umgehen auch gefälschte Informationen in einen Honigtopf einspeisen kann, was dazu führt, dass das Sicherheitsteam falsche Schlüsse über den Angreifer zieht.

Aber zurück zum „Hijacking“.

Sie werden ein ernstes Problem auf Ihrer Seite haben, sobald ein Honigtopf gekapert und dazu benutzt wird, andere Systeme oder Organisationen anzugreifen, zu infiltrieren oder zu schädigen. Als „Downstream Liability“ bekannt könnte Ihre Organisation für Schäden haftbar gemacht werden.

Das ist eine offizielle Warnung.

Gehen Sie achtsam bei der Implementierung Ihrer Honigtöpfe und weise bei der Auswahl Ihrer Sicherheitslösungen vor. Honigtöpfe sind kein guter Ersatz dafür, wenn Sie eigentlich ein System wie etwa UBA (Analysen des Nutzerverhaltens) benötigen. Statt dessen bieten Honigtöpfe Mehrwert, da sie mit vorhandenen Sicherheitslösungen arbeiten.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

sans-umfrage-zur-ereignisprotokollierung
SANS-Umfrage zur Ereignisprotokollierung
Die kritischen Sicherheitskontrollmaßnahmen (Critical Security Controls, CSC) des SANS Institute sind in den letzten Jahren ins Blickfeld der Öffentlichkeit gerückt. Nachdem Sicherheitsexperten sich inzwischen mehr und mehr den Techniken zuwenden,...
welche-auswirkungen-hat-die-digitale-transformation-auf-traditionelle-cybersecurity-ansätze?
Welche Auswirkungen hat die digitale Transformation auf traditionelle Cybersecurity-Ansätze?
Um dies herauszufinden, haben wir bei den Analysten von Forrester eine Studie in Auftrag gegeben. Diese kam zu teilweise erschreckenden Ergebnissen: So sieht jeder zweite Sicherheitsverantwortliche (54 %) seine aktuellen Sicherheits-Ansätze als überholt an.
verschlüsselung-hat-ihre-grenzen
Verschlüsselung hat ihre Grenzen
Warum verschlüsselt nicht jeder einfach alles? Wäre man damit in der Lage sämtliche Sicherheitsvorfälle zu verhindern? Eher nicht. Verstehen Sie mich nicht falsch. Verschlüsselung ist eine gute Sache. Wenn Sie...
die-dramaturgie-der-daten:-wie-bsi-grundschutz-und-data-governance-zusammenhängen
Die Dramaturgie der Daten: Wie BSI Grundschutz und Data Governance zusammenhängen
IT-Sicherheitsthemen schaffen es inzwischen lässig und beinahe täglich in die Top-Headlines der Medien sowie der einschlägigen Blogs und Diskussionsforen. Themen, mit denen sich das BSI (Bundesamt für Sicherheit in der...