Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Weshalb ein Honigtopf keine umfassende Sicherheitslösung ist

Geschrieben von Michael Buckbee | Jan 16, 2018 7:59:00 AM

Ein wesentliches Sicherheitsprinzip und vielleicht eine der wichtigsten Lektionen, die Sie als Sicherheitsexperte lernen werden, ist AHAT (Always have an audit trail = Immer ein Protokoll machen). Warum? Wenn Sie es je mit einem Sicherheitsverstoß zu tun hatten, wissen Sie zumindest, was, wo und wann es geschah. Es gibt auch einige Gesetze und Vorschriften, die diese Protokolle erfordern.

Zur Unterstützung gibt es ein Sammelsurium an Tools, die Ihnen dabei helfen, Geräte, Systeme, Apps und Protokolle zu überwachen. Da diese Tools Netzwerke rund um die Uhr überwachen, generieren sie täglich tausende von Protokolleinträgen, die Administratoren oft mit zu vielen Daten überfordern. Neben dieser Vielzahl an Daten gibt es Benachrichtigungen, rote Markierungen und überquellende Posteingänge mit SIEM-Benachrichtigungen und Benachrichtigungen über das Erkennen von Eindringlingen.

Ich frage mich, ob man den Wald vor lauter Bäumen noch sehen kann?

Ja, diese Tools tun, was man ihnen sagt – dies und das herausfinden, Benachrichtigungen auslösen – aber um den Preis massenhafter Benachrichtigungen, bei der es schwerfällt, das herauszufinden, was man unbedingt untersuchen wollte.

Wenn unbedingt alles untersucht werden muss, dann ist nichts wichtig.

Aus diesem Grund wurden „Honigtöpfe“ zum bevorzugten Sicherheitstool und bessern in gewisser Weise Schwachpunkte Ihres vorhandenen Überwachungstool aus.

Was ist ein Honigtopf?

Bei einem Honigtopf handelt es sich im Wesentlichen um einen Köder (Passwörter, Sicherheitslücken, gefälschte sensible Daten), der explizit darauf abzielt, Personen anzulocken und einzufangen. Ziel ist es, einen Hacker, der versucht, unerlaubt auf Ihr Netzwerk zuzugreifen, zu täuschen und anzulocken. Der Honigtopf wird wiederum von der IT-Sicherheit überwacht. Jeder, der in den Honigtopf fällt, gilt als Eindringling.

Vorteile eines Honigtopfs

Bevor wir näher darauf eingehen, weshalb ein Honigtopf nicht die einzige Sicherheitslösung für Ihre Organisation sein sollte, lassen Sie uns einen Blick darauf werfen, weshalb er eine so effektive Maßnahme in der IT ist – vor allem um mehr darüber zu erfahren, wer in Ihrer Umgebung lauern könnte.

Mit einem Honigtopf können Sie mehr darüber erfahren, wie der Angreifer in das System eingedrungen ist, von wo (z. B. IP-Adressen, an welche die gestohlenen Daten gehen und woher sie stammen), was gelöscht oder hinzugefügt wurde (z. B. wenn der Angreifer seine Berechtigungen erhöht hat, um Admin zu werden), Tastenanschläge einer Person und welche Malware verwendet wurde (z. B. Hinzufügen eines Trojaners oder Rootkits an das System).

Sinnvolle Benachrichtigungen – Wie bereits erwähnt, wird die IT täglich oft mit tausenden Benachrichtigungen bombardiert, wobei kaum oder gar keine Unterscheidung zwischen hohen und geringen Risiken und Bedrohungen gemacht werden. Demgegenüber protokollieren Honigtöpfe nur einige hundert Ereignisse und erleichtern der IT damit die Verwaltung und Analyse. So kann die IT schneller reagieren und den Angreifer vertreiben, bevor größerer Schaden angerichtet wird.

Bei Honigtopf-Benachrichtigungen müssen Sie sich auf andere Falschmeldungen gefasst machen.

So kann ein Angreifer bspw. eine Umleitung erstellen, die Ihre Produktionssysteme manipuliert und vorgibt, den Honigtopf anzugreifen. In der Zwischenzeit würde Ihr Honigtopf diesen Spoofing-Angriff erkennen und Ihre IT-Administratoren anleiten, die falsche Attacke zu untersuchen, nämlich das Ihr Produktionssystem Ihren Honigtopf angreift. Während dieses falschen Alarms könnte sich ein Angreifer auf eine echte Attacke konzentrieren. Ja, Hacker sind clever!

Alternative Maßnahme zur Vorbeugung von Ransomware– Wenn Sie kein automatisiertes Dateiüberwachungssystem haben, können Sie statt dessen einen Honigtopf mit gefälschten Dateien und Ordnern erstellen und anschließend regelmäßig überwachen, sozusagen eine Alternative zur Vorbeugung von Ransomware. Ach, und warum sollten Sie nicht einfach unsere bewährte PowerShell-basierte Dateiüberwachungslösung testen?

Natürlich müssten Sie dafür ein für Dateisysteme natives Auditing aktivieren. Denken Sie dabei daran, dass es zu einem erheblichen Verwaltungsaufwand auf Ihren Systemen kommen wird. Versuchen Sie statt dessen Folgendes: priorisieren und erstellen Sie eine zugriffsfähige Dateifreigabe mit Dateien, die normal und wichtig aussehen, aber tatsächlich gefälscht sind.

Da theoretisch keine rechtmäßige Benutzeraktivität mit einer Honigtopf-Dateifreigabe verbunden sein sollte, handelt es sich bei jeder beobachteten Aktivität wahrscheinlich um einen Eindringling,sodaß die Aktivität mit höchster Alarmbereitschaft behandelt werden sollte. Nachdem Sie natives Auditing für die Aufzeichnung der Zugriffsaktivitäten aktiviert haben, können sie ein Skript erstellen, um die IT zu benachrichtigen, sobald Ereignisse in das Sicherheitsereignisprotokoll geschrieben werden (z. B. unter Verwendung von dumpel.exe).

Potenziell erkannte Insider-Risiken – Es wird häufig angenommen, dass jede Interaktion mit einem Honigtopf einen Hinweis darauf gibt, dass Sie ein Hacker sind. Doch es gibt für niemanden einen Grund, dort zu sein.

Je nach Setup müssen Ihre Mitarbeiter nicht automatisch schuldig sein, nur weil sie die Benachrichtigungen auslösen. In einer konfliktreichen Welt können Benutzer argumentieren, dass der Arbeitgeber ihre Privatsphäre verletzt hat, weil er ihnen nicht die Berechtigung erteilt hat, seine personenbezogenen Daten aus dem Honigtopf auszusortieren.

Vertrauen ist gut, Kontrolle ist besser.

Auf der anderen Seite der Firewall kann es bei der Nutzung von Anmeldeinformationen und IP-Adresse des Unternehmens schwierig sein, bösartige und/oder verärgerte Insider auszumachen.

Warum?

Ein Insider würde niemals einen Honigtopf verwenden oder damit interagieren, deshalb wäre er als Rechercheinstrument nicht sehr hilfreich. Außerdem würde ein Honigtopf nicht funktionieren, wenn der Insider weiß, dass es ihn gibt oder ihn irgendwie entdeckt hat. Der Insider wird wissen, wie er den Honigtopf umgehen kann, und sich demzufolge nicht einloggen und keine Aktivität auslösen.

Entschlüsselte Daten – Organisationen fangen an, ihre Daten zu verschlüsseln. Schließlich wird es als bewährtes Verfahren empfohlen und ist für manche eine Compliance-Anforderung. Aber Technologien, die unsere Daten schützen, wie etwa eine Verschlüsselung, können etwas darüber aussagen, was in unseren Netzwerken geschieht. Und genau dann ist ein Honigtopf hilfreich. Er wird Aktivitäten erfassen, weil Honigtöpfe als Endpunkte agieren, an denen die Aktivität entschlüsselt wird.

Allerdings sind Honigtöpfe kein Patentrezept.

Entscheiden Sie sich statt dessen für integrierte Sicherheit – Ähnlich wie Penetrationstests sind Honigtöpfe das Gegenteil von integrierter Sicherheit. Um mehr über die Umgebung Ihrer Organisation zu erfahren, werden Honigtöpfe oft im Anschluss an die Systembereitstellung installiert. Es ist vielmehr eine pädagogische Übung, bei der Sie Rechner dazu bringen, Ihnen mitzuteilen, wo genau Ihre Sicherheitsrisiken liegen.

Eine proaktivere Vorgehensweise zur Minderung von Risiken und zur Verbesserung der Sicherheit ist es, vor der Veröffentlichung eines Produkts oder einer neuen IT-Umgebung Tests durchzuführen. Verlangen Sie dabei von Ihrer IT-Umgebung dasselbe wie bei Speisen, Bauwerken und Elektrizität. Genau dafür steht integrierte Sicherheit – integrieren Sie Sicherheit in jeden Bereich des IT-Managementprozesses und beginnen Sie damit schon in der Designphase.

UBA: eine bessere Methode zum Erkennen von Outsidern, Insidern und Ransomware – Sobald ein Außenstehender durch rechtmäßige öffentliche Ports eintritt (E-Mail, Internet, Login) und Zugriff als Benutzer erhält, ist er bei der Implementierung einer Attacke, die nicht einfach zu überwachen ist, sehr clever vorgegangen.

Tatsächlich sehen Sie für einen IT-Admin, der lediglich die Systemaktivität überwacht, genauso aus wie ein weiterer Benutzer.

An dieser Stelle kann UBA (User Behavioral Analytics = Analysen des Nutzerverhaltens) sehr nützlich sein, sogar effektiver als ein Honigtopf!

UBA zeichnet sich vor allem durch den Umgang mit dem Unbekannten aus. Im Hintergrund kann die UBA-Engine eine Baseline für die normale Aktivität eines jeden Benutzers einrichten und anschließend Abweichungen erkennen und diese in Echtzeit melden – unabhängig davon, in welcher Form sie sich selbst offenbaren – Outsider? Insider? Ransomware? – sie werden erkannt werden. Ein IT-Admin kann bspw. eine Regel konfigurieren, sagen wir, die tausende von „Dateimodifizierungs“-Aktionen in einem kleinen Zeitfenster erkennen kann.

Haftbar für Schäden, falls Ihr Honigtopf „gekapert“ wurde – Sie werden erwarten, dass ein Honigtopf sondiert und angegriffen wird, aber Sie sollten auch die Möglichkeit in Betracht ziehen, dass er ausgeschlachtet wird.

Allerdings sind manche Honigtöpfe weniger gefährlich, etwa Honigtöpfe mit geringer Interaktion. Sie sind einfach zu installieren und sind eigentlich kein funktionierendes Betriebssystem, auf dem ein Angreifer arbeiten kann. Sie befinden sich meist im Leerlauf und warten auf irgendeine Aktivität. Sie erfassen sehr wenig Daten und benachrichtigen Sie nur dann, wenn jemand Ihren Honigtopf aufsucht und Sie die Aktivität beobachten sollten.

Dagegen ist ein Honigtopf mit hoher Interaktion viel gefährlicher. Als echtes Betriebssystem verfügt er über Dienste, Programme und E-Mails und wird wie ein echter Computer betrieben. Er ist auch schwieriger zu installieren und bereitzustellen und erfordert eine strategische Platzierung. Sie könnten wahlweise das Risiko Ihres Netzwerks als ganzes steigern, oder so, daß es niemand mitbekommt.

Allerdings erfasst Ihr „gefährlicher“ Honigtopf mehr Daten – die IP-Adresse, in manchen Fällen den Namen des Benutzers, die Art der Attacke, wie die Attacke ausgeführt wurde und letztlich erfahren Sie, wie Sie Ihr Netzwerk besser schützen können.

Denken Sie daran, dass ein Angreifer anstatt seine Entdeckung zu umgehen auch gefälschte Informationen in einen Honigtopf einspeisen kann, was dazu führt, dass das Sicherheitsteam falsche Schlüsse über den Angreifer zieht.

Aber zurück zum „Hijacking“.

Sie werden ein ernstes Problem auf Ihrer Seite haben, sobald ein Honigtopf gekapert und dazu benutzt wird, andere Systeme oder Organisationen anzugreifen, zu infiltrieren oder zu schädigen. Als „Downstream Liability“ bekannt könnte Ihre Organisation für Schäden haftbar gemacht werden.

Das ist eine offizielle Warnung.

Gehen Sie achtsam bei der Implementierung Ihrer Honigtöpfe und weise bei der Auswahl Ihrer Sicherheitslösungen vor. Honigtöpfe sind kein guter Ersatz dafür, wenn Sie eigentlich ein System wie etwa UBA (Analysen des Nutzerverhaltens) benötigen. Statt dessen bieten Honigtöpfe Mehrwert, da sie mit vorhandenen Sicherheitslösungen arbeiten.