Blog: Von Honeypots zu aktiven Deception Defenses

01.02.2018

Von Honeypots zu aktiven Deception Defenses Eine sehr häufige Reaktion bei der Erwähnung von „Deception“ ist ein Verweis auf Honeypots im Bereich der Cybersicherheit. Ja, moderne Deception Defenses sind von Honeypots abgeleitet und das Verständnis der Weiterentwicklung dieser

Eine sehr häufige Reaktion bei der Erwähnung von „Deception“ ist ein Verweis auf Honeypots im Bereich der Cybersicherheit.  Ja, moderne Deception Defenses sind von Honeypots abgeleitet und das Verständnis der Weiterentwicklung dieser wertvollen Verteidigungsoption steht im Mittelpunkt dieses Blogs. Das Grundkonzept von Honeypots sind Ködersysteme mit von Angreifern begehrten, aber gefälschten Daten, die isoliert und überwacht werden, um Angreifer ohne Risiko für echte Daten, Operationen oder Benutzer abzulenken und zu erkennen.  Vor Jahren war es sinnvoll, Angreifer mit gefälschten Kreditkartendaten und Zugangsdaten auf separierten, eigenständigen Systemen zu ködern, um zu erfahren, wer eindringt, welche Methoden sie anwenden und was sie anstreben.  Dies führt zu einer Vielzahl von Variationen von Honeypots und zwar wie folgt:

Reine Honeypots – sind vollwertige Systeme, bei denen die Aktivität eines Angreifers durch einen Bug-Trap überwacht wird, der auf der Verbindung des Honeypots zum Netzwerk installiert ist.  Die Tatsache, dass sie ein vollständiger OS-basierter Honeypot waren, machte es schwierig, sie zu skalieren und bewusst verletzlich, bzw. kompromittierbar zu sein.

High-Interaction Honeypots – verwenden virtuelle Maschinen, die mehrere Honeypots auf einem physischen Gerät laufen zu lassen, um die Skalierbarkeit zu verbessern und einfach wiederherzustellen.  Allerdings sind sie aufwändig in der Wartung, um den vollen Service von Produktionsservern zu imitieren, und sie sind auch selber empfänglich für Kompromittierungen.

Low-Interaction-Honeypots – simulieren die häufig gesuchten und ausgenutzten Dienste von Angreifern, die zur Skalierbarkeit ebenfalls virtuelle Maschinen für mehrere Honeypots pro physischem Server verwenden.  Diese engeren fokussierten Honeypots verbrauchen jedoch weniger Ressourcen und verbessern die Skalierbarkeit auf ein höheres Niveau, haben kürzere Antwortzeiten, weniger Code und reduzieren die Komplexität der Sicherung des virtuellen Systems.

Wartungsaufwändige Honeypots

In den meisten Fällen wurden die frühen Honeypots manuell gepflegt, sind schwer zu skalieren und wurden von den Angreifern über statistische Methoden gefunden, da ihnen häufige Aktivitäten, Benutzer und Updates als Köder fehlten.  Sie lieferten jedoch wertvolle Forschungsanwendungen sowie Produktionsumgebungen, die zu einer Vielzahl von Honeypot-Technologien führten, darunter: Malware Honeypots, E-Mail/Spam Honeypots, Datenbank Honeypots für Webservices, Kanarienvogelfallen mit Beacons und mehrere Honeypots, die zu Honeynets verarbeitet wurden.  Es gab auch die Entwicklung von Honeyclients, aber viele dieser Projekte sind inzwischen im Auslauf begriffen.

Automation und intelligente Deception Defense

Das Gesamtkonzept einer aktiven Deception Defense durch den Einsatz von Lockmitteln zum Ködern, Aufspüren und Verteidigen ist sinnvoll, doch die Probleme der Skalierbarkeit, der qualifizierten und verfügbaren Fachkräfte und die Entscheidung zwischen Schutz, bzw. Eindämmung gegenüber der Erkennung mussten gelöst werden, damit sich Honeypots entwickeln konnten.  Wie in vielen Bereichen der Technik ist die Automatisierung der Schlüssel zu einer effektiven modernen Deception Defense. Eine moderne Täuschung-Strategie sollte die folgenden Merkmale berücksichtigen:

Automatische Erkennung – bildet kontinuierlich Netzwerke, Assets, Ressourcen und Services ab und erstellt Profile, um die „echte“ Umgebung zu erlernen.

Automatisierte Ködererstellung – erstellt optimale Köder mit interaktiven Diensten und Anwendungen, um Angreifer oder Malware mit dem zu konfrontieren, was sie suchen.

Automatisiertes Deployment – positioniert eine Vielzahl von Ködern an optimalen Orten mit einer Mischung aus Brotkrumen auf realen Objekten als Köder, um Täuschung deterministisch zu machen.

Aktive Reaktion – ermöglicht es Sicherheitsteams, Workflows für aktive Reaktion und Analyse zu skripten und zu automatisieren.

Automatische Anpassung – an Änderungen in Netzwerken, Assets, Ressourcen oder Diensten, um Discovery-Profile zu aktualisieren und die Automatisierung neuer und aktualisierter Köder und Breadcrumbs zu ermöglichen.

Das Endergebnis der Automatisierung, die in moderne Deception Defenses integriert ist, beseitigt manuelle Wartungsprobleme, eliminiert den Bedarf an speziellen Fachkenntnissen, um Deception Decoys zu erstellen und zu wissen, wo sie einzusetzen sind, und fügt den qualitativ hochwertigen Einsatz von Brotkrumen als Köder hinzu, die einen Schritt über Honeypots hinausgehen.  Heute kann ein Tier-1-Sicherheitsanalyst mehrere Deception- bzw. Täuschungsschichten in einem Unternehmen für lokale und Cloud-Umgebungen konfigurieren, implementieren und verwalten, somit wird Deception auch für den Mittelstand zu validen Option.

Entscheidung: Honeypot versus Deception

Forschungs-Honeypots haben immer noch ihre Anwendungsfälle und verbleiben mit den bekannten Herausforderungen, da es diese zu erhalten, zu skalieren und vor Kompromissen zu schützen gilt.  Für die meisten Unternehmen bieten moderne Abwehrsysteme mit von Angreifern gesuchten und ausgenutzten interaktiven Services eine bessere Skalierbarkeit und Sicherheit durch Automatisierung – mit dem Unterschied, dass die Wartung entfällt.  Köder und Breadcrumb-Vielfalt ist wichtig, sowohl bei strukturierten als auch unstrukturierten Datenanwendungen, um sowohl menschliche Angreifer als auch Malware-Angriffe anzulocken und zu beschäftigen.  Moderne Deception Defenses nutzen auch Active Directory-Anmeldeinformationen und beherrschen die Platzierung von Zugangsdaten als Köder neben Attrappen mit interaktiven Diensten und Anwendungen.

Fazit:

Also ja, moderne Täuschung basiert auf Honeypots, aber die Automatisierung hat das Spielfeld verändert, um erfolgreiche und einfach zu wartende Implementierungen zu ermöglichen.  Dies ermöglicht eine Verteidigung ohne Risiko für Daten oder Ressourcen und ohne Auswirkungen auf Benutzer oder Betrieb, um Warnmeldungen mit hoher Zuverlässigkeit und wenig Fehlalarmen zu liefern.

roland.messmer@fidelissecurity.com