Attacken laufen ins Leere
Über Honeypots lässt sich zudem steuern, was Cyberkriminelle in Netzwerken sehen. Sie bieten sich etwa bei einem Port-Scan aktiv an. Die ‚unechten‘ Betriebssysteme oder Steuerungen, die auf den virtuellen Instanzen laufen, lassen sich beliebig verändern, um mit den Angreifern zu interagieren und sie so lange wie möglich auf den Honeypots zu halten. Als besonders wirksam erweisen sich die Täuschungen (Deception) bei Ransomeware-Angriffen. Gelingt es einem klassischen IDS/IPS, eine solche Attacke abzuwehren, merkt der Angreifer, das er nicht weiterkommt und sucht nach einem neuen Weg. Verschlüsselt er hingegen einen Honeypot, erstickt das den Angriff im Keim. Die Attacke läuft ins Leere und verursacht keinen Traffic mit dem Hauptnetzwerk, da nicht mit Switches, Routern oder Firewalls kommuniziert wird. Besonders relevant ist das für die OT, denn so wird die produktive Umgebung nicht beeinflusst. Mit sogenannten Honey-Boxen, die eine Vielzahl an Honeypots bündeln, lassen sich – je nach Angriffsart – mehr als 50 verschiedene Systemtypen darstellen.
Management erforderlich
Im Gegensatz zu einem automatisert ablaufenden IDS/IPS benötigt eine Honeypot-Lösung allerdings ein Management. Das System muss betreut, optimiert und überwacht werden, um bei einem Angriff reagieren zu können. Dies kann entweder durch interne Mitarbeiter oder externe Dienstleister geschehen. Der Mehrwert liegt darin, bösartige Aktivitäten zu verlangsamen. Die Zeit, in der sich ein Hacker mit einem für ihn wertlosen Köder beschäftigt, gilt es zu nutzen, um den Angriff zu entschärfen und möglichst viele Daten über den Ablauf zu sammeln. Mit diesen Informationen kann die Sicherheitsstrategie weiter verbessert werden. Unternehmen mit entsprechende Know-how und Personal decken das inhouse ab. Die Alternative sind externe Managed Services, bei denen auf Cybersecurity spezialisierte Dienstleister ihre Kapazitäten und Erfahrungen einbringen.
Mehr Sicherheit
Um Angriffe zu erkennen können Unternehmen auf ein IDS/IPS setzen, das aktuelle Momentaufnahmen von zentralen Komponenten liefert. Eine ganzheitliche Überwachung durch Honeypots eignet sich vor allem für Industriebetriebe mit komplexen oder älteren Anlagen. Sie wehren Netzwerkangriffe ab, ohne in den produktiven Bereich einzugreifen. Kombiniert mit einer Next Generation Firewall können Honeypots das Sicherheitsniveau von IT- und OT-Netzwerken deutlich erhöhen. n Head of Cybersecurity bei der Telent GmbH.