Die honeyBox^® im Einsatz gegen APT

Das APT (Advanced Persitant Threat) bezeichnet den gezielten Angriff gut ausgebildeter Hacker auf große Netzwerke oder Systeme und den damit verbundenen Datenklau oder Systemmanipulation über einen längeren Zeitraum.

Die Angriffsmethodik ist dabei gezielt durchdacht sowie langfristig angelegt und komplex ausgeführt, so dass solche Angriffe sehr schwer zu erkennen sind. Laut BSI sprechen Studien durchschnittlich von 87 bis 229 Tagen bis zur Feststellung des Angriffs, im Extremfall sogar von 2 bis 3 Jahren.

Der Einsatz der honeyBox^® kann dieses Szenario verhindern.Die honeyBox ist fähig, solche Attacken zu enttarnen und zu melden. Dabei werden unerwünschte Besucher in eine virtuelle Falle gelockt und es wird Alarm ausgelöst.

Eine Überwachung Ihres LANs mit IDS/IPS reicht nicht aus

Unternehmen benötigen verlässliche Daten über den Sicherheitsstatus ihres Netzwerks. Mit IDS/IPS ist das in der Fläche nicht realisierbar. Im Gegensatz dazu können mit Honeypots auch unerlaubte Zugriffe in der Fläche erkannt werden.

Situation: Sie haben keine flächendeckende Überwachung in Ihrem LAN im Einsatz. Angriffe auf Ihre internen Systeme können jedoch großen Schaden anrichten.

Umsetzung: Mit dem Einsatz der Honeypot Appliances erhalten Sie in kurzer Zeit eine Lösung, die speziell zum Erkennen interner Angriffe in Ihrem LAN eingesetzt wird. Veränderungen an der Netzwerkstruktur sind dabei nicht notwendig.

Ergebnis: Über die Erkennung und mögliche Aufzeichnung von Angriffen erhalten Sie jederzeit einen aktuellen Informationsstand, ob sich Angreifer in Ihrem Netzwerk betätigen. Sie können dann gegebenenfalls Maßnahmen einleiten, um den Angriff einzudämmen und zu analysieren.

Das IPS kann Lücken aufweisen, die der Hacker gezielt ausnutzt. Dann greifen in den meisen Fällen nur noch installierte Honeypots.

Was passiert aber, wenn der Angreifer die Hürde IPS bereits genommen oder umgangen hat? Die meisten Netzwerke sind dann schutzlos. Honeypots können hier Beachtliches leisten, da sie typischerweise intern in großer Zahl platziert werden.

Ein Honeypot bietet typische Dienste an und bindet mehrere IP-Adressen, ohne dass es zu Performance-Problemen kommt. Es genügt oftmals schon die Information, dass ein bestimmtes System einen Verbindungsversuch unternommen hat. Der Nachteil allerdings ist, dass nur die Angriffe registriert werden, die direkt auf einen Honeypot eingehen. Dabei erkennt der Honeypot eine sich schnell ausbreitende Schadsoftware oder automatisierte Angriffe schnell, während ein Angreifer, der gezielt mit Insider-Informationen vorgeht, unter Umständen nicht erkannt wird.

Die Entstehung der Honeypot-Idee

Die Grundidee, die zur Entstehung der Honeypot-Technologie beitrug, war die Vorstellung, Hackern eine virtuelle Falle im eigenen Netzwerk zu stellen.

Es ist nicht belegt, seit wann genau die Technik der Honeypots in der IT-Umgebung eingesetzt wird. Fakt ist, dass sie bei Clifford Stoll Erwähnung findet, der beschreibt, wie er einen Einbruch in die Daten des Lawrence Berkeley National Laboratory im August 1986 mithilfe erfundener Daten aufklärt. Der Angreifer wurde durch erfundene Daten gezwungen, solange online zu bleiben, bis die Telefonverbindung zurückverfolgt werden konnte.

Wieviel Honeypot steckt in der honeyBox^®?

Die honeyBox^® bietet die Möglichkeit, eine große Anzahl an virtuellen Honeypots zur Verfügung zu stellen. Je nach Modell sind dabei 250 bis 40.000 Honeypots auf einem Gerät möglich. Dabei werden die virtuellen Honeypots als Köder in möglichst jedem Netzwerksegment ausgerollt. Durch die hohe Skalierbarkeit der honeyBox^® ist das selbst in großen Netzen relativ einfach möglich. Während der manuellen oder automatischen Erkundung des Netzwerks treffen Eindringlinge im LAN auf virtuelle Honeypots, die sich für die Angreifer in einem schlechteren Sicherheitszustand als die übrigen Systeme darstellen. Bereits beim ersten Kontakt erfolgt die Alarmierung über verschiedene Wege. Die Meldungen lassen sich auch in übergeordnete IT-Sicherheitssysteme integrieren.