suppakij1017 - Fotolia

F

Wie Unternehmen von aktiven Verteidigungs-Maßnahmen profitieren können

Bei einer aktiven Verteidigung wird versucht, per Honeypots Angreifer zu stoppen. Die richtigen Tools dafür sind beispielsweise Artillery und Nova.

Aktive Verteidigungssysteme in privaten Netzwerken nutzen gezielte Täuschungsmaßnahmen, um Angreifer zu identifizieren und um sie dabei zu hindern, Informationen über ein Unternehmensnetz zu sammeln. Die Linux-Variante Active Defense Harbinger Distribution (ADHD) enthält mehrere vorkonfigurierte Lösungen, um aktive Verteidigungsmaßnahmen durchführen zu können.

So lässt sich etwa das in Python geschriebene Open-Source-Tool Artillery zur aktiven Verteidigung nutzen. Das Werkzeug verfügt über Honeypot-Fähigkeiten, überwacht das Dateisystem, schützt vor DoS-Attacken (Denial of Service) und kann Threat Intelligence Feeds erstellen. Die Installation von Artillery in einem Netzwerk hat dabei keine störenden Einflüsse auf die Umgebung.

Administratoren können eigene IDS-Regeln (Intrusion Detection System) erstellen, um immer dann einen Alarm auszulösen, wenn auf einen der Artillery-Ports ein Verbindungsversuch unternommen wird. Alle Verbindungen zu diesen Ports werden automatisch als bösartig eingestuft, außer sie befinden sich auf einer Whitelist. Die Alarmmeldungen können dann an ein SIEM-System (Security Information and Management) weitergereicht werden, um sie dort auszuwerten.

Die mit Artillery möglichen aktiven Verteidigungsmaßnahmen reichen für einen umfassenden Schutz aber noch nicht aus. Mit Nova (Network Obfuscation and Virtualized Anti-Reconnaissance System) lassen sich mehrere virtuelle Honeypots von einer einzigen Management-Konsole aus starten und verwalten.

Angreifer abfangen

Nova kann zahlreiche ungenutzte IP-Adressen in einem virtuellen Host verwalten. Angreifer müssen sich dann erst durch diese IP-Adressen mit Honeypots kämpfen, bevor sie die anvisierten Systeme erreichen können. Sobald ein Angreifer einen von Nova verwalteten Port scannt, kann er von der Software und abhängig von den festgelegten IDS-Regeln als verdächtig eingestuft und die von ihm verwendete IP-Adresse in Quarantäne verschoben werden.

Ebenso wie Artillery kann Nova Protokolldateien an ein SIEM-System weiterleiten, um Ereignisse aus verschiedenen Quellen miteinander vergleichen zu können. Auf diese Weise lassen sich ebenfalls Angreifer identifizieren. In einer SIEM-Lösung können die Alarmmeldungen von Nova und anderen IDS-Systemen genutzt werden, um die IP-Adresse des Angreifers festzustellen. Das Incident-Response-Team kann die Ereignisse dann nutzen, um herauszufinden, wie die Angreifer ins Netzwerk gelangen konnten, was sie dort getan haben und welche weiteren Aktivitäten sie unternommen haben, um Informationen zu sammeln.

Wenn ein Unternehmensnetz kontinuierlich angegriffen wird, sollten aktive Verteidigungsmaßnahmen in jedem Fall in Betracht gezogen werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Honeypots einsetzen – die Aktivitäten eines Angreifers verfolgen

Lohnen sich für Unternehmen noch demilitarisierte Zonen?

Was sind die besten Linux-Tools zur Abwehr von Angreifern im LAN?

Microsoft NetCease: Angreifer im LAN per PowerShell-Skript stoppen

Artikel wurde zuletzt im Mai 2017 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close