weerapat1003 - stock.adobe.com
Die Vorteile eines Cloud Honeypots für Threat Intelligence
Ein Cloud Honeypot kann eine bessere Option sein als eine traditionelle Honeypot-Bereitstellung. Erfahren Sie mehr über die Vor- und Nachteile eines Cloud-basierten Honeypots.
Unternehmen, die über eine einigermaßen vollständige Sicherheitsstruktur verfügen, einschließlich ausgereifter Threat-Intelligence-Funktionen, sollten die Implementierung eines Cloud Honeypots in Betracht ziehen.
Ein Honeypot ist eine digitale Falle, die für potenzielle Angreifer aufgestellt wird. Er lockt die Angreifer ins Innere, indem er ein Ziel nachahmt, manchmal mit absichtlich eingebauten Schwachstellen, die darauf warten, ausgenutzt zu werden. Sobald die Angreifer auf den Honeypot hereinfallen – während sie immer noch glauben, dass sie ihr beabsichtigtes Ziel erreicht haben – werden alle ihre Aktionen aufgezeichnet und alle Dateien erfasst, die sie verändern und ablegen.
Mit dieser Methode können Administratoren etwas über potenzielle Angreifer, ihre Tools, ihre Techniken und Verfahren herausfinden und wie sie versuchen würden, die tatsächlichen Sicherheitskontrollen des Unternehmens zu umgehen. Es ist eine wirklich proaktive Sammlung von Sicherheitsinformationen.
Das Problem mit Honeypots
Ein Honeypot ist eine großartige Waffe im Arsenal von defensiven Sicherheitsteams. Allerdings birgt er auch einige Herausforderungen.
Es besteht immer das Risiko, dass ein Angreifer einen Honeypot erfolgreich ausnutzt und es dann schafft, seitlich in das eigentliche Produktionsnetzwerk einzudringen. Für Administratoren ist es wichtig, einen Honeypot von allen anderen Netzwerken zu isolieren.
Eine weitere Herausforderung ist der Zeitaufwand und die Kosten für die Verwaltung eines Honeypots. Das System muss konfiguriert und gewartet werden, und das Sicherheitsteam des Unternehmens muss auf die Aktivitäten reagieren, damit es überhaupt einen Wert hat.
Es kann eine Weile dauern, einen Honeypot zu strukturieren und in die betrieblichen Abläufe einzupassen. Die gesammelten Informationen sollten zu der Art von verwertbarer Intelligenz führen, die Sicherheitsteams für die Verteidigung benötigen – zum Beispiel durch das Blockieren der gegnerischen Infrastruktur, das Erstellen von Regeln für Intrusion-Prevention-Systeme (IPS) oder das Erfassen von Malware-Signaturen.
Die Cloud nutzen
Einige dieser Herausforderungen lassen sich durch den Einsatz eines Public-Cloud-Systems zum Hosten eines Honeypots überwinden.
Die Public Cloud bietet eine vollständige Isolierung von jedem Produktionsnetzwerk. Es besteht auch keine Notwendigkeit für spezielle Hardware oder dedizierte Internetverbindungen. Sobald ein Rechner kompromittiert und die Daten gesammelt wurden, kann man einen Snapshot verwenden, um das System in den vorherigen Zustand zurückzusetzen.
Ein weiterer Vorteil der Verwendung eines Cloud Honeypots ist, dass er überall auf der Welt verteilt werden kann, indem man die gewünschten geografischen Standorte innerhalb der Cloud-Systemkonfiguration auswählt. Ein Sensor lässt sich an einem Tag in Ostasien platzieren und am nächsten Tag mit nur wenigen Mausklicks nach Deutschland verlegen.
Da sich beobachtbare Angriffe und Angreifer je nach Standort des ausgesetzten Systems unterscheiden können, eignet sich dies hervorragend für Forschungs- und Aufklärungszwecke. Ein verteiltes Honeypot-Netzwerk, das aus einem Manager und mehreren Sensoren besteht, wie zum Beispiel das Modern Honey Network, kann von dieser Flexibilität profitieren.
Einschränkungen eines Cloud Honeypots
Es besteht ein direkter Zusammenhang zwischen Platzierung und Relevanz, wenn es um Honeypots geht.
Damit ein Cloud Honeypot relevante und umsetzbaren Ergebnisse liefert, muss er mit einer Organisation verknüpft sein, an der der potenzielle Angreifer interessiert ist. Dies könnte mit einer gefälschten Unternehmenswebseite oder einem registrierten Domain-Namen geschehen. Nur dann ist die Organisation in der Lage, sehr gezielte Angriffe zu beobachten und nicht nur einfache Scans von Angreifern, die nach leichten Opfern suchen.
Wenn es möglich ist, kann die Platzierung eines Honeypots innerhalb des bestehenden Cloud-Perimeters des Unternehmens ebenfalls helfen, gezielte Angriffe zu identifizieren, aber die Isolierung muss gut durchdacht sein.
Der Einsatz von Cloud-Honeypots hat auch einen rechtlichen und politischen Aspekt. Einigen Cloud-Anbietern gefällt der Gedanke nicht, Hacker in ihre Netzwerke einzuschleusen und Malware innerhalb ihrer Infrastruktur zu sammeln. Schließlich besteht die Möglichkeit, dass ein einmal kompromittierter Host für Angriffe auf andere Ziele im Internet genutzt wird. Dies könnte den Ruf des Cloud-Anbieters schädigen, der das kompromittierte System hostet. Es könnte zudem dazu führen, dass die IP-Bereiche und Domains dieses Anbieters gesperrt werden, was sich auf seine anderen Kunden auswirken würde.
Im Zweifelsfall sollten Sie immer einen Blick in die Online-Nutzungsrichtlinien des Anbieters werfen oder ihn um Erlaubnis fragen, bevor Sie ein Cloud-basiertes Honeypot-System einrichten.
Fazit
Honeypots erfordern einen hohen Wartungsaufwand, um ihr volles Potenzial zu erreichen. Außerdem bergen sie einige Risiken.
Durch die Verwendung einer Cloud-Plattform kann zumindest das Risiko einer Kreuzkontamination zwischen einem Honeypot und einem Produktionssystem auf nahezu Null reduziert werden. Wenn man den Vorteil der erheblichen Flexibilität der Einsatzorte hinzufügt, wird die Cloud zu einer großartigen Umgebung für jede Organisation, die bereit ist, die ersten Schritte in den Bereich der Honeypot-Einsätze zu unternehmen.
