Sobald sich Cyberkriminelle Zugang zu einem Computernetzwerk verschafft haben, versuchen sie, sensible Daten zu finden, die es zu stehlen oder zu verschlüsseln lohnt. An diesem Punkt der Angriffskette haben die Verteidiger ein Zeitfenster, um den Angriff zu erkennen und einzudämmen. Clevere Hacker wissen jedoch, wie sie Techniken anwenden können, die von normalen Netzwerkaktivitäten nicht zu unterscheiden sind.

An dieser Stelle erweisen sich Deception-Techniken, also Methoden der Täuschung, als nützlich. Verteidiger können digitale Objekte schaffen, die für Angreifer interessant aussehen, aber wie Stolperdrähte wirken und Sicherheitswarnungen des Unternehmens auslösen.

Ein Honeynet ist die größte Version dieser Art von Cyberköder, bestehend aus einem ganzen Netzwerk von Computern, die als sensible Ziele erscheinen. Die nächste Stufe ist ein Honeypot, ein einzelner Computer oder eine VM. Die granularste Form ist der Honey Token, bei dem es sich um eine einzelne Datei oder sogar eine E-Mail-Adresse oder ein Benutzerkonto handeln kann. Honey Token werden manchmal auch als Honey Credentials, Canary Traps oder Canary Tokens bezeichnet.

Einige Arten von Honey Token sammeln aktiv Informationen, um böswillige Hacker zu identifizieren, beispielsweise deren IP-Adressen oder eindeutige Fingerabdrücke von deren Browsern. Dies kann über eine ausführbare Datei oder ein verstecktes verlinktes Bild in einem Dokument geschehen, das bei der Ausführung Daten extrahiert und an das Sicherheitsteam sendet.

Verteidiger versuchen in der Regel, diese Köder so attraktiv wie möglich zu gestalten - daher der Name Honey Token. Einem Angreifer würde es zum Beispiel schwer fallen, dem Öffnen einer Datei namens passwords.xlsx zu widerstehen.

Honey Token funktionieren zwar auf unterschiedliche Weise, aber das Ziel ist im Allgemeinen, sie so einzusetzen, dass kein legitimer Benutzer einen Grund hat, auf sie zuzugreifen. Wenn das Sicherheitsteam dann eine Warnung erhält, dass jemand auf einen Honey Token zugegriffen hat, weiß es, dass mit ziemlicher Sicherheit ein Angriff im Gange ist. Da Täuschungs-Tools wie Honey Token eine niedrige Falsch-Positiv-Rate haben, tragen sie in der Regel nicht zur Ermüdung des Sicherheitsteams bei.

Bewährte Verfahren für Honey Token

Bei der Umsetzung einer Cybertäuschungsstrategie und dem Einsatz von Honey Token sollten Sie die folgenden Best Practices beachten.

Platzierung

Es ist am besten, die Honey Token dort zu konzentrieren, wo Bedrohungsakteure sie am ehesten finden und angreifen können. Das sind in der Regel potenzielle Zugangspunkte zum Netzwerk, wie beispielsweise das VPN, und Bereiche des Netzwerks, in denen sich die sensibelsten Daten des Unternehmens befinden.

Glaubwürdigkeit

Cyberkriminelle wissen, dass Unternehmen Täuschungstechniken einsetzen, und sind daher vorsichtig, wenn sie mit offensichtlich verdächtigen Dateien interagieren. Möglicherweise meiden sie mögliche Honey Token vollständig oder analysieren die Metadaten, um zu sehen, ob sie realistisch aussehen. Daher ist es von entscheidender Bedeutung, alle Täuschungsmechanismen - ob Honey Token, Honeypots oder Honeynets - so einzusetzen, dass sie mit den echten Ressourcen im Netzwerk verschmelzen.

Die Sicherheitsteams sollten die Honey Token regelmäßig aktualisieren, um eine optimale Glaubwürdigkeit zu gewährleisten.

Alarmierung

Honey Token sind nutzlos, wenn das Security-Team nicht weiß, wann jemand auf sie zugreift, und wenn es nicht in der Lage ist, eine Reaktion auf einen Zwischenfall einzuleiten. Stellen Sie sicher, dass Honey Token in bestehende Überwachungstools integriert werden oder über einen anderen zuverlässigen Mechanismus verfügen, um das Sicherheitsteam in Echtzeit zu alarmieren.