Honeypots

Grundlagen zu Honeypots

Für Honeypots gibt es viele Anwendungen und Anwendungsfälle, 防止恶意数据从关键系统传输, Frühwarnungen über einen laufenden Angriff ausgehen, 在关键系统受到影响并收集有关攻击者及其方法的信息之前. 如果蜜罐不包含真正的机密数据，并且受到良好的监控, können Sie Erkenntnisse über die Tools, 收集攻击者的战术和程序(TTP)，并收集法医和法律证据。, ohne den Rest des Netzwerks zu gefährden.

为了让蜜罐发挥作用，这个系统应该看起来合法。. Es sollte Prozesse ausführen, 如预期的那样运行在生产系统中，显然包含重要的假文件. Jedes System kann zum Honeypot werden, 如果配置了正确的嗅探和日志记录功能. Es empfiehlt sich, den Honeypot hinter die Unternehmens-Firewall zu setzen, 因此，您不仅可以确保关键的日志记录和警报功能, sondern sperren auch abgehenden Datenverkehr, damit ein kompromittierter Honeypot nicht verwendet werden kann, um andere interne Assets anzugreifen.

Forschungs- vs. Produktions-Honeypots

就目标而言，有两种类型的蜜罐:研究蜜罐和生产蜜罐. 研究蜜罐收集有关攻击的信息，专门用于调查最广泛意义上的恶意行为。. 您从您的环境和全球收集关于 Trends unter Angreifern, Malware-Versionen und Sicherheitslücken, die von Hackern aktiv anvisiert werden. Daraus können Sie Informationen für Ihre Abwehr, Patch-Priorisierung und zukünftige Investitionen ziehen.

Honeypots für die Produktion befassen sich hingegen damit, 检测和欺骗内部网络中的主动妥协. Das Sammeln von Informationen steht weiter ganz oben, 因为“蜜罐”为你创造了额外的监视能力，并在你的电脑上发现了常见的漏洞。 Identifizierung von Netzwerkscans und der Ausbreitung im Netzwerk füllen. 用于生产的蜜罐与其他生产服务器兼容，并执行服务。, die in Ihrer Umgebung normalerweise ausgeführt werden. 用于研究的蜜罐通常比用于生产的蜜罐更复杂，存储的数据类型也更多。.

Honeypot-Komplexität kann variieren.

根据您公司需求的复杂性，用于生产和研究的蜜罐被划分为不同的级别:

• Pure Honeypot: Dies ist ein komplett imitierendes Produktionssystem von voller Größe, das auf verschiedenen Servern läuft. 它包含“机密”数据和用户信息，以及许多传感器。. 尽管它们可能很复杂，维护起来也不容易。, sind die von ihnen erhältlichen Informationen unerlässlich.
• High-interaction Honeypot: Dieser ist mit einem „pure“ oder reinen Honeypot vergleichbar, da er jede Menge Services ausführt, aber nicht so komplex ist und auch nicht so viele Daten enthält. High-interaction Honeypots sind nicht dafür vorgesehen, ein komplettes Produktionssystem in seiner gesamten Größe zu imitieren, sondern sie führen (vermeintlich) alle Dienste aus, die auch in einem Produktionssystem laufen würden, einschließlich eines ordnungsgemäßen Betriebssystems. Diese Art von Honeypot ermöglicht es dem Unternehmen, das ihn bereitstellt, die Verhaltensweisen und die Methodik von Angreifern zu sehen. 高度互动的蜜罐是资源密集型的，需要一些维护。, aber die Ergebnisse machen den Extraufwand wett.
• Mid-interaction Honeypot: 它们代表了应用程序级的各个方面，但没有自己的操作系统。. Ihre Aufgabe ist es, Angreifer aufzuhalten oder zu verwirren, damit Unternehmen mehr Zeit haben, herauszufinden, wie sie auf diesen Angriff richtig reagieren.
• Low-interaction Honeypot: 这种类型的蜜罐最常用于生产环境。. 低交互蜜罐执行少量服务，主要作为攻击早期预警系统。. Sie lassen sich ganz leicht bereitstellen und instandhalten, 许多安全团队在网络的不同段中使用多个蜜罐。.

Arten von Honeypots

Mehrere, derzeit eingesetzte Honeypot-Technologien umfassen: 

• Malware-Honeypots: Diese verwenden bekannte Replikations- und Angriffsvektoren zur Erkennung von Malware. So wurden beispielsweise Honeypots (z. B. Ghost) entwickelt, um ein USB-Speichergerät nachzubilden. Wenn ein Rechner mit Malware infiziert ist, die über USB verbreitet wird, veranlasst der Honeypot die Malware, das nachgebildete Gerät zu infizieren.
• Spam-Honeypots: 它们用于模拟开放邮件分发和开放代理。. 垃圾邮件发送者首先通过发送自己的电子邮件来测试开放的邮件分发。. Wenn dies erfolgreich ist, versenden sie große Mengen an Spam. 这种类型的蜜罐可以检测到这个测试，并成功地阻止随后的大量垃圾邮件。.
• Database-Honeypot: Aktivitäten wie SQL-Injection werden häufig von Firewalls nicht erkannt, was einige Unternehmen veranlasst, eine Datenbank-Firewall zu verwenden, die Honeypots unterstützt, um Köder-Datenbanken einzurichten.
• Client-Honeypots: Die meisten Honeypots sind Server, die nach Verbindungen lauschen. Client-Honeypots suchen aktiv nach bösartigen Servern, die Client-Rechner angreifen, und überwachen verdächtige und unerwartete Änderungen am Honeypot. 这些系统通常使用虚拟化技术和遏制策略。, um die Risiken für das Forschungsteam zu minimieren.
• Honeynets: 蜂窝网络不是一个单一的系统，而是一个可以由多个蜜罐组成的网络。. Honeynets的目的是战略性地记录攻击者的方法和动机。, 同时阻止所有传入和传出的流量. 

Vorteile eines Honeypots

Honeypots bieten viele Sicherheitsvorteile für Unternehmen, die sie implementieren, einschließlich dieser:

它们破坏了攻击者的成功，减缓了攻击者的进展。.

Wenn Angreifer in Ihrer Umgebung unterwegs sind, schauen sie sich um, scannen das Netzwerk und suchen nach fehlkonfigurierten, anfälligen Geräten. 在这个阶段，他们很可能会拿出你的蜜罐。, der Sie benachrichtigt, 这样您就可以检查并阻止攻击者的访问. So können Sie reagieren, bevor der Angreifer die Chance hatte, erfolgreich Daten aus Ihrer Umgebung abzurufen. Bösartige Akteure verbringen mitunter beträchtliche Zeit damit, sich mit dem Honeypot auseinanderzusetzen, statt sich auf Bereiche mit echten Daten zu konzentrieren. Durch die Ablenkung auf ein nutzloses System werden Zyklem verschenkt, während Sie eine Frühwarnung über den laufenden Angriff erhalten.

Sie sind unkompliziert und bedürfen wenig Wartung

Moderne Honeypots lassen sich einfach herunterladen und installieren, 还可以提供关于危险错误配置和攻击者行为的准确警告消息. In einigen Fällen kommt es vor, dass Ihr Team vergisst, dass jemals ein Honeypot bereitgestellt wurde, bis jemand in Ihrem internen Netzwerk herumstochert. 与入侵检测系统不同，蜜罐不需要已知的攻击签名或最新信息。, um nützlich zu sein.

Sie helfen Ihnen, Ihre Reaktionsprozesse auf Vorfälle zu testen.

Honeypots sind eine kostengünstige Möglichkeit, den Reifegrad Ihres Sicherheitskonzepts zu erhöhen, da sie testen, ob Ihr Team weiß, was zu tun ist, wenn ein Honeypot unerwartete Aktivitäten aufdeckt. 你的团队是否能够检查警告并采取适当的行动??

蜜罐不应该是你唯一的威胁检测策略, aber sie stellen eine weitere Sicherheitsebene dar, die zur frühzeitigen Entdeckung von Angriffen hilfreich sein kann. Sie sind eine der wenigen Methoden, die Sicherheitsexperten zur Verfügung stehen, 调查现实世界中的恶意行为，揭露内部网络的妥协. Möchten Sie mehr über andere Technologiearten erfahren, die die Abwehr Ihres „blauen Teams“ stärken können? Werfen Sie einen Blick auf unsere Seite über Täuschungstechnologie.