Unternehmen tun heute ihr Bestes, um Cyberkriminellen und böswilligen Angriffen voraus zu sein, und dabei ist es unerlässlich, mit neuen Sicherheitstools und Sicherheitsstrategien Schritt zu halten. Unter den herkömmlich angewendeten Praktiken spielen Täuschungsmethoden eine bedeutende Rolle. Dabei werden oft Köder oder Fallen eingesetzt, um Angreifer in die Irre zu führen. Herkömmliche Täuschungsverfahren führen jedoch oft zu mehr Komplexität bei Bereitstellung und Betrieb, höherem Risiko und langsamerer Identifizierung von Bedrohungen.

Eine effiziente und sicherere Alternative zu herkömmlichen Täuschungsmethoden sind Honeytoken. Honeytoken helfen bei der schnellen Erkennung böswilliger Aktivitäten und können oft als Frühwarnsystem für das Sicherheitsteam dienen.

In diesem Beitrag erklären wir, wie Honeytoken funktionieren, und beschreiben Best Practices für ihre Implementierung und Auswahl aus den Tools in Ihrem Sicherheitsarsenal.

Definition von Honeytoken

Honeytoken sind digitale Ressourcen, die so angelegt sind, dass sie für Angreifer attraktiv sind, aber auf eine unbefugte Nutzung hinweisen. Sie erfüllen keine eigentliche Funktion in Ihren Systemen. Sie können jedoch eine Warnung bei einem potenziell unbefugten Zugriff auslösen.

Honeytoken können viele Formen annehmen, darunter:

  • Dokumente: Dateien, die so aussehen, als enthielten sie sensible Informationen (wie Finanzdaten oder geistiges Eigentum), und eine Warnung auslösen, wenn sie geöffnet werden.
  • Datenbankeinträge: Dummy-Datensätze in einer Datenbank mit scheinbar wertvollem Inhalt (wie Kundeninformationen, Geschäftsdaten oder Mitarbeiteranmeldeinformationen), die auf einen Angriff hinweisen, wenn darauf zugegriffen wird.
  • Anmeldeinformationen: Gefälschte Nutzernamen, E-Mail-Adressen und Kennwörter, die strategisch in Anwendungen oder Konfigurationsdateien platziert werden können und bei Verwendung auf mögliche böswillige Aktivitäten hinweisen.
  • Token: Zugriffstoken oder API-Schlüssel, die bei Verwendung mögliche böswillige Aktivitäten signalisieren.

Der primäre Zweck eines Honeytokens ist es, unbefugten Zugriff auf Ressourcen oder ihre unbefugte Nutzung zu erkennen. Diese Erkennung ermöglicht zusammen mit einem Warnmechanismus eine schnelle Reaktion auf Zwischenfälle.

Honeytoken und Honeypots im Vergleich

Trotz der Ähnlichkeit zwischen Honeytoken und Honeypots gibt es bedeutende Unterschiede. Ein Honeypot ist ein Ködersystem, das Cyberangreifer anlocken soll. Ein Honeypot ahmt ein echtes System nach, zum Beispiel einen Server, eine Anwendung oder ein Netzwerk, enthält jedoch offensichtliche Sicherheitslücken, die von einem Sicherheitsteam genau überwacht werden. Wenn böswillige Akteure mit einem Honeypot interagieren, kann das Sicherheitsteam ihre Angriffsmethoden beobachten und verstehen lernen. Anhand dieser Erkenntnisse kann das Sicherheitsteam dann Gegenmaßnahmen vorbereiten.

Im Unterschied zu Honeypots sind Honeytoken lediglich Datenobjekte, die Angreifer anlocken sollen. Honeytoken werden in einem Datensatz oder System platziert. Ihre einzige legitime Funktion besteht darin, einen unbefugten Zugriff zu signalisieren, um das Sicherheitsteam auf potenzielle Angriffe aufmerksam zu machen. Honeytoken dienen nicht nur zur frühzeitigen Erkennung böswilliger Aktivitäten, sondern helfen Sicherheitsteams auch dabei, Angriffsvektoren und -muster in ihren Systemen besser zu verstehen. Durch Anlocken von Angreifern und Analysieren ihrer Angriffspfade gewinnen Unternehmen Informationen über die Vorgehensweise von Angreifern und können ihre Sicherheit verstärken, indem sie entsprechende Richtlinien durchsetzen.

Weitere Informationen

Schwachstellen beim Active Directory stellen für Unternehmen einen wachsenden Risikofaktor dar, da sich Angreifer immer mehr auf Identitäten konzentrieren. In dem Maße, in dem Angreifer ihre Taktiken kontinuierlich weiterentwickeln, müssen wir unsere kollektiven Abwehrmaßnahmen entsprechend weiterentwickeln. Blog: CrowdStrike schützt Kunden jetzt mit innovativer Identitätssicherheit und stoppt Angriffe

Funktionsweise von Honeytoken

Honeytoken nutzen die Neugier von Angreifern und ihren Wunsch aus, auf wertvolle Ressourcen zuzugreifen. Sie präsentieren sich als legitime und wertvolle Assets und wirken daher für Angreifer verlockend, die davon ausgehen, dass sie auf etwas Wertvolles gestoßen sind. In Wirklichkeit aber haben sie dadurch eine Falle ausgelöst, die das Sicherheitsteam benachrichtigt.

Um Honeytoken effektiv nutzen zu können, muss sich ein Unternehmen auf deren strategische Platzierung, Erkennung und Reaktion konzentrieren.

Platzierung von Honeytoken

Durch ihre strategische Platzierung in Anwendungen, Systemen oder Netzwerken sollen Honeytoken authentische Ressourcen nachahmen, die für Angreifer attraktiv sind. Bei der Platzierung muss ein Unternehmen zuerst risikoreiche oder hochwertige Ressourcen identifizieren, die als Angriffsziele dienen könnten. Dabei kann es sich um Datenbanken mit sensiblen Kundeninformationen oder Ordner auf einem Server handeln, die vermeintliches geistiges Eigentum enthalten.

Sobald die potenziellen Ziele identifiziert wurden, werden die Honeytoken neben echten Assets platziert oder in Anwendungen oder Systeme eingebettet. So können Honeytoken in Form von Dokumenten Dateinamen und Inhalte aufweisen, die echten sensiblen Dokumenten ähneln, oder es werden echt wirkende (aber falsche) Anmeldeinformationen in Konfigurationsdateien eingebettet.

Eine sorgfältige Platzierung von Honeytoken sorgt dafür, dass sie sich unauffällig in legitime Ressourcen einfügen, was die Wahrscheinlichkeit erhöht, dass ein Angreifer mit ihnen interagiert.

Erkennung von Honeytoken

Der Einsatz von Honeytoken ist nur dann effektiv, wenn sie bei einem Zugriff oder einer Verwendung Warnungen auslösen. Da Honeytoken nur für den Zugriff durch unbefugte Nutzer bestimmt sind, wird jede Aktivität, die an einem Honeytoken ausgeführt wird, als verdächtig betrachtet. Das heißt, dass es in einem Erkennungs- und Warnsystem keine falsch positiven Erkennungen gibt. Angriffserkennungssysteme (IDS, Intrusion Detection Systems) oder Tools für das Sicherheitsinformations- und Ereignismanagement (SIEM) können so konfiguriert werden, dass sie die Nutzung von Honeytoken verfolgen und Warnungen generieren.

Reaktion auf Zwischenfälle

Wenn ein Honeytoken ausgelöst wurde, kann das Sicherheitsteam seinen Plan zur Reaktion auf Zwischenfälle ausführen. Dieser Prozess kann das Erfassen von Informationen über den Angreifer (wie seine IP-Adresse), die Rückverfolgung seiner Zugriffsmuster und die Bestimmung des Ausmaßes des Zugriffs in den Systemen des Unternehmens umfassen. Zudem kann das Sicherheitsteam angrenzende (und potenziell kompromittierte) Ressourcen sperren.

Während der Hauptzweck von Honeytoken darin besteht, einen Angriff schnell zu erkennen, kann das Sicherheitsteam damit auch wertvolle Informationen gewinnen, die bei der Verbesserung der allgemeinen Sicherheit des Unternehmens helfen.

Best Practices für die Implementierung von Honeytoken

Berücksichtigen Sie bei der Implementierung von Honeytoken die folgenden Best Practices:

Wahl der richtigen Art von Honeytoken

Bestimmen Sie, welche Art von Honeytoken für die Ressourcen und potenziellen Bedrohungen des Unternehmens am relevantesten ist. Wenn Ihr Unternehmen zum Beispiel einem hohen Risiko unbefugter Datenbankzugriffe ausgesetzt ist, empfiehlt sich die Verwendung von Datenbank-Honeytoken in Form von scheinbar wertvollen Dummy-Datensätzen. Konzentrieren Sie sich zunächst auf die Bedrohungen mit der höchsten Priorität und wählen Sie dann Honeytoken aus, die bei der Erkennung böswilliger Aktivitäten in diesen Bereichen helfen.

Platzierung von Honeytoken

Honeytoken müssen an wahrscheinlichen Angriffszielen platziert werden. Die strategische Platzierung soll es Angreifern erschweren, zwischen echten und falschen Assets zu unterscheiden. Beispielsweise können Honeytoken neben echten Identitäten, Daten oder Ressourcen platziert werden.

Integration von Honeytoken in die vorhandene Sicherheitsinfrastruktur

Da die Effektivität von Honeytoken auf ihrer Erkennung beruht, müssen Unternehmen die Erkennung des Zugriffs auf Honeytoken in ihre vorhandenen Sicherheitstools und ihre Infrastruktur integrieren. Unternehmen, die mit einem Cybersicherheitspartner zusammenarbeiten, sollten Tools wie Identity Protection (IDP) einsetzen, damit die Überwachung von Honeytoken und eine Warnung bei einem Zugriff sichergestellt ist.

Regelmäßige Aktualisierung und Pflege von Honeytoken

Erstellen Sie einen Plan für die regelmäßige Überprüfung und Aktualisierung von Honeytoken. So ist gewährleistet, dass sie wirksam und relevant bleiben. Durch Ändern des Inhalts von entsprechenden Dokumenten, Anmeldeinformationen und Token kann ein Unternehmen seine Honeytoken stets den aktuellen Sicherheitspraktiken und organisatorischen Veränderungen anpassen. Honeytoken müssen vom Sicherheitsteam ordnungsgemäß dokumentiert werden. Unternehmen müssen sich außerdem bewusst sein, dass ein Angriff auf Honeytoken auch von internen Quellen wie Mitarbeitern stammen kann. Diese Angriffe dürfen nicht ignoriert werden, denn sie können auf böswilliges Verhalten eines Mitarbeiters oder darauf hinweisen, dass ein Angreifer sich mithilfe gültiger Mitarbeiter-Anmeldeinformationen Zugriff verschafft hat.

Weitere Informationen

Sehen Sie sich an, welche erweiterten Funktionen CrowdStrike Falcon Identity Protection bietet, um Angreifer mit Honeytoken gefahrlos anzulocken, zu erkennen und abzuwehren, das Risiko von Kontoschwachstellen durch die sofortige Sichtbarkeit von doppelten Kennwörtern zu reduzieren und den Active Directory-Schutz durch Transparenz bei Erkennungen über das SMB-Protokoll zu verstärken. Video: CrowdStrike Falcon Identity Protection: Bessere Einblicke in das Verhalten von Angreifern

Fazit

Unter den Tools, die von Sicherheitsteams in der modernen Cybersicherheit verwendet werden, kommen Honeytoken immer häufiger zum Einsatz. Sie dienen als Alternative zu herkömmlichen Täuschungsmethoden, denn sie sind schlank, wartungsfreundlich und können sofort Informationen über böswillige Aktivitäten liefern. Strategisch platziert, ermöglichen Honeytoken die frühzeitige Erkennung von Angriffen. Und in Kombination mit den vorhandenen Sicherheitstools eines Unternehmen können sie sich von unschätzbarem Wert in der Toolpalette eines Sicherheitsteams erweisen.

Honeytoken-Funktionen in CrowdStrike Falcon Identity Protection

CrowdStrike Falcon® Identity Protection bietet eine erweiterte Honeytoken-Funktion zur Verstärkung der Sicherheitsmaßnahmen. Nutzer können (anhand unserer Empfehlungen) Honeytoken-Konten erstellen, die als Köder für potenzielle Angreifer dienen. Jede Interaktion mit diesen Honeytoken löst eine detaillierte Warnmeldung aus. Sicherheitsteams erhalten ausführliche Einblicke in den Angriffspfad und die von Angreifern verwendeten Methoden. Bei der Arbeit mit Microsoft Active Directory (AD) können Nutzer von CrowdStrike Falcon® Identity Protection Konten in AD als Honeytoken markieren, ohne dass zusätzliche Konfigurationsressourcen erforderlich sind. Sie verfügen außerdem über strenge Kontrollen für diese Honeytoken-Konten mit integrierten Durchsetzungsrichtlinien. So wird es für Unternehmen sicherer, kalkulierbare Risiken einzugehen.