Mopic - stock.adobe.com
Mit Honey Token Deception-Technologie unterstützen
Honey Token sind Köder, die es Security-Teams erlauben, Angriffe rechtzeitig zu erkennen und angemessen zu reagieren, sowie Informationen über die Angreifer zu erhalten.
Sobald sich Cyberkriminelle Zugang zu einem Computernetzwerk verschafft haben, versuchen sie, sensible Daten zu finden, die es zu stehlen oder zu verschlüsseln lohnt. An diesem Punkt der Angriffskette haben die Verteidiger ein Zeitfenster, um den Angriff zu erkennen und einzudämmen. Clevere Hacker wissen jedoch, wie sie Techniken anwenden können, die von normalen Netzwerkaktivitäten nicht zu unterscheiden sind.
An dieser Stelle erweisen sich Deception-Techniken, also Methoden der Täuschung, als nützlich. Verteidiger können digitale Objekte schaffen, die für Angreifer interessant aussehen, aber wie Stolperdrähte wirken und Sicherheitswarnungen des Unternehmens auslösen.
Ein Honeynet ist die größte Version dieser Art von Cyberköder, bestehend aus einem ganzen Netzwerk von Computern, die als sensible Ziele erscheinen. Die nächste Stufe ist ein Honeypot, ein einzelner Computer oder eine VM. Die granularste Form ist der Honey Token, bei dem es sich um eine einzelne Datei oder sogar eine E-Mail-Adresse oder ein Benutzerkonto handeln kann. Honey Token werden manchmal auch als Honey Credentials, Canary Traps oder Canary Tokens bezeichnet.
Wie funktionieren Honey Token?
Honey Token sind relativ einfach und kostengünstig zu implementieren. Ein Sicherheitsteam kann sie als eigenständige Tools oder als Teil eines umfassenderen Cybertäuschungsprogramms einsetzen.
Honey Token funktionieren zwar auf unterschiedliche Weise, aber das Ziel ist im Allgemeinen, sie so einzusetzen, dass kein legitimer Benutzer einen Grund hat, auf sie zuzugreifen. Wenn das Sicherheitsteam dann eine Warnung erhält, dass jemand auf einen Honey Token zugegriffen hat, weiß es, dass mit ziemlicher Sicherheit ein Angriff im Gange ist. Da Täuschungs-Tools wie Honey Token eine niedrige Falsch-Positiv-Rate haben, tragen sie in der Regel nicht zur Ermüdung des Sicherheitsteams bei.
Verteidiger versuchen in der Regel, diese Köder so attraktiv wie möglich zu gestalten - daher der Name Honey Token. Einem Angreifer würde es zum Beispiel schwer fallen, dem Öffnen einer Datei namens passwords.xlsx zu widerstehen.
Einige Arten von Honey Token sammeln aktiv Informationen, um böswillige Hacker zu identifizieren, beispielsweise deren IP-Adressen oder eindeutige Fingerabdrücke von deren Browsern. Dies kann über eine ausführbare Datei oder ein verstecktes verlinktes Bild in einem Dokument geschehen, das bei der Ausführung Daten extrahiert und an das Sicherheitsteam sendet.
Ein zusätzlicher Vorteil von Täuschungsfallen wie Honey Token besteht darin, dass sie Informationen über die Taktiken, Techniken und Verfahren der Angreifer preisgeben können. Zum Beispiel über die Methoden, mit denen sie sich im Netz bewegen und wie sie andere Erkennungstechniken umgehen. Das Verteidigungsteam kann die Methoden der Angreifer studieren und seine Cyberabwehr entsprechend anpassen.
Defensivteams verwenden Honey Token auch als Lockmittel, die einen Angreifer von sensiblen Daten weg und zu anderen Ködern führen.
Verschiedene Arten von Honey Token
Zu den Honey Token gehören die folgenden Arten von Täuschungsobjekten:
- Anmeldedaten (Credentials). Das Sicherheitsteam kann Dummy-Benutzernamen, Kennwörter, API-Schlüssel, Zugriffstoken und andere Anmeldeinformationen in verschiedenen Anwendungen und Systemen hinterlegen. Wenn jemand versucht, sie zu verwenden, weiß das Sicherheitsteam, dass ein Angriff im Gange ist.
- Datenbankeinträge. Gefälschte, scheinbar hochwertige Datenbankeinträge, einschließlich Kunden- oder Mitarbeiteranmeldedaten und Finanzinformationen, sollten nicht dem Zugriff unterliegen. Wenn jemand auf sie zugreift, deutet dies auf böswillige Aktivitäten hin.
- Dokumente. Dummy-Word-Dokumente, Excel-Dateien, PDFs und andere Dokumente, die scheinbar sensible Informationen enthalten, fungieren als Alarmsysteme, die Sicherheitsteams auf mögliche Eindringlinge oder Insider-Bedrohungen aufmerksam machen.
- E-Mail-Adressen. Wenn eine inaktive Schein-E-Mail-Adresse, die nur als interner Honey Token existiert, anfängt, Phishing-E-Mails zu erhalten, wissen die Verteidiger, dass die Angreifer sie durch ein Eindringen oder eine Insider-Bedrohung gefunden haben.
- Ausführbare Dateien. Bei ausführbaren Dateien handelt es sich um Softwareprogramme, die, wenn sie ausgelöst werden, automatisch identifizierende Informationen wie die Namen und IP-Adressen der Bedrohungsakteure sammeln können. Beachten Sie jedoch, dass ausführbare Dateien möglicherweise nicht funktionieren, wenn die Angreifer ihre eigenen Maßnahmen zur Cyberabwehr getroffen haben.
- Web Beacons. Ein Web Beacon ist ein verstecktes digitales Objekt, beispielsweise ein transparentes Bild oder ein einzelnes Tracking-Pixel, das mit einer eindeutigen URL verknüpft ist. Wenn ein Angreifer eine Datei öffnet, die einen Web Beacon enthält, löst er automatisch und heimlich eine Serveranfrage aus, die das Sicherheitsteam alarmiert und möglicherweise Informationen über den Bedrohungsakteur liefert.
Bewährte Verfahren für Honey Token
Bei der Umsetzung einer Cybertäuschungsstrategie und dem Einsatz von Honey Token sollten Sie die folgenden Best Practices beachten.
Platzierung
Es ist am besten, die Honey Token dort zu konzentrieren, wo Bedrohungsakteure sie am ehesten finden und angreifen können. Das sind in der Regel potenzielle Zugangspunkte zum Netzwerk, wie beispielsweise das VPN, und Bereiche des Netzwerks, in denen sich die sensibelsten Daten des Unternehmens befinden.
Glaubwürdigkeit
Cyberkriminelle wissen, dass Unternehmen Täuschungstechniken einsetzen, und sind daher vorsichtig, wenn sie mit offensichtlich verdächtigen Dateien interagieren. Möglicherweise meiden sie mögliche Honey Token vollständig oder analysieren die Metadaten, um zu sehen, ob sie realistisch aussehen. Daher ist es von entscheidender Bedeutung, alle Täuschungsmechanismen - ob Honey Token, Honeypots oder Honeynets - so einzusetzen, dass sie mit den echten Ressourcen im Netzwerk verschmelzen.
Die Sicherheitsteams sollten die Honey Token regelmäßig aktualisieren, um eine optimale Glaubwürdigkeit zu gewährleisten.
Alarmierung
Honey Token sind nutzlos, wenn das Security-Team nicht weiß, wann jemand auf sie zugreift, und wenn es nicht in der Lage ist, eine Reaktion auf einen Zwischenfall einzuleiten. Stellen Sie sicher, dass Honey Token in bestehende Überwachungstools integriert werden oder über einen anderen zuverlässigen Mechanismus verfügen, um das Sicherheitsteam in Echtzeit zu alarmieren.