Erkennung von Honeypot-Zugriffen mit Varonis

Datensicherheit

Honeypot-Zugriffen

Honeypots sind Fallen, die das Blue Team (Verteidiger) im gesamten Netzwerk verteilt, um potenzielle böswillige Akteure zu fangen, die Daten stehlen oder Berechtigungen eskalieren möchten. Als Honeypot kann beispielsweise ein Ordner mit gefälschten, aber verlockend aussehenden, Daten oder ein Benutzerkonto mit höheren Privilegien als das aktuelle Angreiferkonto dienen. Jeder Zugriff auf einen Honeypot ist eine potenzielle Bedrohung und sollte die Alarmglocken läuten lassen.

Honeypots sind zwar einerseits eine effektive Methode, um Angreifer zu fangen. Andererseits können sie aber auch die Aufmerksamkeit von unschuldigen Insidern auf sich ziehen, die vielleicht einfach etwas zu neugierig sind. Daher ist es wichtig, Honeypots mit anderen Erkennungsmethoden zu kombinieren.

Mit Varonis können Sie benutzerdefinierte Alarme erstellen, die ausgelöst werden, wenn jemand an Ihrem Honeypot aktiv wird. So erhält Ihr Vorfallsreaktionsteam eine Vorwarnung darüber, dass jemand im Netzwerk herumschnüffelt. Dank dem robusten Audit-Trail von Varonis können Sie anschließend schnell untersuchen, ob dieser Zugriff unbedenklich oder böswillig ist. So können Sie schnell tätig werden, um echte sensible Daten zu schützen.

Dieser Blog zeigt Ihnen, wie Sie einen Varonis-Alarm für einen Honeypot einrichten und einen Angreifer mithilfe von Varonis-Audit-Daten aufspüren können.

Erstellen des Honeypots mit einem benutzerdefinierten Echtzeit-Alarm

DatAlert bietet Funktionen zur Erkennung von Bedrohungen für die Varonis Data Security Platform . Zusätzlich zu den erweiterten Analysen des Benutzerverhaltens und den vordefinierten Bedrohungsmodellen können Sie auch benutzerdefinierte Alarme erstellen.

Zunächst müssen Sie einen Honeypot erstellen. Es gibt mehrere Arten von Honeypots, über die Sie in dieser akademischen Studie mehr erfahren können. Heute werden wir für unsere Zwecke einen Honeypot mit geringer Interaktionsrate verwenden, in diesem Fall eine verlockende Datei in einem unsicheren Ordner.

Zweitens müssen Sie einen benutzerdefinierten Alarm für Ihren Honeypot erstellen.

In DatAdvantage können Sie die „Tools“ in der Menüleiste und anschließend DatAlert auswählen, um den Konfigurationsdialog für DatAlert zu öffnen.

Klicken Sie auf das grüne Plus, um das Dialogfeld zu öffnen und einen neuen Alarm hinzuzufügen.

Geben Sie auf der Registerkarte „Allgemein“ den Namen der neuen Regel ein und wählen Sie den Schweregrad aus. Für einen Honeypot sollte das „4 – Warnung“ sein. Wählen Sie Ihre Alarmkategorie und die Art der Ressource, in der sich Ihr Honeypot befindet, im Dropdown-Menü „Ressourcentyp“ aus – ich habe „Laterale Bewegung“ ausgewählt. Sie können die restlichen Optionen auf den Standardwerten belassen.

Überspringen Sie die Registerkarte „Wer“, denn wir möchten, dass dieser Alarm ausgelöst wird, wenn eine beliebige Person auf den Honeypot zugreift.

Wählen Sie das Verzeichnis „Server“ und „Honeypot“ auf der Registerkarte „Wo“ aus.

Wählen Sie auf der Registerkarte „Was“ die Ereignisse für den Datei- und Ordnerzugriff aus.

Wechseln Sie zur Registerkarte „Alarmmethode“, um Anweisungen für den Fall auszuwählen, dass dieser Alarm ausgelöst wird. Möglich sind etwa das Versenden von E-Mails, das Auslösen von Alarmen in SIEMs oder das Ausführen eines PowerShell-Skripts. Wir verwenden Skripte, um Benutzerkonten zu deaktivieren und dann die zugehörigen Computer herunterzufahren, um sie aus dem Netzwerk zu entfernen.

Klicken Sie auf „Anwenden“ und warten Sie, bis jemand auf den Honeypot hereinfällt.

um den Vorfall aufzuklären

Wenn ein Benutzer den Alarm auslöst, können Sie über die WebUI ein Gesamtbild seiner Bewegungen durch Ihr Netzwerk erstellen. Nicht-böswillige Benutzer können einfach aus natürlicher Neugier in den Honeypot fallen. Dadurch werden vermutlich einige Fehlalarme ausgelöst. Ein Blick auf die Details des Alarms hilft, diese auszusortieren.

Stellen Sie in der WebUI den Aktivitätsfilter auf den Benutzer, der in den Honeypot gefallen ist.

Dank den zahlreichen Audit-Daten können Sie die Schritte des Benutzers ganz einfach nachvollziehen. Diese forensischen Daten sind für die Benachrichtigungspflicht bei Datenschutzverletzungen von entscheidender Bedeutung und können bei der Behebung eines Cyberangriffs helfen.

Bessere Sicherheit mit Verhaltensanalysen

Honeypots können wichtige taktische Werkzeuge sein, aber sie sind nicht lernfähig. Allgemein sollten Sie sich nicht auf Honeypots verlassen, um fortschrittliche Bedrohungsakteure zu erkennen. Dynamische, verhaltensbasierte Bedrohungsmodelle wie jene, die standardmäßig in DatAlert enthalten sind, können heimliche Angreifer deutlich effizienter und mit wenigen Fehlalarmen erkennen.

Anstatt künstliche Honeypots einzurichten, kann DatAlert erkennen, wenn Benutzer auf abnormale Weise auf echte Daten zugreifen – wenn also z. B. ein Systemadministrator den Posteingang des Geschäftsführers liest und Nachrichten anschließend als ungelesen markiert, oder wenn ein Dienstkonto auf sensible Office-Dokumente und anschließend zum ersten Mal auf das Internet zugreift.

Melden Sie sich für eine Varonis-Demo an, um unseren neuartigen Ansatz für Cyber-Security in Aktion zu sehen.

 

 

Jeff Petters

Jeff Petters

Jeff has been working on computers since his Dad brought home an IBM PC 8086 with dual disk drives. Researching and writing about data security is his dream job.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990