Wie können Sie Hacker erkennen, die auf Ihre Systeme zugreifen? Honeytokens könnten die Antwort sein. Folgendes müssen Sie wissen:
Jedes Unternehmen, das private Informationen speichert, ist ein potenzielles Ziel für Hacker. Sie nutzen eine Reihe von Techniken, um auf sichere Netzwerke zuzugreifen, und sind motiviert durch die Tatsache, dass gestohlene persönliche Daten verkauft oder als Lösegeld gehalten werden können.
Alle verantwortungsbewussten Unternehmen ergreifen Maßnahmen, um dies zu verhindern, indem sie den Zugriff auf ihre Systeme so schwer wie möglich gestalten. Eine Option, die viele Unternehmen jedoch übersehen, ist die Verwendung von Honeytokens, mit denen bei jedem Einbruch eine Warnung ausgegeben werden kann.
Was sind Honeytokens und sollte Ihr Unternehmen sie verwenden?
Was sind Honeytokens?
Honeytokens sind gefälschte Informationen, die sicheren Systemen hinzugefügt werden, sodass bei der Entnahme durch einen Eindringling eine Warnung ausgelöst wird.
Honeytokens dienen in erster Linie dazu, einfach zu sein
zeigen, dass ein Einbruch stattfindet, aber einige Honeytokens sollen auch Informationen über Eindringlinge liefern, die möglicherweise deren Identität preisgeben.Honeytokens vs. Honeypots: Was ist der Unterschied?
Honeytokens und Honeypots basieren beide auf der gleichen Idee. Durch das Hinzufügen gefälschter Assets zu einem System ist es möglich, vor Eindringlingen gewarnt zu werden und mehr über sie zu erfahren. Der Unterschied besteht darin, dass es sich bei Honeytokens um gefälschte Informationen handelt, bei Honeypots jedoch um gefälschte Systeme.
Während ein Honeytoken die Form einer einzelnen Datei haben kann, kann ein Honeypot die Form eines ganzen Servers annehmen. Honeypots sind deutlich ausgefeilter und können Eindringlinge stärker ablenken.
Arten von Honeytokens
Es gibt viele verschiedene Arten von Honeytokens. Je nachdem, welches Sie verwenden, können Sie möglicherweise unterschiedliche Informationen über einen Eindringling erfahren.
E-mailadressen
Um eine gefälschte E-Mail-Adresse als Honeytoken zu verwenden, erstellen Sie einfach ein neues E-Mail-Konto und speichern Sie es an einem Ort, auf den ein Eindringling zugreifen könnte. Gefälschte E-Mail-Adressen können ansonsten legitimen Mailservern und persönlichen Geräten hinzugefügt werden. Vorausgesetzt, dass das E-Mail-Konto nur an diesem einen Ort gespeichert ist, wissen Sie, dass ein Einbruch stattgefunden hat, wenn Sie E-Mails an dieses Konto erhalten.
Datenbankeinträge
Einer Datenbank können gefälschte Datensätze hinzugefügt werden, sodass ein Eindringling diese stehlen kann, wenn er auf die Datenbank zugreift. Dies kann nützlich sein, um einem Eindringling falsche Informationen zu liefern, ihn von wertvollen Daten abzulenken oder den Einbruch zu erkennen, wenn der Eindringling auf die falschen Informationen verweist.
Ausführbare Dateien
Eine ausführbare Datei eignet sich ideal für die Verwendung als Honeytoken, da sie so eingestellt werden kann, dass sie Informationen über jeden preisgibt, der sie ausführt. Ausführbare Dateien können zu Servern oder persönlichen Geräten hinzugefügt und als wertvolle Daten getarnt werden. Wenn es zu einem Einbruch kommt und der Angreifer die Datei stiehlt und auf seinem Gerät ausführt, können Sie möglicherweise seine IP-Adresse und Systeminformationen erfahren.
Web-Beacons
Ein Web-Beacon ist ein Link in einer Datei zu einer kleinen Grafik. Wie eine ausführbare Datei kann ein Web-Beacon so gestaltet werden, dass er bei jedem Zugriff Informationen über einen Benutzer preisgibt. Web-Beacons können als Honeytokens verwendet werden, indem sie Dateien hinzugefügt werden, die wertvoll erscheinen. Sobald die Datei geöffnet ist, sendet der Web-Beacon Informationen über den Benutzer.
Es ist erwähnenswert, dass die Wirksamkeit sowohl von Web-Beacons als auch von ausführbaren Dateien davon abhängt, dass der Angreifer ein System mit offenen Ports verwendet.
Kekse
Cookies sind Datenpakete, die von Websites verwendet werden, um Informationen über Besucher aufzuzeichnen. Cookies können zu sicheren Bereichen von Websites hinzugefügt und zur Identifizierung eines Hackers auf die gleiche Weise verwendet werden, wie sie zur Identifizierung anderer Benutzer verwendet werden. Zu den gesammelten Informationen kann gehören, worauf der Hacker zuzugreifen versucht und wie oft er dies tut.
Identifikatoren
Ein Bezeichner ist ein eindeutiges Element, das einer Datei hinzugefügt wird. Wenn Sie etwas an eine große Gruppe von Personen senden und vermuten, dass einer von ihnen es preisgibt, können Sie jeder Person eine Kennung hinzufügen, die angibt, wer der Empfänger ist. Durch das Hinzufügen der Kennung wissen Sie sofort, wer der Leaker ist.
AWS-Schlüssel
Ein AWS-Schlüssel ist ein Schlüssel für Amazon Web Services, der häufig von Unternehmen verwendet wird. Sie ermöglichen häufig den Zugriff auf wichtige Informationen und sind daher bei Hackern sehr beliebt. AWS-Schlüssel eignen sich ideal für die Verwendung als Honeytokens, da jeder Versuch, sie zu verwenden, automatisch protokolliert wird. AWS-Schlüssel können zu Servern und in Dokumenten hinzugefügt werden.
Eingebettete Links eignen sich ideal für die Verwendung als Honeytokens, da sie so eingestellt werden können, dass sie beim Klicken Informationen senden. Durch das Hinzufügen eines eingebetteten Links zu einer Datei, mit der ein Angreifer möglicherweise interagiert, können Sie benachrichtigt werden, wenn auf den Link geklickt wird und möglicherweise auch von wem.
Wo man Honeytokens hinlegt
Da Honeytokens klein und kostengünstig sind und es so viele verschiedene Arten gibt, können sie zu fast jedem System hinzugefügt werden. Ein Unternehmen, das sich für den Einsatz von Honeytokens interessiert, sollte eine Liste aller sicheren Systeme erstellen und jedem einen passenden Honeytoken hinzufügen.
Honeytokens können auf Servern, Datenbanken und einzelnen Geräten verwendet werden. Nach dem Hinzufügen von Honeytokens in einem Netzwerk ist es wichtig, dass alle dokumentiert sind und dass mindestens eine Person für die Bearbeitung etwaiger Warnungen verantwortlich ist.
So reagieren Sie auf die Auslösung von Honeytokens
Wenn ein Honeytoken ausgelöst wird, bedeutet dies, dass ein Einbruch stattgefunden hat. Die zu ergreifenden Maßnahmen variieren natürlich stark, je nachdem, wo der Einbruch stattgefunden hat und wie sich der Eindringling Zutritt verschafft hat. Zu den üblichen Aktionen gehören das Ändern von Passwörtern und der Versuch, herauszufinden, worauf der Eindringling sonst noch zugegriffen hat.
Um Honeytokens effektiv nutzen zu können, sollte die angemessene Reaktion im Voraus festgelegt werden. Das bedeutet, dass alle Honeytokens von einem begleitet sein sollten Reaktionsplan für Vorfälle.
Honeytokens sind ideal für jeden sicheren Server
Alle verantwortungsbewussten Unternehmen verstärken ihre Abwehrmaßnahmen, um das Eindringen von Hackern zu verhindern. Honeytokens sind eine nützliche Technik, um nicht nur Eindringlinge zu erkennen, sondern auch Informationen über den Cyberangreifer bereitzustellen.
Im Gegensatz zu vielen Aspekten der Cybersicherheit ist das Hinzufügen von Honeytokens zu einem sicheren Server auch kein teurer Prozess. Sie sind einfach herzustellen und sofern sie realistisch und potenziell wertvoll erscheinen, werden die meisten Eindringlinge darauf zugreifen.