Proactive detection of security incidents II: Neuer enisa-Bericht zum Thema Honeypots

Studie soll Hindernisse beim Verstehen der grundlegenden Konzepte enthüllen und Empfehlungen geben, in welchen Fällen „Honeypots“ anzuwenden sind

[datensicherheit.de, 22.11.2012] Ein neuer Bericht der EU-Agentur enisa widmet sich „digitalen Fallen“ (engl. „honeypots“) für das Aufdecken von Cyber-Angriffen. Es handelt sich um eine detaillierte Studie über 30 unterschiedliche „Honeypots“, die von „Computer Emergency Response Teams“ (CERTs), einer Gruppe von IT-Sicherheitsfachleuten, die bei der Lösung von konkreten IT-Sicherheitsvorfällen mitwirkt, und staatlichen CERTs verwendet werden können, um proaktiv Internetangriffe ermitteln zu können. Die Studie soll Hindernisse beim Verstehen der grundlegenden „Honeypot“-Konzepte enthüllen und Empfehlungen geben, in welchen Fällen „Honeypots“ anzuwenden sind.
Eine zunehmende Anzahl von komplexen Angriffen im Internet erfordert verbesserte Frühwarn- und Erkennungsressourcen für die CERTs. „Honeypots“ sind, vereinfacht erklärt, Fallen mit der einzigen Aufgabe, Angreifer abzulenken, indem sie eine reale Computerquelle nachahmen – z.B. eine Dienstleistung, eine Anwendung, ein System oder eine Datei. Jedes Objekt, das mit einem „Honeypot“ in Verbindung steht, ist verdächtig – daher wird jede Bewegung beobachtet, um bösartige Aktivitäten zu erkennen.
Diese Studie ist eine Nachfolgerin zum kürzlich erschienenen enisa-Bericht über proaktive Erkennung von Störungen der Cyber-Sicherheit. Der vorhergehende Bericht beschloss, dass CERTs die „Honeypots“-Fähigkeiten, welche entscheidende Einblicke in Hackerverhalten geben, anerkennen würden. Dennoch sei deren Einsatz für das Aufdecken und die Ermittlung von Angriffen noch nicht so weit verbreitet wie erwartet – dies zeige, dass es Hindernisse in der Verwendung gibt.
Die neue Studie stellt nun praktische Verwendungsstrategien und wichtige Themen für CERTs vor. Insgesamt wurden 30 „Honeypots“ unterschiedlicher Kategorien getestet und bewertet. Das Ziel ist hierbei, Einblick darin zu gewähren, welche frei zugänglichen Lösungen und welche „Honeypot“-Technologie sich am besten für die Verwendung und den Gebrauch eignen. Da es keine „Wunderwaffe“ gebe, habe diese neue Studie einige Defizite und Hindernisse in der Verwendung von „Honeypots“ identifiziert – die Anwendungsschwierigkeit, die geringe Dokumentation, Mangel und Software-Stabilität sowie Entwicklerunterstützung, eine geringe Standardisierung, der Bedarf an höchst qualifizierten Leuten sowie Probleme beim Verständnis von grundlegenden „Honeypot“-Konzepten. Die Studie stellt eine Gliederung der „Honeypots“ vor und behandelt deren Zukunft.
„Honeypots“ böten für CERTs ein leistungsfähiges Werkzeug um Informationen zu Bedrohungen zu sammeln ohne die Produktionsinfrastruktur zu beeinflussen, erläutert enisa-Geschäftsführer Professor Udo Helmbrecht. Korrekt angewandt, böten „Honeypots“ wesentliche Vorzüge für CERTs – bösartige Aktivitäten in einem CERT-Bereich könnten verfolgt werden, um frühzeitig Warnungen vor bösartiger Software, neuen Angriffen, Schwachstellen und schädlichem Verhalten zu senden. Außerdem könne man mit „Honeypots“ die aktuellen Angriffstaktiken identifizieren. Wenn die CERTs in Europa „Honeypots“ zunehmend als eine geschmackvolle Möglichkeit anerkennen würden, könnten sie ihre Bereiche besser verteidigen, betont Professor Helmbrecht.

Weitere Informationen zum Thema:

enisa
Proactive detection of security incidents II – Honeypots

Legal Implications of Countering Botnets
Joint report from the NATO Cooperative Cyber Defence Centre of Excellence and the European Network and Information Security Agency (ENISA)

COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS
on Critical Information Infrastructure Protection / „Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience“