Honeypot
Was ist Honeypot?
HoneypotEin bewusst exponiertes Köder-System oder -Dienst, das Angreifer anlocken, ihre Techniken aufzeichnen und sie von produktiven Assets fernhalten soll.
Ein Honeypot ist ein Täuschungsasset, das einen echten Server, eine Anwendung oder einen Datensatz imitiert; jede Interaktion damit ist deshalb per Definition verdächtig. Low-Interaction-Honeypots emulieren nur wenige Dienste, um Scans und gewöhnliche Schadsoftware aufzuspüren, während High-Interaction-Honeypots vollständige Betriebssysteme betreiben, um fortgeschrittene Vorgehensweisen zu erfassen. Verteidiger gewinnen aus der erfassten Telemetrie Indicators of Compromise, untersuchen TTPs und speisen damit ihre Detection Engineering. Honeypots müssen vom Produktionsnetz isoliert sein, damit sie nicht als Sprungbrett dienen, und ihre Erkenntnisse werden in der Regel an ein SIEM oder eine Threat-Intelligence-Plattform weitergeleitet.
● Beispiele
- 01
Im Internet ausgesetzter, scheinbar verwundbarer SSH-Server, der jeden Anmeldeversuch protokolliert.
- 02
Fake-Datenbank in der DMZ, die bei jeder Abfrage einen Alarm auslöst.
● Häufige Fragen
Was ist Honeypot?
Ein bewusst exponiertes Köder-System oder -Dienst, das Angreifer anlocken, ihre Techniken aufzeichnen und sie von produktiven Assets fernhalten soll. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Honeypot?
Ein bewusst exponiertes Köder-System oder -Dienst, das Angreifer anlocken, ihre Techniken aufzeichnen und sie von produktiven Assets fernhalten soll.
Wie schützt man sich gegen Honeypot?
Schutzmaßnahmen gegen Honeypot kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Honeypot?
Übliche alternative Bezeichnungen: Köder-System, Lockfalle.