Cyber Deception: Angreifer mit Honeypots gezielt in die Falle locken

Nach der Teilnahme an diesem Workshop verstehen Sie,

• warum die Prävention von IT-Sicherheitsvorfällen allein nicht ausreicht und wie Sie Angriffe pragmatisch mit Hilfe von Intrusion Detection Honeypots zur Einbruchserkennung erkennen

• wie Angreifer typischerweise vorgehen und wie man sie dabei in die Falle lockt.

• warum Täuschung (Deception) ein sehr effektiver und effizienter Ansatz zur aktiven Verteidigung ist, der Fehlalarme vermeidet.

• welche Arten von Honeypots – Honeysystems, Honeyservices und Honeytoken – es gibt, warum sich besonders Honeytoken für die Angriffserkennung eignen. und wie man einen glaubwürdigen Pfad von Brotkrumen dorthin auslegt.

• wie Sie mit Bordmitteln und Open-Source-Tools manuell Honeypots aufstellen, sie für Angreifer unwiderstehlich, aber nicht als solche erkennbar machen – und welche Stellen sich besonders für Stolperfallen eignen.

• welche kostenlosen (teil-)automatisierten Ansätze es gibt, in einem Active Directory oder einer Cloud Honeypots aufzusetzen.

• wie Sie verschiedene Deception-Werkzeuge sinnvoll kombinieren und die eingehenden Alarme an einer Stelle zusammenlaufen lassen.

Inhalte

In den letzten Jahren hat die Cyberkriminalität zugenommen und das Risiko von Ransomware- und anderen verheerenden Angriffen ist gestiegen. In der Informationssicherheit reicht Prävention allein nicht mehr aus – kleine wie große Organisationen müssen Angreifer rechtzeitig erkennen und auf sie reagieren.

Klassische Ansätze zur Einbruchserkennung wie SIEM (Security Information and Event Monitoring) sind aufwändig einzurichten, erzeugen viele Fehlalarme und erfordern ein internes oder externes SOC (Security Operations Center): Sie sind effektiv, aber nicht sehr effizient.

In diesem Workshop lernen Admins und technisch versierte Sicherheitsverantwortliche, wie Angreifer typischerweise vorgehen und wie Sie sie mit gezielten Täuschungsmanövern, den sogenannten Deceptions, ausbremsen und dazu bringen können, ihr Vorgehen und ihre Ziele zu verraten. Sie lernen, welche Arten von Honeypots es gibt, wie sie aufgestellt werden und warum sie ein besonders effektives und effizientes Mittel zur aktiven Verteidigung darstellen.

Sie erfahren, wie Sie mit kostenlosen Open-Source-Tools und eigenen Bordmitteln Honigtöpfe aufstellen und für Angreifer unwiderstehlich, aber nicht als solche erkennbar machen. Sie erfahren, welche Stellen sich besonders für Stolperfallen eignen und wie Sie verschiedene Deception-Werkzeuge sinnvoll kombinieren können.

Aus Zeit- und Effizienzgründen führen Sie in diesem Intensivworkshop keine Hands-on-Übungen durch. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, auf deren Grundlage Sie im Nachgang eigenständig üben können.

Themen in der Übersicht

• 1. Grundlagen

  • Kuckucksei und Geschichte der Honigtöpfe

  • Aktive Verteidigung und Täuschung (Deception)

  • Honeypots zur Einbruchserkennung (Intrusion Detection Honeypots) und Research Honeypots zur Forschung

  • Honeysystems und Honeyservices (Decoys), Honeytoken (Canaries, Baits); Brotkrumen (Breadcrumbs, Lures)

  • MITRE-Engage- und Sehen-Denken-Tun-Framework

  • Interaktionsgrade von Honeypots

• 2. Honigtöpfe und Deception-Techniken

  • Honeyservices unter anderem für Webanwendungen, Remoteadministration (SSH und RDP) und Datenbanken

  • Honeytoken für Active Directory Domain Services und Certificate Services (ADCS)

  • Thinkst Canarytokens – das Universalwerkzeug für verschiedene Honigtoken – einsetzen und auf eigener Infrastruktur installieren

  • Honeypots für AWS und die Microsoft-Cloud (Entra ID, Microsoft 365 Azure)

  • Spezialisierte Honeypots, beispielsweise für ICS/SCADA

  • Keine Deception-Technik, aber lohnend zur effizienten Einbruchserkennung: RITA

• 3. Praktischer Einsatz

  • Auswählen der geeigneten Honeypot-Art und des jeweiligen Tools

  • Integrieren von Honeypots in bestehende Netzwerkstrukturen und geeignete Platzierung

  • Brotkrumen auslegen, etwa in Netzwerkfreigaben oder auf einzelnen Systemen

  • Angreifer durch gezielte Prävention zu den Stolperfallen steuern

  • Wie Angreifer Honeypots erkennen und wie man sie vor ihnen verbirgt

  • Datensammlung, -analyse und Alarmierung von einer zentralen Stelle aus

  • Erkennen von fortgeschrittenen Angriffstechniken

  • Fehlalarme weiter reduzieren

Zielgruppe

Der Workshop ist speziell auf Admins und technisch versierte Sicherheitsverantwortliche ausgerichtet, die mit Bordmitteln und Open-Source-Werkzeugen selbst Stolperfallen aufstellen möchten. Gute Kenntnisse auf der Windows- und der Linux-Kommandozeile sind daher erforderlich.

Voraussetzungen

Teilnehmende des Workshops sollten Erfahrung in der Administration von Windows-Umgebungen und Linux-Systemen haben und sich bei beiden Betriebssystemen auf der Kommandozeile wohlfühlen, unter Windows auch grundsätzlich mit PowerShell.

Zur Workshop-Durchführung wird Zoom verwendet mittels eines DSGVO-konformen On-Premise-Connectors. Wir bitten Sie, ein Mikrofon oder Headset sowie einen aktuellen Browser zu nutzen.

Leistungen Ihres Workshoptickets

• Workshopunterlagen

• Teilnahmebescheinigung

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl nicht möglich, werden die Teilnehmenden frühestmöglich informiert.

Die Teilnehmerzahl ist auf max. 20 Personen begrenzt.