Workshops

Cyber Deception: Angreifer mit Honeypots gezielt in die Falle locken

In diesem zweitägigen Workshop lernen Sie, wie Sie mit kostenlosen Tools verschiedene Arten von Honeypots (Intrusion Detection Honeypots) in Ihrem Netzwerk und anderen Umgebungen wie Public Clouds einrichten, um Angreifer in die Falle zu locken. So können auch kleinere Organisationen mit geringem Sicherheitsbudget Angriffe frühzeitig erkennen – effizient und mit wenigen Fehlalarmen.

Mit Frank Ully

Cyber Deception: Angreifer mit Honeypots gezielt in die Falle locken

+ 1 weitere Option

Dieser Workshop hat bereits stattgefunden. Eine Liste aller kommenden Workshops finden Sie hier.

Überblick

In den letzten Jahren hat die Cyberkriminalität zugenommen und das Risiko von Ransomware- und anderen verheerenden Angriffen ist gestiegen. In der Informationssicherheit reicht Prävention allein nicht mehr aus – kleine wie große Organisationen müssen Angreifer rechtzeitig erkennen und auf sie reagieren. Klassische Ansätze zur Einbruchserkennung wie SIEM (Security Information and Event Monitoring) sind aufwändig einzurichten, erzeugen viele Fehlalarme und erfordern ein internes oder externes SOC (Security Operations Center): Sie sind effektiv, aber nicht sehr effizient.

Inhalte

In diesem Workshop erfahren Admins und technisch versierte Sicherheitsverantwortliche, wie Angreifer typischerweise vorgehen. Ebenfalls lernen Sie gezielte Täuschungsmanöver kennen, mit denen Sie Cyberkriminelle ausbremsen, sowie ihre Vorgehensweise und Ziele herausfinden können. Dazu erhalten Sie einen Überblick über die unterschiedlichen Arten von Honeypots und deren Anwendung. Gleichzeitig erkennen Sie, warum die Prävention von Sicherheitsvorfällen nicht ausreicht und warum Honeypots ein besonders effektives und effizientes Mittel zur aktiven Verteidigung sind.

Für die praktische Umsetzung in Ihrem Unternehmen lernen Sie kostenlose Open-Source-Tools und eigene Bordmittel kennen, um Honeypots aufzustellen. Dazu erfahren Sie im Detail, welche Stellen sich besonders eignen und wie Sie Angreifer glaubhaft in die Falle locken, ohne dass sie als solche zu erkennen ist. Ebenfalls lassen sich Honeypots mithilfe (teil-)automatisierter Methoden wirkungsvoll in Ihre Active-Directory- oder Cloud-Infrastruktur integrieren. Abschließend lernen Sie, wie Sie verschiedene Deception-Werkzeuge sinnvoll kombinieren und eingehende Alarme an einer Stelle zusammenlaufen lassen können.

Aus Zeit- und Effizienzgründen führen Sie in diesem Intensivworkshop keine Hands-on-Übungen durch. Stattdessen erhalten Sie Empfehlungen und Unterlagen, mit denen Sie im Nachgang eigenständig üben können.

Themen in der Übersicht

1. Honeypots im Überblick
- Kuckucksei und Geschichte der Honigtöpfe
- Deception: aktive Täuschung und Verteidigung
- Decoys: Honeysystems und Honeyservices
- Canaries und Baits: Honeytoken
- Lures: Brotkrumen
- Intrusion Detection Honeypots: Honeypots zur Einbruchserkennung
- Honeypots in der Forschung
- MITRE-Engage- und Sehen-Denken-Tun-Framework
- Interaktionsgrade von Honeypots
2. Honeypots und Deception-Techniken
- Honeyservices für Webanwendungen, Remoteadministration (SSH und RDP) und Datenbanken
- Honeytoken für Active Directory Domain Services und Certificate Services (ADCS)
- Universalwerkzeug für Honeytokens: Thinkst Canarytokens einsetzen und auf eigener Infrastruktur installieren
- Honeypots für AWS und die Microsoft-Cloud (Entra ID, Microsoft 365 Azure)
- Spezialisierte Honeypots, beispielsweise für ICS/SCADA
- effiziente Einbruchserkennung mit RITA
3. Einsatz von Honeypots im Unternehmen
- Auswahl der geeigneten Honeypot-Art und des jeweiligen Tools
- Integration von Honeypots in bestehende Netzwerkstrukturen und geeignete Platzierung
- Brotkrumen auslegen, etwa in Netzwerkfreigaben oder auf einzelnen Systemen
- Angreifer durch gezielte Prävention zu den Stolperfallen steuern
- Cyberkriminelle verstehen und Honeypots gezielt verstecken
- Datensammlung, -analyse und Alarmierung von einer zentralen Stelle aus
- Erkennen von fortgeschrittenen Angriffstechniken
- Fehlalarme reduzieren

Zielgruppe

Der Workshop ist speziell auf Admins und technisch versierte Sicherheitsverantwortliche ausgerichtet, die mit Bordmitteln und Open-Source-Werkzeugen selbst Stolperfallen aufstellen möchten. Gute Kenntnisse auf der Windows- und der Linux-Kommandozeile sind daher erforderlich.

Voraussetzungen

Teilnehmende des Workshops sollten Erfahrung in der Administration von Windows-Umgebungen und Linux-Systemen haben und sich bei beiden Betriebssystemen auf der Kommandozeile wohlfühlen, unter Windows auch grundsätzlich mit PowerShell.

Zur Workshop-Durchführung wird Zoom verwendet mittels eines DSGVO-konformen On-Premise-Connectors. Wir bitten Sie, ein Mikrofon oder Headset sowie einen aktuellen Browser zu nutzen.

Leistungen Ihres Workshoptickets

Workshopunterlagen
Teilnahmebescheinigung

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl nicht möglich, werden die Teilnehmenden frühestmöglich informiert.

Die Teilnehmerzahl ist auf max. 20 Personen begrenzt.

Frank Ully

Principal Consultant Cybersecurity & Head of CORE | Corporate Trust Business Risk & Crisis Management GmbH

Frank Ully ist Principal Consultant Cybersecurity & Leiter CORE bei Corporate Trust. Seit mehr als zehn Jahren beschäftigt er sich beruflich mit Informationssicherheit, zuletzt mit Fokus auf relevanten Entwicklungen in der offensiven IT-Security. Sein Wissen teilt er regelmäßig in Vorträgen, Webinaren, Schulungen und Artikeln, etwa in der Fachzeitschrift iX oder bei der heise academy. Damit hilft er Organisationen, Angreifer zu verstehen und sich effizient gegen sie zu verteidigen – auf dem neuesten Stand der Technik. Seine aktuellen Schwerpunkte sind On-Premises Active Directory und die Sicherheit öffentlicher Clouds.

Zum Profil