Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Hoe zet je honeypots gericht in voor detectie?

Kennisartikelen
Detectie
Verdiepen
Aanvallers proberen vaak kwetsbare of slecht beveiligde systemen te misbruiken om zich verder in een netwerk te nestelen, maar met honeypots kun je dit gedrag vroegtijdig en betrouwbaar detecteren door hen te lokken naar zorgvuldig opgezette nepservices of -systemen die elke interactie direct zichtbaar maken.

Waarvoor gebruik je een honeypot?

Aanvallers die toegang hebben gekregen tot jouw netwerk zoeken vaak naar de mogelijkheid om zich te verplaatsen naar andere systemen. Je speelt hierop in door aanvallers te lokken naar een honeypot – zoals een (kwetsbare) fileserver of een (verouderde) database – die je plaatst in jouw netwerk. Zolang het in de ogen van een aanvaller waardevol is, is de kans groot dat deze ermee probeert te interacteren. Zodra de aanvaller probeert verbinding te maken met de honeypot stuurt deze een alert uit, waarmee jij een sterke indicatie hebt dat er iets niet helemaal in de haak is.

Een aanvaller maakt gebruik van verschillende tactieken en technieken zodra deze toegang heeft verkregen tot jouw netwerk. In onderstaand document vind je een overzicht van deze tactieken en technieken en hoe je hierop kan inspelen met honeypots. Download deze mapping om honeypots effectief te zetten voor detectiedoeleinden. 

Lees daarnaast ook ons artikel over gerichte digitale misleiding voor aanvullende handvatten.

Low- en high-interaction honeypots

Honeypots bestaan in verschillende vormen. Eén van de onderscheidende elementen van honeypots is de mate waarin een aanvaller er gebruik van kan maken. Met andere woorden: hoe realistisch en werkzaam is de honeypot? We onderscheiden twee typen: low-interaction honeypots en high-interaction honeypots. Voor iedere implementatie bestaan verschillende tools, waarbij veel populaire securityproducten hier al verschillende variaties van bevatten.

Low-interaction honeypots bootsen vooral de buitenkant (het zichtbare deel) van een systeem na, maar bieden verder nagenoeg geen of weinig functionaliteit. Denk aan een nep database met de naam ‘db-backup-old’ die zichtbaar is met een echt IP-adres en met een open poort (bijv. 3306 voor een SQL-database). Er zit echter geen ‘echte’ functionaliteit achter deze open poort en pogingen om via deze poort te communiceren resulteren in foutmeldingen. Low-interaction honeypots zijn minder complex, sneller in te richten en uitermate geschikt voor detectiedoeleinden. 

Een high-interaction honeypot is opgebouwd als een werkend systeem met echte software en mogelijkheden. Het bootst niet alleen de buitenkant, maar ook de binnenkant van het systeem na. Denk aan een Windows workstation met de naam ‘FINANCE-WS-03’ en open poorten als 3389 (RDP) en 445 (SMB). Een high-interaction honeypot kan zelf actief zijn op het netwerk en reageert functioneel op inkomend netwerkverkeer. Op het moment dat een aanvaller dit systeem weet te compromitteren dan komt deze daadwerkelijk in een Windows omgeving terecht. Naast detectie zijn high-interaction honeypots geschikt om de aanvaller bezig te houden en meer te leren over de aanvaller en de technieken die deze inzet. 

Lokken

Een aanvaller zal, nadat deze toegang heeft gekregen tot een systeem op jouw netwerk, op zoek gaan naar informatie over het netwerk waar deze zich in bevindt. Je kan zo veel kansen creëren om een aanvaller in de val te lokken tijdens zijn discovery fase. Een aanvaller kan bijvoorbeeld op zoek gaan naar aantrekkelijke systemen door:

  • Netwerkcommando’s uit te sturen naar systemen op het netwerk (remote system discovery) of door het netwerk te scannen op hosts en poorten. 
  • Te onderzoeken welke systemen een actieve netwerkverbinding hebben (System Network Configuration Discovery)
  • Netwerkverkeer te onderscheppen en analyseren (network sniffing)
  • Een aantal concretere technieken zijn: het verkennen van Active Directory omgevingen door op zoek te gaan naar gebruikers, groepen, Service Principal Names (SPNs), of het doorzoeken van configuratiebestanden zoals ssh-configs, web configs etc. 

Voor de meeste Discovery technieken volstaat het om een low-interaction honeypot te plaatsen op jouw netwerk: een ‘passieve’ honeypot die weliswaar is aangesloten op jouw netwerk, maar zelf geen netwerkactiviteit bezigt. De meeste Discovery technieken richten zich voornamelijk op het bestaan van systemen en minder op hun activiteit. Het hebben van een passend type, naam, aangeboden diensten en eventuele kwetsbaarheden is voldoende om een aanvaller uit de tent te lokken. Denk aan een fileshare met namen als ‘Projects’, of ‘Backup’.   

Voor een tweetal verkenningstechnieken – Adversary-in-the-middle en Network Sniffing – zijn low-interaction honeypot ineffectief. Bij deze technieken richt een aanvaller zich op het netwerkverkeer tussen systemen. Een high-interaction honeypot kan in dit geval uitkomst bieden. Je kan deze zó configureren dat deze een stuk actiever is op jouw netwerk en zelf netwerkverkeer genereert. Je kan dit netwerkverkeer op meerdere manieren gebruiken, bijvoorbeeld door hier honeytokens of credentials voor een honeyaccount in te verstoppen. Let wel op dat dergelijke use-cases vaak maatwerk zijn (en daarmee complex om op te zetten) en mogelijk ruis veroorzaakt op jouw netwerk. 

Detectie

Je detecteert een aanvaller zodra deze interacteert met de honeypot. Dit kan gebeuren tijdens zijn verkenningsactiviteiten (Discovery). Denk aan een aanvaller die ping commando’s uitstuurt op het netwerk (remote system discovery) of systemen scant op hun beschikbare netwerkpoorten (network service discovery). Daarnaast (en waarschijnlijker) zal detectie plaatsvinden wanneer de aanvaller probeert zijn toegang tot jouw netwerk te verbreden. Denk aan een aanvaller die probeert een kwetsbaarheid te misbruiken op de honeypot (exploitation of remote service) of probeert deze code uit te laten voeren (remote execution). 

De effectieve inzet van honeypots

  • Overweeg om een low-interaction honeypot in te zetten als aanvulling op jouw bestaande netwerkdetectietechnologie (zoals een NIDS). Low-interaction honeypots zet je in jouw netwerk redelijk eenvoudig in en lenen zich om een brede set aanvallen te detecteren. Een aantrekkelijke naam en type systeem kan genoeg zijn om een aanval uit te lokken. Voor detectiedoeleinden zijn low-interaction honeypots vaak voldoende.
  • Actualiseer en update honeypots regelmatig zodat deze aanlokkelijk blijven voor potentiële aanvallers en daarmee ook effectief blijven in het detecteren van aanvallen. 
  • Wil je inspelen op de actualiteiten? Overweeg dan een oplossing waarbij je een honeypot kan inzet met daarin een verwijzing naar een recent-gepubliceerde kwetsbaarheid (CVE). Denk bijvoorbeeld aan een kwetsbare webserver waar een bepaald versienummer kwetsbaarheden bevat.
  • Zorg ervoor dat je een honeypot op slechts één netwerk inzet om te voorkomen dat deze (per ongeluk) gebruikt kan worden als netwerkbrug. 
  • Vanuit het oogpunt van detectie zijn high-interaction honeypots minder interessant. Het vergt de nodige capaciteit en expertise om deze zó te configureren dat deze aanvullende detectiewaarde bieden boven low-interaction honeypots. Wel bieden high-interaction honeypots de mogelijkheid om een aanvaller te bestuderen en bezig te houden. Overweeg of dit opweegt tegen de aanvullende lasten die gemoeid zijn met de configuratie en het beheer hiervan.

In samenwerking met

Architecten, adviseurs, specialisten en onderzoekers op het gebied van misleiding en misleiding-gebaseerde detectie van DeepBlue Security, DTACT, Fortinet, Gartner, GriffinGuard, PwC NL, SecurityHive, Thinkst Canary en TU Delft.

Formulier
Heeft deze pagina je geholpen?