Mit Honig fängt man Fliegen

Die 23rd Headquarters Special Troops, eine US-amerikanische Spezialeinheit im Zweiten Weltkrieg, rekrutierte sich aus Designern, Sound-Ingenieuren, Zeichnern und Kunststudenten. Die Aufgabe der ungewöhnlichen Truppe bestand darin, dem Gegner mit der Schaffung von „Geister-Armeen“ aus Gummipanzern, Sperrholzflugzeugen und ähnlichen Täuschungsmanövern dort alliierte Kräfte vorzugaukeln, wo keine waren. Zu diesem seinerzeit sehr erfolgreich exekutierten Konzept gibt es seit längerem eine moderne Entsprechung im Kampf gegen Datendiebe. Mit sogenannten „Honeypots“, Programmen oder Servern, die einen Rechner oder gar ein komplettes Netzwerk voller wertvoller Daten simulieren, ohne jedoch solche zu enthalten, sollen Angreifer angelockt werden, um deren Aktionen zu protokollieren, zu analysieren und um sie vom eigentlichen Ziel abzulenken.

Im Falle von Angriffen von innen, wo der Zugriff auf das Firmennetz autorisiert ist, stößt das Konzept des Honigtopfs jedoch an seine Grenzen. Mit Code42 Forensic File Search kann jedoch eine alternative Variante gewählt werden, um dem Schwund geistigen Eigentums auf die Spur zu kommen: Das „Honey File“, eine einzelne, scheinbar wertvolle Information enthaltende Datei, die als unwiderstehlicher Köder ausgelegt wird.

Das Vorgehen gestaltet sich dabei folgendermaßen:

  1. Zunächst wird das „Honey File“ unter einem verlockenden Namen wie „Gehaltsübersicht Mitarbeiter 2018.xlsx“ in einem gemeinsam genutzten Cloud Speicher-Account abgelegt. Der Security-Beauftragte kennt sowohl den Namen als auch den MD5 Hash.
  2. Nach einigen Tagen oder Wochen loggt sich der Security Beauftragte in die Code42 Konsole ein und sucht mit Code42 Forensic File Search nach dem MD5 Hash der Köderdatei.
  3. Das Suchergebnis offenbart nun alle Spuren und Bewegungen des Originalfiles bei Anwendern und Hosts.
  4. In einer detaillierteren Analyse kann anschließend nachvollzogen werden, was faktisch mit der „Honig-Datei“ angestellt wurde: Hat ein Anwender die Datei beispielsweise kopiert, umbenannt und das Original anschließend gelöscht, um seine Spuren zu verwischen, so verrät Forensic File Search jeden dieser Schritte.
  5. Und voilá, die Fliegen haben ein Problem …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*