Το hacking είναι συχνά σαν να ψάχνεις μέσα σε μια τσάντα χωρίς να κοιτάς μέσα. Εάν είναι η τσάντα σας, θα ξέρετε πού να κοιτάξετε και πώς είναι τα αντικείμενα. Μπορείτε να πιάσετε ένα στυλό μέσα σε δευτερόλεπτα, ενώ ένα άλλο άτομο μπορεί να πιάσει ένα eyeliner.
Επιπλέον, μπορεί να προκαλέσουν σάλο στην αναζήτησή τους. Θα περάσουν μέσα από την τσάντα περισσότερο από ό, τι θα κάνατε εσείς και ο θόρυβος που κάνουν αυξάνει την πιθανότητα να τους ακούσετε. Εάν δεν το κάνατε, η διαταραχή στην τσάντα σας λέει ότι κάποιος έχει περάσει τα πράγματά σας. Η τεχνολογία εξαπάτησης λειτουργεί με αυτόν τον τρόπο.
Τι είναι η τεχνολογία εξαπάτησης;
Η τεχνολογία εξαπάτησης αναφέρεται στη σουίτα τακτικών, εργαλείων και στοιχείων δόλωσης που χρησιμοποιούν οι μπλε ομάδες για να αποσπάσουν την προσοχή των επιτιθέμενων από πολύτιμα στοιχεία ασφαλείας. Με μια ματιά, η τοποθεσία και οι ιδιότητες του δολώματος φαίνονται νόμιμες. Πράγματι, το δόλωμα πρέπει να είναι αρκετά ελκυστικό ώστε ένας επιτιθέμενος να το θεωρήσει αρκετά πολύτιμο για να αλληλεπιδράσει αρχικά.
Η αλληλεπίδραση ενός επιτιθέμενου με τα δόλώματα σε ένα περιβάλλον ασφαλείας δημιουργεί δεδομένα που δίνουν στους υπερασπιστές πληροφορίες για το ανθρώπινο στοιχείο πίσω από μια επίθεση. Η αλληλεπίδραση μπορεί να βοηθήσει τους αμυντικούς να ανακαλύψουν τι θέλει ένας επιθετικός και πώς σχεδιάζουν να το αποκτήσουν.
Γιατί οι Blue Teams χρησιμοποιούν τεχνολογία εξαπάτησης
Καμία τεχνολογία δεν είναι ανίκητη, γι' αυτό οι ομάδες ασφαλείας υποθέτουν μια παραβίαση από προεπιλογή. Μεγάλο μέρος της κυβερνοασφάλειας είναι να μάθετε ποια περιουσιακά στοιχεία ή χρήστες έχουν παραβιαστεί και πώς να τα ανακτήσετε. Για να γίνει αυτό, οι χειριστές της μπλε ομάδας πρέπει να γνωρίζουν την έκταση του περιβάλλοντος ασφαλείας που προστατεύουν και τα στοιχεία σε αυτό το περιβάλλον. Η τεχνολογία εξαπάτησης είναι ένα τέτοιο προστατευτικό μέτρο.
Θυμηθείτε, το νόημα της τεχνολογίας εξαπάτησης είναι να κάνει τους επιτιθέμενους να αλληλεπιδρούν με δόλωμα και να τους αποσπά την προσοχή από πολύτιμα περιουσιακά στοιχεία. Γιατί; Όλα καταλήγουν στον χρόνο. Ο χρόνος είναι πολύτιμος στην ασφάλεια στον κυβερνοχώρο και ούτε ο εισβολέας ούτε ο αμυντικός δεν έχουν ποτέ αρκετό. Η αλληλεπίδραση με ένα δόλωμα σπαταλά τον χρόνο του επιτιθέμενου και δίνει στον αμυνόμενο περισσότερο χρόνο για να ανταποκριθεί σε μια απειλή.
Πιο συγκεκριμένα, εάν ένας επιτιθέμενος πιστεύει ότι το πλεονέκτημα με το οποίο αλληλεπίδρασε είναι το πραγματικό deal, τότε δεν έχει νόημα να μείνει ανοιχτά. Διηθούν τα κλεμμένα δεδομένα και (συνήθως) φεύγουν. Από την άλλη πλευρά, εάν ένας έμπειρος εισβολέας συνειδητοποιήσει γρήγορα ότι το περιουσιακό στοιχείο είναι ψεύτικο, τότε θα γνωρίζει ότι έχει ανακαλυφθεί και δεν μπορεί να παραμείνει για πολύ στο δίκτυο. Είτε έτσι είτε αλλιώς, ο επιτιθέμενος χάνει χρόνο και η ομάδα ασφαλείας παίρνει ένα heads-up και περισσότερο χρόνο για να απαντήσει σε απειλές.
Πώς λειτουργεί η τεχνολογία εξαπάτησης
Μεγάλο μέρος της τεχνολογίας εξαπάτησης είναι αυτοματοποιημένη. Το περιουσιακό στοιχείο δόλωμα είναι συνήθως δεδομένα κάποιας αξίας για τους χάκερ: βάσεις δεδομένων, διαπιστευτήρια, διακομιστές και αρχεία. Αυτά τα περιουσιακά στοιχεία φαίνονται και λειτουργούν ακριβώς όπως τα πραγματικά, μερικές φορές ακόμη και λειτουργούν παράλληλα με τα πραγματικά περιουσιακά στοιχεία.
Η βασική διαφορά είναι ότι είναι χαζοί. Για παράδειγμα, οι βάσεις δεδομένων decoy μπορεί να περιέχουν πλαστά ονόματα χρήστη και κωδικούς πρόσβασης διαχειριστή που συνδέονται με έναν διακομιστή δόλωμα. Αυτό σημαίνει ότι οι δραστηριότητες που περιλαμβάνουν ένα ζεύγος ονόματος χρήστη και κωδικού πρόσβασης σε έναν διακομιστή δόλωμα —ή ακόμα και σε έναν πραγματικό διακομιστή— αποκλείονται. Ομοίως, τα διαπιστευτήρια δόλωμα περιέχουν ψεύτικα token, hashes ή εισιτήρια Kerberos που ανακατευθύνουν τον χάκερ σε, βασικά, ένα sandbox.
Επιπλέον, είναι στημένες μπάλες για να ειδοποιήσουν τις ομάδες ασφαλείας στον ύποπτο. Όταν ένας εισβολέας συνδέεται σε έναν διακομιστή δόλωμα, για παράδειγμα, η δραστηριότητα προειδοποιεί τους χειριστές μπλε ομάδων στο κέντρο λειτουργιών ασφαλείας (SOC). Στο μεταξύ, το σύστημα συνεχίζει να καταγράφει τις δραστηριότητες του εισβολέα, όπως σε ποια αρχεία είχαν πρόσβαση (π.χ. επιθέσεις κλοπής διαπιστευτηρίων) και πώς εκτέλεσαν την επίθεση (π.χ. πλευρική κίνηση και επιθέσεις άνθρωπος στη μέση).
Το πρωί Χαίρομαι που βλέπω. Ο εχθρός μου απλώνεται κάτω από το δέντρο
Ένα καλά διαμορφωμένο σύστημα εξαπάτησης μπορεί να ελαχιστοποιήσει τη ζημιά που μπορούν να προκαλέσουν οι εισβολείς στα στοιχεία ασφαλείας σας ή ακόμα και να τα σταματήσει εντελώς. Και επειδή μεγάλο μέρος του είναι αυτοματοποιημένο, δεν χρειάζεται να ποτίζετε και να λιάζετε αυτό το δέντρο μέρα και νύχτα. Μπορείτε να το αναπτύξετε και να κατευθύνετε πόρους SOC σε μέτρα ασφαλείας που απαιτούν μια πιο πρακτική προσέγγιση.
