Πώς μπορείτε να εντοπίσετε χάκερ που έχουν πρόσβαση στα συστήματά σας; Τα Honeytokens θα μπορούσαν να είναι η απάντηση. Εδώ είναι τι πρέπει να ξέρετε.
Οποιαδήποτε επιχείρηση αποθηκεύει προσωπικές πληροφορίες είναι πιθανός στόχος για χάκερ. Χρησιμοποιούν μια σειρά τεχνικών για την πρόσβαση σε ασφαλή δίκτυα και παρακινούνται από το γεγονός ότι οποιαδήποτε προσωπικά στοιχεία κλαπούν μπορούν να πωληθούν ή να κρατηθούν για λύτρα.
Όλες οι υπεύθυνες επιχειρήσεις λαμβάνουν μέτρα για να το αποτρέψουν, καθιστώντας τα συστήματά τους όσο το δυνατόν πιο δυσπρόσιτα. Μια επιλογή που πολλές επιχειρήσεις παραβλέπουν, ωστόσο, είναι η χρήση honeytokens, τα οποία μπορούν να χρησιμοποιηθούν για την παροχή ειδοποιήσεων κάθε φορά που συμβαίνει μια εισβολή.
Τι είναι λοιπόν τα honeytokens και πρέπει να τα χρησιμοποιεί η επιχείρησή σας;
Τι είναι τα Honeytokens;
Τα Honeytokens είναι κομμάτια ψεύτικων πληροφοριών που προστίθενται σε ασφαλή συστήματα, έτσι ώστε, όταν τα πάρει ένας εισβολέας, να ενεργοποιηθεί μια ειδοποίηση.
Τα Honeytoken χρησιμοποιούνται κυρίως για απλά δείχνουν ότι συμβαίνει μια εισβολή, αλλά ορισμένα honeytoken είναι επίσης σχεδιασμένα για να παρέχουν πληροφορίες για εισβολείς που μπορεί να αποκαλύψουν την ταυτότητά τους.
Honeytokens vs. Honeypots: Ποια είναι η διαφορά;
Honeytokens και Τα honeypots βασίζονται και τα δύο στην ίδια ιδέα. Προσθέτοντας πλαστά περιουσιακά στοιχεία σε ένα σύστημα, είναι δυνατό να ειδοποιηθείτε για εισβολείς και να μάθετε περισσότερα για αυτούς. Η διαφορά είναι ότι, ενώ τα honeytokens είναι κομμάτια ψεύτικων πληροφοριών, τα honeypots είναι πλαστά συστήματα.
Ενώ ένα honeytokens μπορεί να έχει τη μορφή ενός μεμονωμένου αρχείου, ένα honeypot μπορεί να έχει τη μορφή ενός ολόκληρου διακομιστή. Τα Honeypots είναι πολύ πιο εξελιγμένα και μπορούν να χρησιμοποιηθούν για να αποσπάσουν την προσοχή των εισβολέων σε μεγαλύτερο βαθμό.
Τύποι Honeytokens
Υπάρχουν πολλοί διαφορετικοί τύποι honeytokens. Ανάλογα με το ποια χρησιμοποιείτε, ενδέχεται να μπορείτε να μάθετε διαφορετικές πληροφορίες για έναν εισβολέα.
Διευθύνσεις ηλεκτρονικού ταχυδρομείου
Για να χρησιμοποιήσετε μια ψεύτικη διεύθυνση email ως honeytoken, απλώς δημιουργήστε έναν νέο λογαριασμό email και αποθηκεύστε τον σε ένα μέρος που μπορεί να έχει πρόσβαση κάποιος εισβολέας. Ψεύτικες διευθύνσεις email μπορούν να προστεθούν σε κατά τα άλλα νόμιμους διακομιστές αλληλογραφίας και προσωπικές συσκευές. Με την προϋπόθεση ότι ο λογαριασμός email αποθηκεύεται μόνο σε αυτήν τη μία τοποθεσία, εάν λάβετε μηνύματα ηλεκτρονικού ταχυδρομείου σε αυτόν τον λογαριασμό, θα γνωρίζετε ότι υπήρξε εισβολή.
Αρχεία Βάσεων Δεδομένων
Ψεύτικες εγγραφές μπορούν να προστεθούν σε μια βάση δεδομένων, έτσι ώστε εάν ένας εισβολέας αποκτήσει πρόσβαση στη βάση δεδομένων, θα τις κλέψει. Αυτό μπορεί να είναι χρήσιμο για την παροχή ψευδών πληροφοριών σε έναν εισβολέα, την απόσπαση της προσοχής του από πολύτιμα δεδομένα ή τον εντοπισμό της εισβολής, εάν ο εισβολέας αναφέρει τις ψευδείς πληροφορίες.
Εκτελέσιμα Αρχεία
Ένα εκτελέσιμο αρχείο είναι ιδανικό για χρήση ως honeytoken επειδή μπορεί να ρυθμιστεί ώστε να αποκαλύπτει πληροφορίες για οποιονδήποτε το εκτελεί. Τα εκτελέσιμα αρχεία μπορούν να προστεθούν σε διακομιστές ή προσωπικές συσκευές και να μεταμφιεστούν ως πολύτιμα δεδομένα. Εάν συμβεί μια εισβολή και ο εισβολέας κλέψει το αρχείο και το εκτελέσει στη συσκευή του, ίσως μπορείτε να μάθετε τη διεύθυνση IP και τις πληροφορίες του συστήματος.
Web Beacons
Ένας web beacon είναι ένας σύνδεσμος σε ένα αρχείο προς ένα μικρό γραφικό. Όπως ένα εκτελέσιμο αρχείο, ένα web beacon μπορεί να σχεδιαστεί για να αποκαλύπτει πληροφορίες σχετικά με έναν χρήστη κάθε φορά που έχει πρόσβαση. Τα web beacons μπορούν να χρησιμοποιηθούν ως honeytoken προσθέτοντάς τα σε αρχεία που φαίνονται πολύτιμα. Μόλις ανοίξει το αρχείο, το web beacon θα μεταδώσει πληροφορίες σχετικά με τον χρήστη.
Αξίζει να σημειωθεί ότι η αποτελεσματικότητα τόσο των web beacons όσο και των εκτελέσιμων αρχείων εξαρτάται από τον εισβολέα που χρησιμοποιεί ένα σύστημα με ανοιχτές θύρες.
Μπισκότα
Τα cookies είναι πακέτα δεδομένων που χρησιμοποιούνται από ιστότοπους για την καταγραφή πληροφοριών σχετικά με τους επισκέπτες. Τα cookies μπορούν να προστεθούν σε ασφαλείς περιοχές των ιστότοπων και να χρησιμοποιηθούν για την αναγνώριση ενός χάκερ με τον ίδιο τρόπο που χρησιμοποιούνται για την αναγνώριση οποιουδήποτε άλλου χρήστη. Οι πληροφορίες που συλλέγονται μπορεί να περιλαμβάνουν τι προσπαθεί να αποκτήσει ο χάκερ και πόσο συχνά το κάνει.
Αναγνωριστικά
Το αναγνωριστικό είναι ένα μοναδικό στοιχείο που προστίθεται σε ένα αρχείο. Εάν στέλνετε κάτι σε μια ευρεία ομάδα ανθρώπων και υποψιάζεστε ότι κάποιος από αυτούς πρόκειται να το διαρρεύσει, μπορείτε να προσθέσετε ένα αναγνωριστικό σε κάθε ένα που δηλώνει ποιος είναι ο παραλήπτης. Προσθέτοντας το αναγνωριστικό, θα ξέρετε αμέσως ποιος είναι ο χρήστης που διαρρέει.
Κλειδιά AWS
Ένα κλειδί AWS είναι ένα κλειδί για τις Υπηρεσίες Ιστού της Amazon, που χρησιμοποιείται ευρέως από τις επιχειρήσεις. Συχνά παρέχουν πρόσβαση σε σημαντικές πληροφορίες, καθιστώντας τους πολύ δημοφιλείς στους χάκερ. Τα κλειδιά AWS είναι ιδανικά για χρήση ως honeytokens επειδή κάθε προσπάθεια χρήσης ενός καταγράφεται αυτόματα. Τα κλειδιά AWS μπορούν να προστεθούν σε διακομιστές και σε έγγραφα.
Οι ενσωματωμένοι σύνδεσμοι είναι ιδανικοί για χρήση ως honeytoken, επειδή μπορούν να ρυθμιστούν να στέλνουν πληροφορίες όταν τους κάνετε κλικ. Προσθέτοντας έναν ενσωματωμένο σύνδεσμο σε ένα αρχείο με το οποίο μπορεί να αλληλεπιδράσει ένας εισβολέας, μπορείτε να ειδοποιηθείτε τόσο όταν γίνεται κλικ στον σύνδεσμο όσο και ενδεχομένως από ποιον.
Πού να βάλετε Honeytokens
Επειδή τα honeytoken είναι μικρά και φθηνά και υπάρχουν τόσοι πολλοί διαφορετικοί τύποι, μπορούν να προστεθούν σχεδόν σε οποιοδήποτε σύστημα. Μια επιχείρηση που ενδιαφέρεται να χρησιμοποιεί honeytoken θα πρέπει να κάνει μια λίστα με όλα τα ασφαλή συστήματα και να προσθέσει ένα κατάλληλο honeytoken σε καθένα.
Τα Honeytokens μπορούν να χρησιμοποιηθούν σε διακομιστές, βάσεις δεδομένων και μεμονωμένες συσκευές. Μετά την προσθήκη honeytokens σε ένα δίκτυο, είναι σημαντικό να είναι όλα τεκμηριωμένα και τουλάχιστον ένα άτομο να είναι υπεύθυνο για τον χειρισμό τυχόν ειδοποιήσεων.
Πώς να αντιδράσετε στην ενεργοποίηση των Honeytokens
Όταν ενεργοποιείται ένα honeytoken, αυτό σημαίνει ότι έχει συμβεί μια εισβολή. Η ενέργεια που πρέπει να γίνει προφανώς ποικίλλει ευρέως ανάλογα με το πού σημειώθηκε η εισβολή και πώς ο εισβολέας απέκτησε πρόσβαση. Οι συνήθεις ενέργειες περιλαμβάνουν την αλλαγή κωδικών πρόσβασης και την προσπάθεια να μάθετε τι άλλο μπορεί να έχει πρόσβαση ο εισβολέας.
Προκειμένου να χρησιμοποιηθούν αποτελεσματικά τα honeytokens, η κατάλληλη αντίδραση θα πρέπει να αποφασιστεί εκ των προτέρων. Αυτό σημαίνει ότι όλα τα honeytoken θα πρέπει να συνοδεύονται από ένα σχέδιο αντιμετώπισης περιστατικών.
Τα Honeytokens είναι ιδανικά για κάθε ασφαλή διακομιστή
Όλες οι υπεύθυνες επιχειρήσεις αυξάνουν την άμυνά τους για να αποτρέψουν την εισβολή από χάκερ. Τα Honeytoken είναι μια χρήσιμη τεχνική όχι μόνο για τον εντοπισμό εισβολών αλλά και για την παροχή πληροφοριών σχετικά με τον κυβερνοεπιτιθέμενο.
Σε αντίθεση με πολλές πτυχές που είναι η κυβερνοασφάλεια, η προσθήκη honeytokens σε έναν ασφαλή διακομιστή δεν είναι επίσης μια δαπανηρή διαδικασία. Είναι εύκολο να κατασκευαστούν και με την προϋπόθεση ότι φαίνονται ρεαλιστικά και δυνητικά πολύτιμα, οι περισσότεροι εισβολείς θα έχουν πρόσβαση σε αυτά.
