Hakowanie często przypomina grzebanie w torbie bez zaglądania do środka. Jeśli to twoja torba, wiedziałbyś, gdzie szukać i jakie przedmioty są w dotyku. Możesz sięgnąć i chwycić długopis w ciągu kilku sekund, podczas gdy inna osoba może chwycić eyeliner.
Co więcej, mogą narobić zamieszania w poszukiwaniach. Będą przeszukiwać torbę dłużej niż ty, a hałas, jaki robią, zwiększa szansę, że je usłyszysz. Jeśli tego nie zrobiłeś, bałagan w twojej torbie mówi ci, że ktoś przejrzał twoje rzeczy. Technologia oszustwa działa w ten sposób.
Czym jest technologia oszustwa?
Technologia oszustwa odnosi się do zestawu taktyk, narzędzi i zasobów wabików, których niebieskie zespoły używają do odwracania uwagi atakujących od cennych zasobów bezpieczeństwa. Na pierwszy rzut oka lokalizacja i właściwości wabika wyglądają na uzasadnione. Rzeczywiście, wabik musi być wystarczająco atrakcyjny, aby atakujący uznał go za wystarczająco wartościowy, aby wejść z nim w interakcję.
Interakcja atakującego z przynętami w środowisku bezpieczeństwa generuje dane, które dają obrońcom wgląd w element ludzki stojący za atakiem. Interakcja może pomóc obrońcom dowiedzieć się, czego chce atakujący i jak zamierza to osiągnąć.
Dlaczego niebieskie zespoły używają technologii oszustwa
Żadna technologia nie jest niezwyciężona, dlatego zespoły bezpieczeństwa domyślnie zakładają naruszenie. Znaczna część cyberbezpieczeństwa polega na ustaleniu, które zasoby lub użytkownik zostały naruszone i jak je odzyskać. Aby to zrobić, operatorzy niebieskiego zespołu muszą znać zakres środowiska bezpieczeństwa, które chronią, oraz zasoby w tym środowisku. Technologia oszustwa jest jednym z takich środków ochronnych.
Pamiętaj, że celem technologii oszukiwania jest skłonienie atakujących do interakcji z wabikami i odwrócenie ich uwagi od cennych zasobów. Dlaczego? Wszystko rozbija się o czas. Czas jest cenny w cyberbezpieczeństwie i ani atakujący, ani obrońca nigdy nie ma go wystarczająco dużo. Interakcja z przynętą marnuje czas atakującego i daje obrońcy więcej czasu na reakcję na zagrożenie.
Mówiąc dokładniej, jeśli atakujący uważa, że wabik, z którym wszedł w interakcję, to prawdziwa okazja, nie ma sensu pozostawać na otwartej przestrzeni. Eksfiltrują skradzione dane i (zwykle) odchodzą. Z drugiej strony, jeśli sprytny atakujący szybko zorientuje się, że zasób jest fałszywy, będzie wiedział, że został wykryty i nie może pozostać długo w sieci. Tak czy inaczej, atakujący traci czas, a zespół ds. bezpieczeństwa otrzymuje ostrzeżenie i więcej czasu na reakcję na zagrożenia.
Jak działa technologia oszustwa
Wiele technologii oszustwa jest zautomatyzowanych. Atutem wabika jest zwykle dane o pewnej wartości dla hakerów: bazy danych, poświadczenia, serwery i pliki. Te aktywa wyglądają i funkcjonują tak samo jak prawdziwe, czasem nawet współpracując z prawdziwymi aktywami.
Główną różnicą jest to, że są niewypałami. Na przykład wabiące bazy danych mogą zawierać fałszywe administracyjne nazwy użytkownika i hasła powiązane z serwerem wabika. Oznacza to, że działania związane z parą nazwy użytkownika i hasła na serwerze-wabiku — a nawet na prawdziwym serwerze — są blokowane. Podobnie poświadczenia wabików zawierają fałszywe tokeny, skróty lub bilety Kerberos, które przekierowują hakera do zasadniczo piaskownicy.
Co więcej, niewypały są sfałszowane, aby zaalarmować zespoły bezpieczeństwa o podejrzanym. Na przykład, gdy atakujący loguje się do serwera wabiącego, działanie to ostrzega operatorów niebieskiego zespołu w Centrum Operacji Bezpieczeństwa (SOC). W międzyczasie system nadal rejestruje działania atakującego, takie jak pliki, do których uzyskał dostęp (np. ataki polegające na kradzieży danych uwierzytelniających) i sposób przeprowadzenia ataku (np. ruch boczny I ataki typu man-in-the-middle).
Rano cieszę się, że widzę; Mój wróg rozpostarty pod drzewem
Dobrze skonfigurowany system oszukańczy może zminimalizować szkody, jakie atakujący mogą wyrządzić Twoim zasobom bezpieczeństwa, a nawet całkowicie je zatrzymać. A ponieważ większość z nich jest zautomatyzowana, nie musisz podlewać i opalać tego drzewa w dzień iw nocy. Możesz go wdrożyć i skierować zasoby SOC na środki bezpieczeństwa, które wymagają bardziej praktycznego podejścia.