Jak wykryć hakerów uzyskujących dostęp do twoich systemów? Honeytokens może być odpowiedzią. Oto, co musisz wiedzieć.
Każda firma przechowująca prywatne informacje jest potencjalnym celem hakerów. Wykorzystują szereg technik, aby uzyskać dostęp do bezpiecznych sieci i są motywowani faktem, że wszelkie skradzione dane osobowe mogą zostać sprzedane lub zatrzymane dla okupu.
Wszystkie odpowiedzialne firmy podejmują środki, aby temu zapobiec, maksymalnie utrudniając dostęp do swoich systemów. Jedną z opcji, którą wiele firm pomija, jest jednak używanie honeytokenów, które mogą być używane do wysyłania alertów za każdym razem, gdy nastąpi włamanie.
Czym więc są żetony miodu i czy Twoja firma powinna ich używać?
Czym są Honeytokeny?
Honeytokeny to fragmenty fałszywych informacji, które są dodawane do bezpiecznych systemów, tak że gdy intruz je zdobędzie, wywoła to alarm.
Honeytokeny służą przede wszystkim do prostoty pokazać, że ma miejsce włamanie, ale niektóre żetony miodu mają również na celu dostarczanie informacji o intruzach, które mogą ujawnić ich tożsamość.
Honeytokens vs. Honeypots: jaka jest różnica?
Miodowe żetony i honeypoty opierają się na tym samym pomyśle. Dodając fałszywe zasoby do systemu, można otrzymywać powiadomienia o intruzach i dowiedzieć się o nich więcej. Różnica polega na tym, że podczas gdy honeytony są fragmentami fałszywych informacji, honeypoty są fałszywymi systemami.
Podczas gdy honeytokens może przybrać formę pojedynczego pliku, honeypot może przybrać formę całego serwera. Honeypoty są znacznie bardziej wyrafinowane i mogą być używane w większym stopniu do odwracania uwagi intruzów.
Rodzaje żetonów miodu
Istnieje wiele różnych typów żetonów miodu. W zależności od tego, którego używasz, możesz dowiedzieć się różnych informacji o intruzie.
Adresy e-mail
Aby użyć fałszywego adresu e-mail jako żetonu miodu, po prostu utwórz nowe konto e-mail i przechowuj je w miejscu, do którego intruz może uzyskać dostęp. Fałszywe adresy e-mail mogą być dodawane do legalnych serwerów pocztowych i urządzeń osobistych. Pod warunkiem, że konto e-mail jest przechowywane tylko w tej jednej lokalizacji, jeśli otrzymasz jakiekolwiek wiadomości e-mail na to konto, będziesz wiedział, że doszło do włamania.
Rekordy bazy danych
Fałszywe rekordy mogą zostać dodane do bazy danych, tak że jeśli intruz uzyska dostęp do bazy danych, ukradnie je. Może to być przydatne do podania intruzowi fałszywych informacji, odwrócenia jego uwagi od cennych danych lub wykrycia włamania, jeśli intruz odwołuje się do fałszywych informacji.
Pliki wykonywalne
Plik wykonywalny jest idealny do użycia jako honeytoken, ponieważ można go ustawić tak, aby ujawniał informacje o każdym, kto go uruchamia. Pliki wykonywalne można dodawać do serwerów lub urządzeń osobistych i ukrywać jako cenne dane. Jeśli nastąpi włamanie, a atakujący ukradnie plik i uruchomi go na swoim urządzeniu, możesz poznać jego adres IP i informacje o systemie.
Sygnały nawigacyjne w sieci Web
Sygnał nawigacyjny to łącze w pliku do małej grafiki. Podobnie jak plik wykonywalny, sygnał nawigacyjny w sieci Web można zaprojektować tak, aby ujawniał informacje o użytkowniku za każdym razem, gdy uzyskuje do niego dostęp. Sygnały nawigacyjne w sieci Web mogą być używane jako żetony miodu, dodając je do plików, które wydają się wartościowe. Po otwarciu pliku sygnał nawigacyjny wysyła informacje o użytkowniku.
Warto zauważyć, że skuteczność zarówno sygnałów nawigacyjnych, jak i plików wykonywalnych zależy od tego, czy atakujący korzysta z systemu z otwartymi portami.
Ciasteczka
Pliki cookie to pakiety danych, które są wykorzystywane przez strony internetowe do zapisywania informacji o odwiedzających. Pliki cookie mogą być dodawane do bezpiecznych obszarów witryn internetowych i używane do identyfikacji hakera w taki sam sposób, w jaki są używane do identyfikacji każdego innego użytkownika. Zebrane informacje mogą obejmować to, do czego haker próbuje uzyskać dostęp i jak często to robi.
Identyfikatory
Identyfikator to unikalny element dodawany do pliku. Jeśli wysyłasz coś do szerokiej grupy osób i podejrzewasz, że jedna z nich to ujawni, możesz dodać identyfikator do każdego z nich, który określa odbiorcę. Dodając identyfikator, od razu dowiesz się, kto jest autorem.
Klucze AWS
Klucz AWS jest kluczem do Amazon Web Services, powszechnie używanym przez firmy; często zapewniają dostęp do ważnych informacji, co czyni je bardzo popularnymi wśród hakerów. Klucze AWS idealnie nadają się do wykorzystania jako honeytony, ponieważ każda próba ich użycia jest automatycznie rejestrowana. Klucze AWS można dodawać do serwerów i w dokumentach.
Osadzone linki są idealne do użycia jako żetony miodu, ponieważ można je ustawić tak, aby wysyłały informacje po kliknięciu. Dodając osadzone łącze do pliku, z którym osoba atakująca może wchodzić w interakcję, możesz otrzymywać alerty zarówno o kliknięciu łącza, jak i potencjalnie przez kogo.
Gdzie umieścić żetony miodu
Ponieważ żetony miodu są małe i niedrogie, a istnieje tak wiele różnych typów, można je dodać do prawie każdego systemu. Firma zainteresowana wykorzystaniem honeytokenów powinna sporządzić listę wszystkich bezpiecznych systemów i dodać do każdego z nich odpowiedni honeytoken.
Honeytokens mogą być używane na serwerach, bazach danych i poszczególnych urządzeniach. Po dodaniu żetonów miodu w sieci ważne jest, aby wszystkie były udokumentowane i aby co najmniej jedna osoba była odpowiedzialna za obsługę alertów.
Jak zareagować na uruchomienie Honeytokenów
Uruchomienie żetonu miodu oznacza, że doszło do włamania. Działania, które należy podjąć, oczywiście różnią się znacznie w zależności od miejsca, w którym doszło do włamania i sposobu, w jaki intruz uzyskał dostęp. Typowe działania obejmują zmianę haseł i próbę dowiedzenia się, do czego jeszcze mógł uzyskać dostęp intruz.
Aby skutecznie wykorzystać żetony miodowe, należy odpowiednio wcześnie zadecydować o odpowiedniej reakcji. Oznacza to, że wszystkim żetonom miodu powinien towarzyszyć plan reagowania na incydenty.
Honeytokens są idealne dla każdego bezpiecznego serwera
Wszystkie odpowiedzialne firmy zwiększają swoją obronę, aby zapobiec włamaniom hakerów. Honeytokens to przydatna technika nie tylko do wykrywania włamań, ale także do dostarczania informacji o cyberatakującym.
W przeciwieństwie do wielu aspektów związanych z cyberbezpieczeństwem, dodanie żetonów miodu do bezpiecznego serwera również nie jest kosztownym procesem. Są łatwe do wykonania i pod warunkiem, że wyglądają realistycznie i potencjalnie wartościowo, większość intruzów uzyska do nich dostęp.