Hackovanie je často ako prehrabávanie sa vo vreci bez toho, aby ste sa pozreli dovnútra. Ak je to vaša taška, vedeli by ste, kam sa máte pozerať a aké sú predmety. Môžete siahnuť a chytiť pero za pár sekúnd, zatiaľ čo iná osoba môže chytiť očnú linku.
A čo viac, môžu spôsobiť rozruch pri hľadaní. Prepadnú taškou dlhšie ako vy a hluk, ktorý vydávajú, zvyšuje šancu, že ich budete počuť. Ak nie, porucha vo vašej taške vám hovorí, že niekto prešiel vašimi vecami. Technológia podvodu funguje týmto spôsobom.
Čo je technológia klamania?
Technológia podvodu sa vzťahuje na súpravu taktík, nástrojov a návnad, ktoré modré tímy používajú na odvrátenie pozornosti útočníkov od cenných bezpečnostných aktív. Na prvý pohľad vyzerá umiestnenie a vlastnosti návnady legitímne. V skutočnosti musí byť návnada dostatočne atraktívna, aby ju útočník považoval za dostatočne cennú na to, aby s ňou mohol interagovať.
Interakcia útočníka s návnadami v bezpečnostnom prostredí generuje údaje, ktoré obrancom umožňujú nahliadnuť do ľudského elementu stojaceho za útokom. Interakcia môže pomôcť obrancom zistiť, čo útočník chce a ako to plánujú získať.
Prečo modré tímy používajú technológiu podvodu
Žiadna technológia nie je neporaziteľná, preto bezpečnostné tímy predvolene predpokladajú narušenie. Veľká časť kybernetickej bezpečnosti spočíva v zisťovaní toho, aké aktíva alebo používatelia boli ohrození a ako ich obnoviť. Na to musia operátori modrého tímu poznať rozsah bezpečnostného prostredia, ktoré chránia, a aktíva v tomto prostredí. Jedným z takýchto ochranných opatrení je technológia klamania.
Pamätajte, že zmyslom technológie klamania je prinútiť útočníkov, aby interagovali s návnadami a odvrátili ich pozornosť od cenných aktív. prečo? Všetko závisí od času. Čas je v kybernetickej bezpečnosti cenný a ani útočník, ani obranca nemá nikdy dosť. Interakcia s návnadou mrhá útočníkovi čas a dáva obrancovi viac času reagovať na hrozbu.
Presnejšie povedané, ak si útočník myslí, že návnada, s ktorou interagovali, je skutočný obchod, potom nemá zmysel zostávať vonku. Exfiltrujú ukradnuté údaje a (zvyčajne) odídu. Na druhej strane, ak dôvtipný útočník rýchlo zistí, že aktívum je falošné, bude vedieť, že ho odhalili, a nemôže zostať dlho v sieti. Či tak alebo onak, útočník stráca čas a bezpečnostný tím dostane upozornenie a viac času na reakciu na hrozby.
Ako funguje technológia podvodu
Veľká časť technológie klamania je automatizovaná. Návnadou je zvyčajne údaje, ktoré majú pre hackerov určitú hodnotu: databázy, poverenia, servery a súbory. Tieto aktíva vyzerajú a fungujú rovnako ako tie skutočné, niekedy dokonca fungujú spolu s reálnymi aktívami.
Hlavný rozdiel je v tom, že sú to hlupáci. Napríklad databázy návnad môžu obsahovať falošné administratívne používateľské mená a heslá prepojené s návnadovým serverom. To znamená, že aktivity zahŕňajúce pár používateľského mena a hesla na návnadovom serveri – alebo dokonca na skutočnom serveri – sa zablokujú. Podobne návnady obsahujú falošné tokeny, hash alebo lístky Kerberos, ktoré presmerujú hackera v podstate do karantény.
Okrem toho sú podvodníci zmanipulovaní, aby upozornili bezpečnostné tímy na podozrivého. Keď sa napríklad útočník prihlási na návnadový server, aktivita upozorní operátorov modrého tímu v bezpečnostnom operačnom centre (SOC). Medzitým systém naďalej zaznamenáva aktivity útočníka, napríklad k akým súborom pristupoval (napr. útoky na krádeže poverení) a ako vykonali útok (napr. bočný pohyb a útoky typu man-in-the-middle).
Ráno som rád, že vidím; Môj nepriateľ vystretý pod stromom
Dobre nakonfigurovaný systém podvodov môže minimalizovať škody, ktoré môžu útočníci spôsobiť na vašich bezpečnostných aktívach, alebo ich dokonca úplne zastaviť. A keďže je väčšina z nich automatizovaná, nemusíte strom polievať a opaľovať vo dne v noci. Môžete ho nasadiť a nasmerovať zdroje SOC na bezpečnostné opatrenia, ktoré si vyžadujú praktickejší prístup.