Ako môžete odhaliť hackerov pristupujúcich k vašim systémom? Odpoveďou môžu byť medovníky. Tu je to, čo potrebujete vedieť.
Akýkoľvek podnik uchovávajúci súkromné informácie je potenciálnym cieľom hackerov. Využívajú celý rad techník na prístup k zabezpečeným sieťam a sú motivovaní skutočnosťou, že akékoľvek ukradnuté osobné údaje možno predať alebo držať za výkupné.
Všetky zodpovedné podniky prijímajú opatrenia, aby tomu zabránili tým, že čo najviac sťažia prístup k svojim systémom. Jednou z možností, ktorú však mnohé podniky prehliadajú, je použitie medových tokenov, ktoré možno použiť na poskytovanie upozornení vždy, keď dôjde k narušeniu.
Čo sú to teda honeytokens a mala by ich vaša firma používať?
Čo sú Honeytokens?
Medové tokeny sú kúsky falošných informácií, ktoré sa pridávajú do zabezpečených systémov, takže keď ich vezme votrelec, spustí sa výstraha.
Honeytokens sa primárne používa na jednoducho ukazujú, že dochádza k vniknutiu, ale niektoré medovníky sú tiež navrhnuté tak, aby poskytovali informácie o narušiteľoch, ktorí môžu odhaliť ich identitu.
Honeytokens vs. Honeypots: Aký je rozdiel?
Medové známky a honeypoty sú oba založené na rovnakej myšlienke. Pridaním falošných aktív do systému je možné byť upozornený na votrelcov a dozvedieť sa o nich viac. Rozdiel je v tom, že kým honeytokens sú falošné informácie, honeypoty sú falošné systémy.
Kým honeytokens môže mať formu jednotlivého súboru, honeypot môže mať podobu celého servera. Honeypoty sú podstatne sofistikovanejšie a dajú sa vo väčšej miere využiť na rozptýlenie votrelcov.
Druhy medových tokenov
Existuje veľa rôznych druhov medových tokenov. V závislosti od toho, ktorý z nich používate, sa možno budete môcť dozvedieť rôzne informácie o narušiteľovi.
Emailové adresy
Ak chcete použiť falošnú e-mailovú adresu ako medovník, jednoducho si vytvorte nový e-mailový účet a uložte ho na miesto, ku ktorému môže mať prístup votrelec. Falošné e-mailové adresy možno pridať na inak legitímne poštové servery a osobné zariadenia. Ak je e-mailový účet uložený iba na tomto jednom mieste, ak naň dostanete nejaké e-maily, budete vedieť, že došlo k narušeniu.
Databázové záznamy
Falošné záznamy je možné pridať do databázy, takže ak do databázy vstúpi votrelec, ukradne ich. To môže byť užitočné pri poskytovaní nepravdivých informácií narušiteľovi, odvádzaní jeho pozornosti od cenných údajov alebo pri detekcii narušenia, ak sa narušiteľ odvoláva na nepravdivé informácie.
Spustiteľné súbory
Spustiteľný súbor je ideálny na použitie ako honeytoken, pretože ho možno nastaviť tak, aby odhalil informácie o každom, kto ho spúšťa. Spustiteľné súbory možno pridať na servery alebo osobné zariadenia a zamaskovať ich ako cenné dáta. Ak dôjde k prieniku a útočník ukradne súbor a spustí ho na svojom zariadení, možno sa vám podarí zistiť jeho IP adresu a systémové informácie.
Web Beacons
Webový maják je odkaz v súbore na malú grafiku. Podobne ako spustiteľný súbor môže byť webový maják navrhnutý tak, aby odhalil informácie o používateľovi pri každom prístupe. Web beacons možno použiť ako medové tokeny ich pridaním do súborov, ktoré sa javia ako cenné. Po otvorení súboru bude webový maják vysielať informácie o používateľovi.
Stojí za zmienku, že účinnosť webových majákov aj spustiteľných súborov závisí od toho, či útočník používa systém s otvorenými portami.
Cookies
Súbory cookie sú balíky údajov, ktoré webové stránky používajú na zaznamenávanie informácií o návštevníkoch. Súbory cookie možno pridať do zabezpečených oblastí webových stránok a použiť ich na identifikáciu hackera rovnakým spôsobom, akým sa používajú na identifikáciu akéhokoľvek iného používateľa. Zhromaždené informácie môžu zahŕňať to, k čomu sa hacker pokúša získať prístup a ako často to robí.
Identifikátory
Identifikátor je jedinečný prvok, ktorý sa pridáva do súboru. Ak niečo posielate širokej skupine ľudí a máte podozrenie, že jeden z nich to prezradí, môžete ku každému pridať identifikátor, ktorý uvádza, kto je príjemca. Pridaním identifikátora budete okamžite vedieť, kto je únik.
Kľúče AWS
Kľúč AWS je kľúčom pre webové služby Amazon, ktoré podniky široko používajú; často poskytujú prístup k dôležitým informáciám, vďaka čomu sú medzi hackermi veľmi obľúbené. Kľúče AWS sú ideálne na použitie ako medovníky, pretože každý pokus o ich použitie sa automaticky zaprotokoluje. Kľúče AWS je možné pridať na servery a do dokumentov.
Vložené odkazy sú ideálne na použitie ako medovníky, pretože ich možno nastaviť tak, aby po kliknutí na ne odosielali informácie. Pridaním vloženého odkazu do súboru, s ktorým môže útočník interagovať, môžete byť upozornení na kliknutie na odkaz a potenciálne aj na koho.
Kam dať Honeytokens
Pretože sú medovníky malé a lacné a existuje veľa rôznych typov, možno ich pridať do takmer akéhokoľvek systému. Podnik, ktorý má záujem o používanie honeytokenov, by si mal vytvoriť zoznam všetkých zabezpečených systémov a ku každému pridať vhodný honeytoken.
Honeytokeny možno použiť na serveroch, databázach a jednotlivých zariadeniach. Po pridaní honeytokenov do siete je dôležité, aby boli všetky zdokumentované a aby aspoň jedna osoba bola zodpovedná za spracovanie akýchkoľvek upozornení.
Ako reagovať na spustenie Honeytokens
Keď sa spustí honeytoken, znamená to, že došlo k narušeniu. Opatrenia, ktoré je potrebné vykonať, sa samozrejme značne líšia v závislosti od toho, kde došlo k narušeniu a ako narušiteľ získal prístup. Bežné akcie zahŕňajú zmenu hesiel a pokusy zistiť, k čomu ešte mohol narušiteľ pristupovať.
Aby bolo možné efektívne používať honeytokens, o adekvátnej reakcii by sa malo rozhodnúť vopred. To znamená, že všetky medovníky by mali byť doplnené o plán reakcie na incidenty.
Honeytokeny sú ideálne pre akýkoľvek zabezpečený server
Všetky zodpovedné podniky zvyšujú svoju obranu, aby zabránili vniknutiu hackerov. Honeytokeny sú užitočnou technikou nielen na zisťovanie prienikov, ale aj na poskytovanie informácií o kyberútočníkovi.
Na rozdiel od mnohých aspektov kybernetickej bezpečnosti nie je pridávanie honeytokenov na zabezpečený server drahý proces. Je ľahké ich vyrobiť a za predpokladu, že vyzerajú realisticky a potenciálne hodnotné, väčšina votrelcov k nim bude mať prístup.