Что такое приманка? Может ли это помочь предотвратить кибератаки?

Кибербезопасность - это не всегда случай, когда злоумышленники пытаются атаковать невинных жертв и сети. Благодаря компьютерной системе-ловушке, известной как «приманка», эта роль иногда меняется на противоположную.

Хотя приманка может напоминать образ Винни-Пуха, наслаждающегося гигантской кадкой меда, в мире кибербезопасности он имеет другое значение.

Но что такое приманка и как она помогает противодействовать кибератакам? Существуют ли разные типы приманок и связаны ли они с некоторыми факторами риска? Давайте разберемся.

Что такое приманка?

Приманка - это технология обмана, которую службы безопасности используют для умышленного улавливания злоумышленников. Являясь неотъемлемой частью системы анализа и обнаружения угроз, приманка работает путем моделирования критически важные инфраструктуры, службы и конфигурации, чтобы злоумышленники могли взаимодействовать с этими ложными ИТ ресурсы.

Приманки обычно развертываются рядом с производственными системами, которые организация уже использует, и могут быть ценный актив, позволяющий узнать больше о поведении злоумышленников, а также об инструментах и ​​тактике, которые они используют для обеспечения безопасности. атаки.

Может ли приманка помочь предотвратить кибератаки?

Приманка привлекает вредоносные цели в систему, намеренно оставляя часть сети открытой для злоумышленников. Это позволяет организациям проводить кибератаки в контролируемой среде, чтобы оценить потенциальные уязвимости в своей системе.

Конечная цель приманки - повысить уровень безопасности организации за счет использование адаптивной безопасности. При правильной настройке приманка может помочь собрать следующую информацию:

• Причина нападения
• Поведение нападающего и уровень их мастерства
• Информация о наиболее уязвимых целях в сети
• Техника и тактика, применяемые нападающими
• Эффективность существующих политик кибербезопасности в противодействии аналогичным атакам

Большим преимуществом приманки является то, что вы можете преобразовать любой файловый сервер, маршрутизатор или компьютерный ресурс в сети в один. Помимо сбора информации о нарушениях безопасности, приманка также может снизить риск ложных срабатываний, поскольку она привлекает только реальных киберпреступников.

Различные типы приманок

Приманки бывают разных видов и конструкций в зависимости от типа развертывания. Мы перечислили некоторые из них ниже.

Приманки по назначению

Приманки в основном классифицируются по назначению, например, производственная приманка или исследовательская приманка.

Производственная приманка: Производственная приманка является наиболее распространенным типом и используется для сбора разведывательной информации о кибератаках в производственной сети. Производственная приманка может собирать такие атрибуты, как IP-адреса, попытки взлома данных, даты, трафик и объем.

Несмотря на то, что производственные приманки легко спроектировать и развернуть, они не могут обеспечить сложный интеллект, в отличие от своих исследовательских аналогов. Таким образом, они в основном наняты частными компаниями и даже известными личностями, такими как знаменитости и политические деятели.

Исследовательская приманка: Более сложный тип приманки - исследовательская приманка, предназначенная для сбора информации о конкретных методах и тактиках, используемых злоумышленниками. Он также используется для выявления потенциальных уязвимостей, существующих в системе, в отношении тактики, применяемой злоумышленниками.

Исследовательские приманки в основном используются правительственными учреждениями, разведывательным сообществом и исследовательскими организациями для оценки риска безопасности организации.

Приманки по уровням взаимодействия

Приманки также можно классифицировать по атрибутам. Это просто означает назначение приманки в зависимости от уровня ее взаимодействия.

Приманки с высоким уровнем взаимодействия: Эти приманки не хранят слишком много данных. Они не предназначены для имитации полномасштабной производственной системы, но они запускают все службы, которые могла бы выполнять производственная система, например, полнофункциональная ОС. Эти типы приманок позволяют службам безопасности видеть действия и стратегии злоумышленников в режиме реального времени.

Приманки с высоким уровнем взаимодействия обычно требуют больших ресурсов. Это может вызвать проблемы с обслуживанием, но предлагаемая ими информация стоит затраченных усилий.

Приманки с низким уровнем взаимодействия: Эти приманки в основном используются в производственных средах. Работая на ограниченном количестве сервисов, они служат точками раннего обнаружения для групп безопасности. Приманки с низким уровнем взаимодействия в основном простаивают, ожидая, пока произойдет какая-то активность, чтобы предупредить вас.

Поскольку в этих приманках отсутствуют полнофункциональные сервисы, кибератакам остается не так уж и много. Однако их довольно легко развернуть. Типичный пример приманки с низким уровнем взаимодействия: автоматические боты которые сканируют интернет-трафик на наличие уязвимостей, таких как SSH-боты, автоматические брутфорс и боты для проверки входных данных.

Приманки по типу активности

Приманки также можно классифицировать по типу деятельности, которую они предполагают.

Вредоносные приманки: Иногда злоумышленники пытаются заразить открытые и уязвимые системы, размещая на них образец вредоносного ПО. Поскольку IP-адреса уязвимых систем не входят в список угроз, злоумышленникам легче размещать вредоносное ПО.

Например, приманку можно использовать для имитации запоминающего устройства с универсальной последовательной шиной (USB). Если компьютер подвергся атаке, приманка обманом заставляет вредоносное ПО атаковать имитируемый USB. Это позволяет службам безопасности получать от злоумышленников огромное количество образцов нового вредоносного ПО.

Спам-приманки: Эти приманки привлекают спамеров, используя открытые прокси и почтовые реле. Они используются для сбора информации о новом спаме и спаме на основе электронной почты, поскольку спамеры проводят тесты почтовых ретрансляторов, используя их для отправки электронных писем себе.

Если спамеры успешно рассылают большое количество спама, приманка может идентифицировать тест спамера и заблокировать его. Любые поддельные открытые ретрансляторы SMTP можно использовать в качестве ловушек для спама, поскольку они могут предоставить информацию о текущих тенденциях в отношении спама и определить, кто использует ретранслятор SMTP в организации для отправки спам-писем.

Клиентские приманки: Как следует из названия, клиентские приманки имитируют критически важные части клиентской среды, чтобы помочь с более целенаправленными атаками. Хотя для этих типов приманок не используются данные чтения, они могут сделать любой поддельный хост похожим на настоящий.

Хорошим примером клиентской приманки может быть использование данных, отпечатанных пальцем, таких как информация об операционной системе, открытые порты и запущенные службы.

Соблюдайте осторожность при использовании приманки

При всех своих замечательных преимуществах приманка может быть использована. В то время как приманка с низким уровнем взаимодействия может не представлять каких-либо угроз безопасности, приманка с высоким уровнем взаимодействия иногда может стать рискованным экспериментом.

Приманку, работающую в реальной операционной системе со службами и программами, может быть сложно развернуть, и она может непреднамеренно увеличить риск внешнего вторжения. Это связано с тем, что при неправильной настройке приманки вы можете по незнанию предоставить хакерам доступ к вашей конфиденциальной информации.

Кроме того, кибератаки с каждым днем ​​становятся умнее и могут охотиться за плохо настроенными приманками для взлома подключенных систем. Прежде чем решиться на использование приманки, имейте в виду, что чем проще приманка, тем меньше риск.

Что такое атака с нулевым щелчком и что делает ее такой опасной?

Требуя «нулевого» взаимодействия с пользователем, никакие меры безопасности или бдительность не могут предотвратить атаку с нулевым щелчком. Давайте исследуем дальше.

Читать далее

Об авторе