Взлом часто похож на рыться в сумке, не заглядывая внутрь. Если бы это была ваша сумка, вы бы знали, где искать и на что похожи предметы. Вы можете протянуть руку и взять ручку за считанные секунды, в то время как другой человек может схватить подводку для глаз.
Более того, они могут вызвать шум в своих поисках. Они будут копаться в сумке дольше, чем вы, а издаваемый ими шум увеличивает вероятность того, что вы их услышите. Если нет, беспорядок в вашей сумке говорит о том, что кто-то рылся в ваших вещах. Технология обмана работает таким образом.
Что такое технология обмана?
Технология обмана относится к набору тактик, инструментов и средств-приманок, которые синие команды используют, чтобы отвлечь злоумышленников от ценных активов безопасности. На первый взгляд расположение и свойства приманки выглядят законными. Действительно, приманка должна быть достаточно привлекательной, чтобы злоумышленник мог счесть ее достаточно ценной для взаимодействия с ней.
Взаимодействие злоумышленника с ложными целями в среде безопасности генерирует данные, которые дают защитникам представление о человеческом факторе, стоящем за атакой. Взаимодействие может помочь защитникам узнать, чего хочет злоумышленник и как он планирует это получить.
Почему синие команды используют технологию обмана
Ни одна технология не является непобедимой, поэтому службы безопасности по умолчанию предполагают взлом. Большая часть кибербезопасности заключается в том, чтобы выяснить, какие активы или пользователь были скомпрометированы, и как их восстановить. Для этого операторы синей группы должны знать степень безопасности, которую они защищают, и активы в этой среде. Технология обмана является одной из таких защитных мер.
Помните, что суть технологии обмана состоит в том, чтобы заставить злоумышленников взаимодействовать с приманками и отвлечь их от ценных активов. Почему? Все упирается во время. Время ценно в кибербезопасности, и ни у злоумышленника, ни у защитника никогда не бывает достаточно времени. Взаимодействие с приманкой тратит время злоумышленника и дает защитнику больше времени, чтобы отреагировать на угрозу.
В частности, если злоумышленник думает, что актив-приманка, с которым он взаимодействовал, является реальной сделкой, то нет смысла оставаться открытым. Они извлекают украденные данные и (обычно) уходят. С другой стороны, если сообразительный злоумышленник быстро поймет, что актив фальшивый, то он поймет, что его разоблачили, и не сможет долго оставаться в сети. В любом случае злоумышленник теряет время, а служба безопасности получает предупреждение и больше времени для реагирования на угрозы.
Как работает технология обмана
Большая часть технологии обмана автоматизирована. Актив-приманка обычно данные, представляющие некоторую ценность для хакеров: базы данных, учетные данные, серверы и файлы. Эти активы выглядят и функционируют точно так же, как настоящие, иногда даже работают вместе с реальными активами.
Основное отличие в том, что они тупиковые. Например, ложные базы данных могут содержать поддельные административные имена пользователей и пароли, связанные с фиктивным сервером. Это означает, что действия с использованием пары имени пользователя и пароля на подставном сервере или даже на реальном сервере блокируются. Точно так же учетные данные-приманки содержат поддельные токены, хэши или билеты Kerberos, которые перенаправляют хакера, по сути, в песочницу.
Кроме того, неразорвавшиеся снаряды сфальсифицированы, чтобы предупредить службы безопасности о подозреваемом. Например, когда злоумышленник входит на сервер-приманку, это действие предупреждает операторов синей группы в центре операций по обеспечению безопасности (SOC). Тем временем система продолжает записывать действия злоумышленника, например, к каким файлам он обращался (например, в атаки с кражей учетных данных) и как они выполнили атаку (например, боковое движение и атаки «человек посередине»).
Утром рад видеть; Мой враг растянулся под деревом
Хорошо настроенная система обмана может свести к минимуму ущерб, который злоумышленники могут нанести вашим активам безопасности, или даже полностью остановить их. И поскольку большая часть этого автоматизирована, вам не нужно поливать и греть на солнце это дерево днем и ночью. Вы можете развернуть его и направить ресурсы SOC на меры безопасности, которые требуют более практического подхода.
