Как вы можете обнаружить хакеров, получающих доступ к вашим системам? Honeytokens может быть ответом. Вот что вам нужно знать.
Любой бизнес, хранящий личную информацию, является потенциальной целью для хакеров. Они используют ряд методов для доступа к защищенным сетям и руководствуются тем фактом, что любые украденные личные данные могут быть проданы или удержаны с целью получения выкупа.
Все ответственные предприятия принимают меры для предотвращения этого, делая свои системы как можно более труднодоступными. Однако один из вариантов, который многие компании упускают из виду, — это использование приманок, которые можно использовать для оповещения всякий раз, когда происходит вторжение.
Так что же такое honeytokens и стоит ли их использовать вашему бизнесу?
Что такое медовые токены?
Honeytoken — это фрагменты фальшивой информации, которые добавляются в защищенные системы, поэтому, когда злоумышленник берет их, это вызывает предупреждение.
Honeytoken в основном используются для простого показать, что происходит вторжение
, но некоторые приманки также предназначены для предоставления информации о злоумышленниках, которая может раскрыть их личность.Ханитокены против. Ханипоты: в чем разница?
Медовые жетоны и оба приманки основаны на одной и той же идее. Добавляя поддельные активы в систему, можно получать предупреждения о злоумышленниках и узнавать о них больше. Разница в том, что приманки — это часть поддельной информации, а приманки — поддельные системы.
В то время как приманки могут принимать форму отдельного файла, приманка может принимать форму целого сервера. Приманки значительно сложнее и могут использоваться для отвлечения злоумышленников в большей степени.
Типы медовых токенов
Есть много различных типов медовых токенов. В зависимости от того, какой из них вы используете, вы можете узнать различную информацию о злоумышленнике.
Адрес электронной почты
Чтобы использовать поддельный адрес электронной почты в качестве приманки, просто создайте новую учетную запись электронной почты и сохраните ее в месте, доступном для злоумышленника. Поддельные адреса электронной почты могут быть добавлены к законным почтовым серверам и персональным устройствам. При условии, что учетная запись электронной почты хранится только в этом одном месте, если вы получите какие-либо электронные письма на эту учетную запись, вы будете знать, что имело место вторжение.
Записи базы данных
Поддельные записи могут быть добавлены в базу данных, так что если злоумышленник получит доступ к базе данных, он украдет их. Это может быть полезно для предоставления злоумышленнику ложной информации, отвлечения его от ценных данных или обнаружения вторжения, если злоумышленник ссылается на ложную информацию.
Исполняемые файлы
Исполняемый файл идеально подходит для использования в качестве приманки, потому что его можно настроить на раскрытие информации о каждом, кто его запускает. Исполняемые файлы могут быть добавлены на серверы или персональные устройства и замаскированы под ценные данные. Если происходит вторжение, и злоумышленник крадет файл и запускает его на своем устройстве, вы можете узнать его IP-адрес и системную информацию.
Веб-маяки
Веб-маяк — это ссылка в файле на небольшое изображение. Как и исполняемый файл, веб-маяк может раскрывать информацию о пользователе при каждом доступе к нему. Веб-маяки можно использовать в качестве приманок, добавляя их в файлы, которые кажутся ценными. Как только файл будет открыт, веб-маяк будет транслировать информацию о пользователе.
Стоит отметить, что эффективность как веб-маяков, так и исполняемых файлов зависит от атакующего, использующего систему с открытыми портами.
Печенье
Файлы cookie — это пакеты данных, которые используются веб-сайтами для записи информации о посетителях. Файлы cookie можно добавлять в защищенные области веб-сайтов и использовать для идентификации хакера так же, как они используются для идентификации любого другого пользователя. Собранная информация может включать в себя то, к чему пытается получить доступ хакер, и как часто он это делает.
Идентификаторы
Идентификатор — это уникальный элемент, добавляемый в файл. Если вы отправляете что-то большому количеству людей и подозреваете, что кто-то из них собирается это слить, вы можете добавить каждому идентификатор, указывающий, кто является получателем. Добавив идентификатор, вы сразу узнаете, кто является источником утечки.
Ключи AWS
Ключ AWS — это ключ для веб-сервисов Amazon, широко используемый предприятиями; они часто предоставляют доступ к важной информации, что делает их очень популярными среди хакеров. Ключи AWS идеально подходят для использования в качестве приманок, поскольку любая попытка их использования автоматически регистрируется. Ключи AWS можно добавлять на серверы и в документы.
Встроенные ссылки идеально подходят для использования в качестве приманки, поскольку их можно настроить на отправку информации при нажатии. Добавляя встроенную ссылку к файлу, с которым может взаимодействовать злоумышленник, вы можете получать оповещения как о том, когда нажимается ссылка, так и о том, кем именно.
Куда положить Honeytoken
Поскольку ханитокены маленькие и недорогие, а также существует множество различных типов, их можно добавить практически в любую систему. Бизнес, заинтересованный в использовании honeytoken, должен составить список всех безопасных систем и добавить в каждую из них подходящий honeytoken.
Honeytoken можно использовать на серверах, в базах данных и на отдельных устройствах. После добавления honeytokens в сеть важно, чтобы все они были задокументированы и чтобы по крайней мере один человек отвечал за обработку любых предупреждений.
Как реагировать на срабатывание Honeytoken
Когда honeytoken срабатывает, это означает, что произошло вторжение. Очевидно, что предпринимаемые действия сильно различаются в зависимости от того, где произошло вторжение и как злоумышленник получил доступ. Общие действия включают смену паролей и попытку узнать, к чему еще мог получить доступ злоумышленник.
Для того, чтобы эффективно использовать honeytokens, адекватная реакция должна быть определена заранее. Это означает, что все приманки должны сопровождаться план реагирования на инциденты.
Honeytoken идеально подходят для любого защищенного сервера
Все ответственные предприятия усиливают свою защиту, чтобы предотвратить вторжение хакеров. Honeytoken — полезный метод не только для обнаружения вторжений, но и для предоставления информации о кибератаке.
В отличие от многих аспектов кибербезопасности, добавление медовых токенов на защищенный сервер также не является дорогостоящим процессом. Их легко сделать, и при условии, что они кажутся реалистичными и потенциально ценными, большинство злоумышленников получат к ним доступ.