Kako možete otkriti hakere koji pristupaju vašim sustavima? Honeytokens bi mogao biti odgovor. Evo što trebate znati.
Svaka tvrtka koja pohranjuje privatne podatke potencijalna je meta hakera. Koriste niz tehnika za pristup sigurnim mrežama i motivirani su činjenicom da se svi ukradeni osobni podaci mogu prodati ili zadržati za otkupninu.
Sve odgovorne tvrtke poduzimaju mjere da to spriječe čineći svojim sustavima što je moguće težim pristup. Međutim, jedna opcija koju mnoge tvrtke zanemaruju je korištenje honeytokena, koji se mogu koristiti za pružanje upozorenja kad god dođe do upada.
Dakle, što su honeytokeni i treba li ih vaša tvrtka koristiti?
Što su Honeytokeni?
Honeytokeni su dijelovi lažnih informacija koje se dodaju sigurnim sustavima, tako da će, kada ih uljez uzme, to pokrenuti upozorenje.
Honeytokeni se prvenstveno koriste za jednostavno pokazati da dolazi do upada, ali neki honeytokeni također su dizajnirani za pružanje informacija o uljezima koje mogu otkriti njihov identitet.
Honeytokens vs. Honeypots: Koja je razlika?
Honeytokens i honeypots se oba temelje na istoj ideji. Dodavanjem lažnih sredstava u sustav, moguće je biti upozoren na uljeze i saznati više o njima. Razlika je u tome što su honeytokeni lažni podaci, dok su honeypotovi lažni sustavi.
Dok honeytokens može imati oblik pojedinačne datoteke, honeypot može imati oblik cijelog poslužitelja. Honeypots su znatno sofisticiraniji i mogu se koristiti za odvraćanje pažnje uljeza u većoj mjeri.
Vrste honeytokena
Postoji mnogo različitih vrsta žetona meda. Ovisno o tome koji koristite, možda ćete moći saznati različite informacije o uljezu.
Email adrese
Da biste koristili lažnu adresu e-pošte kao honeytoken, jednostavno kreirajte novi račun e-pošte i pohranite ga na mjesto kojem bi uljez mogao pristupiti. Lažne adrese e-pošte mogu se dodati inače legitimnim poslužiteljima e-pošte i osobnim uređajima. Pod uvjetom da je račun e-pošte pohranjen samo na toj jednoj lokaciji, ako primite bilo kakvu e-poštu na taj račun, znat ćete da je došlo do upada.
Zapisi baze podataka
Lažni zapisi mogu se dodati u bazu podataka tako da će ih uljez ukrasti ako pristupi bazi podataka. To može biti korisno za pružanje lažnih informacija uljezu, odvraćanje pažnje od vrijednih podataka ili otkrivanje upada, ako se uljez poziva na lažne informacije.
Izvršne datoteke
Izvršna datoteka idealna je za korištenje kao honeytoken jer se može postaviti da otkriva informacije o svakome tko je pokreće. Izvršne datoteke mogu se dodati poslužiteljima ili osobnim uređajima i maskirati kao vrijedni podaci. Ako dođe do upada, a napadač ukrade datoteku i pokrene je na svom uređaju, možda ćete moći saznati njihovu IP adresu i informacije o sustavu.
Web Beacons
Web beacon je poveznica u datoteci na malu grafiku. Poput izvršne datoteke, web svjetionik može biti dizajniran tako da otkriva informacije o korisniku kad god mu se pristupi. Web beacons se mogu koristiti kao honeytokeni dodavanjem datotekama koje se čine vrijednima. Nakon što se datoteka otvori, web beacon će emitirati podatke o korisniku.
Vrijedno je napomenuti da učinkovitost web beacona i izvršnih datoteka ovisi o napadaču koji koristi sustav s otvorenim portovima.
Kolačići
Kolačići su paketi podataka koje web stranice koriste za bilježenje podataka o posjetiteljima. Kolačići se mogu dodati sigurnim područjima web stranica i koristiti za identifikaciju hakera na isti način na koji se koriste za identifikaciju bilo kojeg drugog korisnika. Prikupljene informacije mogu uključivati čemu haker pokušava pristupiti i koliko često to čine.
Identifikatori
Identifikator je jedinstveni element koji se dodaje datoteci. Ako šaljete nešto širokoj skupini ljudi, a sumnjate da će netko od njih to otkriti, svakome možete dodati identifikator koji navodi tko je primatelj. Dodavanjem identifikatora odmah ćete znati tko je procurio.
AWS ključevi
AWS ključ je ključ za Amazon Web Services, koji naširoko koriste tvrtke; često omogućuju pristup važnim informacijama, što ih čini vrlo popularnima među hakerima. AWS ključevi idealni su za korištenje kao honeytokens jer se svaki pokušaj korištenja automatski bilježi. AWS ključevi mogu se dodati na poslužitelje i unutar dokumenata.
Ugrađene poveznice idealne su za korištenje kao honeytokeni jer se mogu postaviti da šalju informacije kada se na njih klikne. Dodavanjem ugrađene veze u datoteku s kojom bi napadač mogao stupiti u interakciju, možete biti upozoreni kada se klikne na vezu i potencijalno tko.
Gdje staviti tokene meda
Budući da su honeytokeni mali i jeftini, a postoji toliko mnogo različitih vrsta, mogu se dodati u gotovo svaki sustav. Tvrtka zainteresirana za korištenje honeytokena trebala bi napraviti popis svih sigurnih sustava i svakom dodati odgovarajući honeytoken.
Honeytokeni se mogu koristiti na poslužiteljima, bazama podataka i pojedinačnim uređajima. Nakon dodavanja honeytokena u mrežu, važno je da su svi dokumentirani i da je barem jedna osoba odgovorna za rukovanje svim upozorenjima.
Kako reagirati na aktiviranje honeytokena
Kada se honeytoken aktivira, to znači da je došlo do upada. Radnje koje treba poduzeti očito se uvelike razlikuju ovisno o tome gdje se upad dogodio i kako je uljez dobio pristup. Uobičajene radnje uključuju promjenu lozinki i pokušaj saznanja čemu je još uljez možda pristupio.
Kako bi se žetoni meda učinkovito koristili, potrebno je unaprijed odlučiti o odgovarajućoj reakciji. To znači da svi honeytokeni trebaju biti popraćeni plan odgovora na incident.
Honeytokeni su idealni za svaki sigurni poslužitelj
Sve odgovorne tvrtke povećavaju svoju obranu kako bi spriječile upad hakera. Honeytokeni su korisna tehnika ne samo za otkrivanje upada, već i za pružanje informacija o kibernetičkom napadaču.
Za razliku od mnogih aspekata kibernetičke sigurnosti, dodavanje honeytokena na siguran poslužitelj također nije skup proces. Lako ih je napraviti i pod uvjetom da izgledaju realistično i potencijalno vrijedno, većina uljeza će im pristupiti.
