В сфере кибербезопасности мы уделяем особое внимание превентивным мерам, таким как устранение уязвимостей и настройка безопасных конфигураций. Это важно для снижения рисков для наших организаций. Но также полезно более внимательно следить за действующими злоумышленниками.
Вот тут-то и появляются приманки (honeypots). Приманка – это система или ресурс, который привлекает потенциальных злоумышленников, как мед привлекает медведей. (Да, у многих продвинутых киберпреступных группировок даже в названиях есть слово “медведь” – совпадение?)
Приманками могут быть целые системы или среды. Honeytokens – это конкретные файлы или данные, используемые в качестве уловок для привлечения злоумышленников и сбора информации о них. Для простоты мы будем использовать термин “приманки”.
Оглавление
Зачем использовать приманки?
Основная цель использования honeypot – предотвращать атаки и быть в курсе отраслевых тенденций. Honeypots также могут предоставить вам ценную информацию об угрозах, поскольку они позволяют напрямую получать информацию об угрозах из ваших собственных систем и сред. Эта информация часто более полезна, чем та, которую могут предоставить другие источники, такие как центры обмена информацией и анализа (ISAC).
Киберзащитники могут использовать приманки, чтобы получить информацию о том, как злоумышленники воздействуют на их организации. Приманки устанавливаются в безопасном месте в сети организации, чтобы защитники могли собирать улики для анализа. Эти данные помогают им выявлять потенциальные угрозы и своевременно предупреждать о возможных атаках.
Наиболее распространенными типами атак являются эксплойты нулевого дня. Это уязвимости, которые злоумышленники используют до того, как о них узнает кто-либо еще. Вот почему организациям нужны дополнительные инструменты для обнаружения этих угроз.
Приманки – отличный способ узнать больше о том, как действуют злоумышленники и какие инструменты они используют. Создавая поддельные системы, которые выглядят как настоящие, вы можете обманом заставить злоумышленников раскрыть их тактику и методы.
Эта информация поможет вам разработать более эффективную защиту от будущих атак. Вы также можете использовать ее, чтобы скорректировать свои меры безопасности и убедиться, что готовы ко всему.
Приманки могут отвлечь злоумышленников от критически важных систем
И если злоумышленник попытается атаковать вашу систему, это может отвлечь его от ваших реальных систем. Это может даже дать вам ценную информацию об их следующих целях!
Защитники могут использовать информацию из honeypots для поиска признаков вредоносной активности в других частях своих систем. Это может помочь им выявлять больше вредоносных действий и сокращать время, необходимое злоумышленникам для доступа к конфиденциальным данным.
Преимущество Honeypots также в том, что у них очень мало ложных срабатываний. Это потому, что они представляют собой специальные приманки, к которым злоумышленники не должны иметь доступа. Это отличается от других инструментов безопасности, которые часто выдают много ложных срабатываний из-за некачественных предупреждений и результатов поиска. Эти ложные срабатывания могут стать проблемой для служб безопасности и разработчиков.
Как использовать приманки?
Чтобы эффективно использовать приманки, компаниям необходимо тщательно продумать, где их разместить. Они часто используются в местах, где злоумышленники могут с большей вероятностью получить доступ, например, к общедоступным конечным точкам и системам, подключенным к Интернету. Их также можно использовать во внутренних сетях и системах.
Первый вариант, конечно, скорее всего, обеспечит большее взаимодействие и даст более общую информацию. Но второй вариант более полезен для обнаружения вредоносных действий, которые проникли за пределы всех средств защиты периметра и могут нанести серьезный ущерб конфиденциальным бизнес-системам и данным.
Компании часто размещают приманки там, где злоумышленникам может показаться, что они хотят проникнуть, чтобы попытаться заманить их к взаимодействию с поддельными целями. Но им нужно быть осторожными, чтобы не получить слишком много ложных срабатываний от реальных пользователей.
То, где вы разместите приманку, может повлиять на количество получаемых предупреждений и их серьезность. Если это общедоступное приложение, оно, вероятно, привлечет много трафика, но если оно внутреннее, предупреждений может быть меньше.
При срабатывании внутренние ловушки могут вызвать более серьезные и срочные ответные меры, поскольку они расположены близко к конфиденциальным данным и критически важным системам. Если злоумышленники смогут получить к ним доступ, это может оказать серьезное влияние на вашу бизнес-деятельность.
Вам необходимо выбрать правильный тип ловушки, исходя из вашей среды и целей. Если вы хотите поймать людей, пытающихся получить доступ к именам пользователей, паролям или ключам API, вам нужны другие ресурсы, чем если бы вы беспокоились о том, что люди могут украсть файлы или данные из баз данных.
Доступно множество коммерческих honeypots и приложений с открытым исходным кодом, так что вы можете настроить их в соответствии со своими потребностями и целями безопасности.
Поиск доступных приманок
На GitHub есть множество репозиториев, посвященных honeypots. Там есть базы данных, приложения, сервисы, инструменты для настройки и мониторинга вредоносной активности. У таких компаний, как Horizon3.ai, есть отличные решения, такие как NodeZero Tripwires. Оно разработано для упрощения настройки ложных целей. Оно автоматизирует процесс и интегрируется со средствами обнаружения угроз для более быстрого реагирования.
Другие, такие как GitGuardian, сосредоточены на безопасности цепочки поставок программного обеспечения и управлении секретами. Вы можете использовать их инструменты для внедрения токенов honey в свой исходный код и среды непрерывной интеграции / доставки. Они отслеживают общедоступные репозитории GitHub на предмет потенциальных утечек, таких как API-ключи, учетные данные, конфиденциальная информация, которая может быть использована для создания ложных целей и защиты от атак.
Итак, honeytokens и honeypots могут быть самыми разными: файлами, базами данных, паролями или даже целыми системами и цифровыми пространствами, в зависимости от того, насколько они сложны и насколько развито воображение у вашей организации. Коммерческие опции можно интегрировать и отслеживать прямо из коробки, но если вы используете какие-то инструменты или продукты с открытым исходным кодом, вам, возможно, потребуется проделать дополнительную работу, чтобы настроить их и заставить работать с вашими honeytokens.
Приманки – это не волшебная палочка, как думают некоторые. Это всего лишь еще один инструмент в вашем арсенале безопасности. При тщательном использовании в сочетании с другими мерами безопасности они могут помочь вам поймать плохих парней до того, как они нанесут слишком большой ущерб. Они также могут дать вам представление о том, какие существуют угрозы и как лучше защитить себя. Кроме того, они могут проверить, насколько хорошо ваша команда работает сообща, чтобы противостоять угрозам.
Автор: Chris Hughes