Hackování je často jako prohrabovat se taškou, aniž byste se podívali dovnitř. Pokud je to vaše taška, věděli byste, kam se dívat a jaké jsou předměty. Můžete sáhnout dovnitř a uchopit pero během několika sekund, zatímco jiná osoba může uchopit oční linky.
A co víc, mohou způsobit rozruch při hledání. Proletí taškou déle než vy a hluk, který vydávají, zvyšuje šanci, že je uslyšíte. Pokud jste to neudělali, nepořádek ve vaší tašce vám říká, že někdo prošel vašimi věcmi. Technologie klamání funguje tímto způsobem.
Co je technologie klamání?
Technologie klamání označuje sadu taktik, nástrojů a návnad, které modré týmy používají k odvrácení pozornosti útočníků od cenných bezpečnostních aktiv. Na první pohled vypadá umístění a vlastnosti návnady legitimně. Návnada musí být skutečně dostatečně atraktivní, aby ji útočník považoval za dostatečně cennou, aby s ní mohl interagovat.
Interakce útočníka s návnadami v bezpečnostním prostředí generuje data, která umožňují obráncům nahlédnout do lidského elementu stojícího za útokem. Interakce může obráncům pomoci zjistit, co útočník chce a jak to plánují získat.
Proč modré týmy používají technologii podvodu
Žádná technologie není neporazitelná, a proto bezpečnostní týmy standardně předpokládají narušení. Velká část kybernetické bezpečnosti spočívá ve zjištění, jaký majetek nebo uživatel byl ohrožen a jak je obnovit. K tomu musí operátoři modrého týmu znát rozsah bezpečnostního prostředí, které chrání, a aktiva v tomto prostředí. Jedním z takových ochranných opatření je technologie klamání.
Pamatujte, že smyslem technologie klamání je přimět útočníky k interakci s návnadami a odvrátit je od cenných aktiv. Proč? Všechno závisí na čase. Čas je v kybernetické bezpečnosti cenný a ani útočník, ani obránce nemají nikdy dost. Interakce s návnadou plýtvá útočníkovým časem a dává obránci více času reagovat na hrozbu.
Přesněji řečeno, pokud si útočník myslí, že návnada, se kterou interagoval, je skutečný obchod, pak nemá smysl zůstávat venku. Exfiltrují ukradená data a (obvykle) odejdou. Na druhou stranu, pokud důvtipný útočník rychle zjistí, že aktivum je falešné, věděl by, že byl odhalen, a nemůže v síti dlouho zůstat. Ať tak či onak, útočník ztrácí čas a bezpečnostní tým dostane upozornění a více času na reakci na hrozby.
Jak funguje technologie podvodu
Většina technologií klamání je automatizovaná. Návnadou je obvykle data, která mají pro hackery určitou hodnotu: databáze, pověření, servery a soubory. Tato aktiva vypadají a fungují stejně jako ta skutečná, někdy dokonce fungují vedle skutečných aktiv.
Hlavní rozdíl je v tom, že jsou to blbci. Například databáze návnady mohou obsahovat falešná administrátorská uživatelská jména a hesla spojená s návnadovým serverem. To znamená, že aktivity zahrnující pár uživatelského jména a hesla na návnadovém serveru – nebo dokonce skutečném serveru – budou zablokovány. Podobně návnady obsahují falešné tokeny, hashe nebo lístky Kerberos, které přesměrují hackera v podstatě do karantény.
Kromě toho jsou duds zmanipulováni, aby upozornili bezpečnostní týmy na podezřelého. Když se například útočník přihlásí k serveru návnady, aktivita varuje operátory modrého týmu v bezpečnostním operačním centru (SOC). Mezitím systém nadále zaznamenává aktivity útočníka, například k jakým souborům přistupoval (např. útoky na krádeže přihlašovacích údajů) a jak provedli útok (např. boční pohyb a útoky typu man-in-the-middle).
In the Morning Glad I See; Můj nepřítel natažený pod stromem
Dobře nakonfigurovaný systém klamání může minimalizovat škody, které mohou útočníci způsobit na vašich bezpečnostních aktivech, nebo je dokonce úplně zastavit. A protože je většina z nich automatizovaná, nemusíte strom zalévat a opalovat ve dne v noci. Můžete jej nasadit a nasměrovat zdroje SOC na bezpečnostní opatření, která vyžadují více praktický přístup.
