Co jsou Honeytokens? Jak odhalit kyberzločince kradoucí data

Jakýkoli podnik uchovávající soukromé informace je potenciálním cílem pro hackery. Používají řadu technik pro přístup k zabezpečeným sítím a jsou motivováni skutečností, že jakékoli odcizené osobní údaje lze prodat nebo držet za výkupné.

Všechny odpovědné podniky přijímají opatření, aby tomu zabránily tím, že znesnadní přístup k jejich systémům, jak je to jen možné. Jednou z možností, kterou však mnoho podniků přehlíží, je použití honeytokenů, které lze použít k poskytování výstrah, kdykoli dojde k narušení.

Co jsou tedy honeytokens a měla by je vaše firma používat?

Co jsou Honeytokens?

Honeytokens jsou kusy falešných informací, které se přidávají do zabezpečených systémů, takže když si je vetřelec vezme, spustí výstrahu.

Honeytokeny se primárně používají jednoduše ukazují, že dochází k průniku, ale některé honeytokeny jsou také navrženy tak, aby poskytovaly informace o vetřelcích, kteří mohou odhalit jejich identitu.

Honeytokens vs. Honeypots: Jaký je rozdíl?

Medové známky a honeypoty jsou oba založeny na stejné myšlence. Přidáním falešných aktiv do systému je možné být upozorněni na vetřelce a dozvědět se o nich více. Rozdíl je v tom, že zatímco honeytokeny jsou falešné informace, honeypoty jsou falešné systémy.

Zatímco honeytokens může mít podobu jednotlivého souboru, honeypot může mít podobu celého serveru. Honeypoty jsou výrazně propracovanější a lze je využít k rozptýlení vetřelců ve větší míře.

Druhy Honeytokens

Existuje mnoho různých typů honeytokenů. V závislosti na tom, který z nich používáte, se můžete dozvědět různé informace o narušiteli.

Emailová adresa

Chcete-li použít falešnou e-mailovou adresu jako medovník, jednoduše si vytvořte nový e-mailový účet a uložte jej na místo, ke kterému může mít přístup narušitel. Falešné e-mailové adresy lze přidat na jinak legitimní poštovní servery a osobní zařízení. Za předpokladu, že je e-mailový účet uložen pouze na tomto jednom místě, budete vědět, že pokud na tento účet obdržíte nějaké e-maily, došlo k narušení.

Databázové záznamy

Falešné záznamy mohou být přidány do databáze, takže pokud vetřelec vstoupí do databáze, ukradne je. To může být užitečné pro poskytnutí nepravdivých informací narušiteli, odvedení jeho pozornosti od cenných dat nebo odhalení narušení, pokud se narušitel na nepravdivé informace odvolává.

Spustitelné soubory

Spustitelný soubor je ideální pro použití jako honeytoken, protože jej lze nastavit tak, aby odhaloval informace o každém, kdo jej spouští. Spustitelné soubory lze přidávat na servery nebo osobní zařízení a maskovat je jako cenná data. Pokud dojde k průniku a útočník ukradne soubor a spustí jej na svém zařízení, možná budete schopni zjistit jeho IP adresu a systémové informace.

Web Beacons

Webový maják je odkaz v souboru na malou grafiku. Stejně jako spustitelný soubor může být webový maják navržen tak, aby odhaloval informace o uživateli při každém přístupu. Web beacons lze použít jako honeytokens jejich přidáním do souborů, které se zdají být cenné. Jakmile je soubor otevřen, webový maják bude vysílat informace o uživateli.

Stojí za zmínku, že účinnost webových majáků i spustitelných souborů závisí na útočníkovi, který používá systém s otevřenými porty.

Soubory cookie

Cookies jsou datové balíčky, které používají webové stránky k zaznamenávání informací o návštěvnících. Soubory cookie lze přidávat do zabezpečených oblastí webových stránek a používat je k identifikaci hackera stejným způsobem, jakým se používají k identifikaci jakéhokoli jiného uživatele. Shromážděné informace mohou zahrnovat to, k čemu se hacker pokouší získat přístup a jak často tak činí.

Identifikátory

Identifikátor je jedinečný prvek, který je přidán do souboru. Pokud něco posíláte široké skupině lidí a máte podezření, že to jeden z nich prozradí, můžete ke každému přidat identifikátor, který uvádí, kdo je příjemce. Přidáním identifikátoru budete okamžitě vědět, kdo je únik.

Klíče AWS

Klíč AWS je klíčem pro webové služby Amazon, které podniky široce používají; často poskytují přístup k důležitým informacím, díky čemuž jsou mezi hackery velmi oblíbené. Klíče AWS jsou ideální pro použití jako honeytokens, protože jakýkoli pokus o jejich použití je automaticky zaznamenán. Klíče AWS lze přidat na servery a do dokumentů.

Vložené odkazy jsou ideální pro použití jako honeytokens, protože je lze nastavit tak, aby po kliknutí odeslaly informace. Přidáním vloženého odkazu do souboru, se kterým může útočník interagovat, můžete být upozorněni, když na odkaz klikne, a případně i kdo.

Kam dát Honeytokens

Protože jsou honeytokeny malé a levné a existuje mnoho různých typů, lze je přidat do téměř jakéhokoli systému. Podnik, který má zájem o používání honeytokenů, by si měl vytvořit seznam všech zabezpečených systémů a ke každému přidat vhodný honeytoken.

Honeytokeny lze používat na serverech, databázích a jednotlivých zařízeních. Po přidání honeytokenů do sítě je důležité, aby byly všechny zdokumentovány a aby alespoň jedna osoba byla zodpovědná za zpracování případných výstrah.

Jak reagovat na spuštění Honeytokens

Když je spuštěn honeytoken, znamená to, že došlo k průniku. Akce, která je třeba provést, se samozřejmě značně liší v závislosti na tom, kde k narušení došlo a jak narušitel získal přístup. Mezi běžné akce patří změna hesel a pokusy zjistit, k čemu ještě mohl narušitel přistupovat.

Aby bylo možné využít honeytokens efektivně, měla by být adekvátní reakce rozhodnuta předem. To znamená, že všechny honeytokeny by měly být doprovázeny plán reakce na incident.

Honeytokeny jsou ideální pro jakýkoli zabezpečený server

Všechny odpovědné podniky zvyšují svou obranu, aby zabránily vniknutí hackerů. Honeytokeny jsou užitečnou technikou nejen pro detekci narušení, ale také pro poskytování informací o kyberútočníkovi.

Na rozdíl od mnoha aspektů kybernetické bezpečnosti není přidávání honeytokenů na zabezpečený server drahým procesem. Lze je snadno vyrobit a za předpokladu, že vypadají realisticky a potenciálně hodnotné, většina vetřelců k nim bude mít přístup.