Хакването често е като ровене в чанта, без да погледнете вътре. Ако това е вашата чанта, ще знаете къде да търсите и как се чувстват предметите. Можете да посегнете и да вземете химикал за секунди, докато друг човек може да вземе очна линия.
Нещо повече, те могат да предизвикат шум в търсенето си. Те ще ровят в чантата по-дълго от вас, а шумът, който издават, увеличава шанса да ги чуете. Ако не сте го направили, разстройството в чантата ви казва, че някой е минал през вашите неща. Технологията за измама работи по този начин.
Какво представлява технологията за измама?
Технологията за измама се отнася до пакета от тактики, инструменти и активи за примамка, които сините екипи използват, за да отвлекат вниманието на нападателите от ценни активи за сигурност. На пръв поглед местоположението и свойствата на примамката изглеждат законни. Всъщност примамката трябва да е достатъчно привлекателна, за да може нападателят да я сметне за достатъчно ценна, за да си взаимодейства с нея.
Взаимодействието на нападател с примамки в среда за сигурност генерира данни, които дават на защитниците представа за човешкия елемент зад атаката. Взаимодействието може да помогне на защитниците да разберат какво иска нападателят и как планират да го получат.
Защо сините екипи използват технология за измама
Никоя технология не е непобедима, затова екипите за сигурност приемат пробив по подразбиране. Голяма част от киберсигурността е въпрос на намиране на това какви активи или потребители са били компрометирани и как да ги възстановите. За да направят това, операторите на синия екип трябва да знаят степента на средата за сигурност, която защитават, и активите в тази среда. Технологията за измама е една такава защитна мярка.
Не забравяйте, че целта на технологията за измама е да накара нападателите да взаимодействат с примамки и да ги отвлекат от ценни активи. Защо? Всичко се свежда до времето. Времето е ценно в киберсигурността и нито нападателят, нито защитникът никога нямат достатъчно. Взаимодействието с примамка губи времето на нападателя и дава на защитника повече време да отговори на заплаха.
По-конкретно, ако нападателят смята, че активът-примамка, с който са взаимодействали, е истинската сделка, тогава няма смисъл да стои на открито. Те ексфилтрират откраднатите данни и (обикновено) напускат. От друга страна, ако опитен нападател бързо разбере, че активът е фалшив, тогава той ще знае, че е бил открит и не може да остане дълго в мрежата. Така или иначе, нападателят губи време, а екипът по сигурността получава хедс-ъп и повече време за отговор на заплахи.
Как работи технологията за измама
Голяма част от технологиите за измама са автоматизирани. Примамващият актив обикновено е данни с някаква стойност за хакерите: бази данни, идентификационни данни, сървъри и файлове. Тези активи изглеждат и функционират точно като истинските, понякога дори работят заедно с реални активи.
Основната разлика е, че са глупаци. Например базите данни за примамка може да съдържат фалшиви администраторски потребителски имена и пароли, свързани със сървър за примамка. Това означава, че дейности, включващи двойка потребителско име и парола на сървър-примамка - или дори истински сървър - се блокират. По същия начин идентификационните данни за примамка съдържат фалшиви жетони, хешове или билети за Kerberos, които пренасочват хакера към, основно, пясъчник.
Освен това, глупаците са монтирани, за да предупредят екипите за сигурност за заподозрения. Когато нападател влезе в сървър за примамка например, активността предупреждава операторите на синия екип в центъра за операции по сигурността (SOC). Междувременно системата продължава да записва дейностите на нападателя, като например до какви файлове са имали достъп (напр. атаки за кражба на идентификационни данни) и как са извършили атаката (напр. странично движение и атаки тип човек по средата).
In the Morning Glad I See; My Foe Stretched Beneath the Tree
Една добре конфигурирана система за измама може да минимизира щетите, които нападателите могат да причинят на вашите активи за сигурност или дори да ги спре направо. И тъй като голяма част от него е автоматизирана, не е нужно да поливате и излагате на слънце това дърво ден и нощ. Можете да го разгърнете и да насочите ресурсите на SOC към мерки за сигурност, които изискват по-практичен подход.
