Hogyan észlelheti a rendszeréhez hozzáférő hackereket? Honeytoken lehet a válasz. Íme, amit tudnod kell.
A személyes adatokat tároló bármely vállalkozás potenciális célpont lehet a hackerek számára. Számos technikát alkalmaznak a biztonságos hálózatokhoz való hozzáférésre, és az a tény motiválja őket, hogy minden ellopott személyes adatot eladhatnak vagy visszatarthatnak váltságdíj fejében.
Minden felelős vállalkozás intézkedéseket tesz ennek megakadályozására azáltal, hogy rendszereit a lehető legnehezebben teszi hozzáférhetővé. Az egyik lehetőség azonban, amelyet sok vállalkozás figyelmen kívül hagy, a honeytokenek használata, amelyek segítségével riasztást adhatnak behatolás esetén.
Tehát mik azok a méztokenek, és érdemes-e a vállalkozásának használnia őket?
Mik azok a Honeytokenek?
A méztokenek hamis információk, amelyeket a biztonságos rendszerekhez adnak hozzá, így ha egy behatoló elkapja őket, ez riasztást vált ki.
A Honeytokeneket elsősorban az egyszerűséghez szokták megmutatja, hogy behatolás történik
, de egyes mézestokeneket arra is terveztek, hogy információkat nyújtsanak a behatolókról, amelyek felfedhetik kilétüket.Honeytokens vs. Honeypots: Mi a különbség?
Honeytoken és a mézesedények ugyanazon az elgondoláson alapulnak. Ha hamis eszközöket ad a rendszerhez, akkor figyelmeztetést kaphat a behatolókra, és többet megtudhat róluk. A különbség az, hogy míg a honeytokenek hamis információk darabjai, a honeypotok hamis rendszerek.
Míg a honeytoken egy egyedi fájl formáját öltheti, a honeypot egy teljes szerver formáját öltheti. A mézesedények lényegesen kifinomultabbak, és nagyobb mértékben elterelhetik a behatolók figyelmét.
A Honeytoken fajtái
Sokféle méztoken létezik. Attól függően, hogy melyiket használja, különböző információkat tudhat meg egy behatolóról.
Email címek
Ha hamis e-mail címet szeretne mézjegyként használni, egyszerűen hozzon létre egy új e-mail fiókot, és tárolja egy behatoló által elérhető helyen. Hamis e-mail címek hozzáadhatók az egyébként legitim levelezőszerverekhez és személyes eszközökhöz. Ha az e-mail fiók csak azon az egy helyen van tárolva, ha e-mailt kap arra a fiókra, tudni fogja, hogy behatolás történt.
Adatbázis rekordok
Hamis rekordokat lehet hozzáadni az adatbázishoz, így ha egy behatoló hozzáfér az adatbázishoz, ellopja azokat. Ez hasznos lehet a behatoló hamis információval való ellátására, az értékes adatokról való elvonására, vagy a behatolás észlelésére, ha a behatoló hamis információra hivatkozik.
Végrehajtható fájlok
A futtatható fájlok ideálisak méhjelként való használatra, mert beállítható úgy, hogy információkat fedjen fel bárkiről, aki futtatja. A végrehajtható fájlok hozzáadhatók szerverekhez vagy személyes eszközökhöz, és értékes adatoknak álcázhatók. Ha behatolás történik, és a támadó ellopja a fájlt, és futtatja azt az eszközén, akkor megtudhatja az IP-címét és a rendszerinformációit.
Web Beacons
A web beacon egy hivatkozás a fájlban egy kis grafikára. A futtatható fájlokhoz hasonlóan a web beacon is kialakítható úgy, hogy felfedje a felhasználóval kapcsolatos információkat, amikor hozzáférnek. A webjelzők mézesjelként használhatók, ha értékesnek tűnő fájlokhoz adják őket. A fájl megnyitása után a web beacon információkat sugároz a felhasználóról.
Érdemes megjegyezni, hogy mind a webjelzők, mind a végrehajtható fájlok hatékonysága attól függ, hogy a támadó nyitott portokkal rendelkező rendszert használ.
Cookie-k
A cookie-k olyan adatcsomagok, amelyeket a webhelyek a látogatókról szóló információk rögzítésére használnak. A cookie-k hozzáadhatók a webhelyek biztonságos területeihez, és ugyanúgy használhatók a hacker azonosítására, mint bármely más felhasználó azonosítására. Az összegyűjtött információk között szerepelhet, hogy a hacker mire próbál hozzáférni, és milyen gyakran teszi ezt.
Azonosítók
Az azonosító egy fájlhoz hozzáadott egyedi elem. Ha emberek széles csoportjának küld valamit, és gyanítja, hogy valamelyikük kiszivárogtatja, mindegyikhez hozzáadhat egy azonosítót, amely jelzi, hogy ki a címzett. Az azonosító hozzáadásával azonnal tudni fogja, ki a kiszivárogtató.
AWS kulcsok
Az AWS-kulcs az Amazon Web Services kulcsa, amelyet széles körben használnak a vállalkozások; gyakran biztosítanak hozzáférést a fontos információkhoz, így nagyon népszerűek a hackerek körében. Az AWS-kulcsok ideálisak mézjegyként való használatra, mivel minden használatára tett kísérlet automatikusan naplózásra kerül. Az AWS kulcsok hozzáadhatók a szerverekhez és a dokumentumokon belül.
A beágyazott hivatkozások ideálisak mézjegyként való használatra, mert beállíthatók, hogy információt küldjenek, amikor rájuk kattintanak. Ha egy beágyazott hivatkozást ad hozzá egy fájlhoz, amellyel a támadó interakcióba léphet, figyelmeztetést kaphat mind a hivatkozásra való kattintáskor, mind pedig arról, hogy kitől.
Hová tegye a Honeytokeneket
Mivel a méztokenek kicsik és olcsók, és nagyon sokféle típus létezik, szinte bármilyen rendszerhez hozzáadhatók. A méhjegyek használata iránt érdeklődő vállalkozásnak listát kell készítenie az összes biztonságos rendszerről, és mindegyikhez hozzá kell adnia egy megfelelő méhjegyet.
A Honeytokenek szervereken, adatbázisokon és egyedi eszközökön használhatók. Miután hozzáadta a honeytokeneket egy hálózathoz, fontos, hogy mindegyiket dokumentálják, és legalább egy személy felelős a riasztások kezeléséért.
Hogyan reagáljunk a Honeytoken kiváltására
Amikor egy mézjegyet aktiválnak, ez azt jelenti, hogy behatolás történt. A végrehajtandó művelet nyilvánvalóan nagyon eltérő attól függően, hogy hol történt a behatolás, és hogyan jutott hozzá a behatoló. A gyakori műveletek közé tartozik a jelszavak megváltoztatása és annak megkísérlése, hogy megtudják, mihez férhetett még hozzá a behatoló.
A mézjelzők hatékony felhasználása érdekében a megfelelő reakciót előre el kell dönteni. Ez azt jelenti, hogy minden mézjegyhez mellékelni kell egy incidensreagálási terv.
A Honeytokenek ideálisak bármely biztonságos szerverhez
Minden felelősségteljes vállalkozás fokozza védekezését, hogy megakadályozza a hackerek behatolását. A méztokenek nem csak a behatolások észlelésére szolgálnak, hanem információkkal is szolgálnak a kibertámadóról.
A kiberbiztonság sok aspektusával ellentétben a honeytoken biztonságos szerverhez való hozzáadása szintén nem költséges folyamat. Könnyen elkészíthetők, és feltéve, hogy valósághűnek és potenciálisan értékesnek tűnnek, a legtöbb behatoló hozzáférhet hozzájuk.
