Honeytokens – бъдещето на откриването на прониквания

Преди няколко седмици в Сан Франциско завърши 32-рото издание на RSA – една от най-големите конференции за киберсигурност в света. Сред най-важните събития беше представянето на ретроспекция на състоянието на киберсигурността от Кевин Мандия, главен изпълнителен директор на Mandiant в Google Cloud. По време на своята лекция Мандия заяви:

„Има ясни стъпки, които организациите могат да предприемат извън общите предпазни мерки и инструменти за сигурност, за да засилят защитата си и да увеличат шансовете си за откриване, осуетяване или минимизиране на атаката […] Honeypots, или фалшиви акаунти, умишлено оставени недокоснати от оторизирани потребители, са ефективни в подпомагането на организациите да откриват прониквания или злонамерени дейности, които продуктите за сигурност не могат да спрат“.

„Изградете honeypots“ е един от седемте му съвета, които помагат на организациите да избегнат някои от атаките, които могат да наложат ангажиране на Mandiant или други фирми за реагиране на инциденти.

Напомняме, че honeypots са системи-примамки, които са създадени, за да привличат нападателите и да отклоняват вниманието им от действителните цели. Обикновено те се използват като механизъм за сигурност за откриване, отклоняване или изучаване на опитите на нападателите да получат неоторизиран достъп до мрежата. След като нападателите взаимодействат с honeypot, системата може да събере информация за атаката и за тактиките, техниките и процедурите (TTPs) на нападателя.

В цифровата епоха, в която нарушенията на сигурността на данните са все по-често срещани, въпреки нарастващите бюджети, отделяни за сигурност всяка година, Мандия посочи, че е от решаващо значение да се предприеме проактивен подход за ограничаване на въздействието на нарушенията на сигурността на данните. Оттук идва и нуждата да се обърнат нещата в полза на нападателите и подновеният интерес към honeypots.

Това, което са примамките за рибарските мрежи

Въпреки че honeypots са ефективно решение за проследяване на нападателите и предотвратяване на кражбата на данни, те все още не са широко разпространени поради трудностите при инсталирането и поддръжката им. За да привлече нападателите, honeypot трябва да изглежда легитимен и изолиран от реалната производствена мрежа, което ги прави трудни за създаване и мащабиране за синия екип, който иска да развие възможности за откриване на прониквания.

Но това не е всичко. В съвременния свят веригата за доставка на софтуер е изключително сложна и се състои от много компоненти на трети страни, като SaaS инструменти, API и библиотеки, които често се доставят от различни производители и доставчици. Компонентите се добавят на всяко ниво от стека за изграждане на софтуер, което поставя под въпрос представата за „безопасен“ периметър, който трябва да бъде защитен. Тази подвижна граница между това, което е вътрешно контролирано, и това, което не е, може да провали целта на honeypots: в този свят, ръководен от DevOps, системите за управление на изходния код и конвейерите за непрекъсната интеграция са истинската стръв за хакерите, която традиционните honeypots не могат да имитират.

За да гарантират сигурността и целостта на веригата за доставка на софтуер, организациите се нуждаят от нови подходи, като например honeytokens, които са за honeypots това, което са примамките за риболов за рибарските мрежи: те изискват минимални ресурси, но са много ефективни при откриването на атаки.

Примамки Honeytoken

Медоносните уловки, подмножество на honeypots, са проектирани така, че да изглеждат като легитимно удостоверение или тайна. Когато нападател използва honeytoken, незабавно се задейства предупреждение. Това позволява на защитниците да предприемат бързи действия въз основа на показателите за компрометиране, като например IP адрес (за разграничаване на вътрешния от външния произход), времева марка, потребителски агенти, източник и логове на всички действия, извършени на honeytoken и съседните системи.

При honeytoken примамката е пълномощното. Когато една система е пробита, хакерите обикновено търсят лесни цели, за да се придвижат странично, да увеличат привилегиите си или да откраднат данни. В този контекст програмните пълномощни, като например API ключовете за облака, са идеална цел за сканиране, тъй като имат разпознаваем модел и често съдържат полезна информация за нападателя. Поради това те представляват основна цел за нападателите, която те могат да търсят и използват по време на пробив. В резултат на това те са и най-лесната примамка за разпространяване от защитниците: могат да бъдат хоствани на облачни активи, вътрешни сървъри, SaaS инструменти на трети страни, както и на работни станции или файлове.

Средно 327 дни са необходими за установяване на нарушение на сигурността на данните. Чрез разпространението на honeytokens на множество места екипите по сигурността могат да откриват нарушения в рамките на минути, като повишават сигурността на конвейера за доставка на софтуер срещу потенциални прониквания. Простотата на honeytokens е значително предимство, което елиминира необходимостта от разработване на цяла система за измама. Организациите могат лесно да създават, разгръщат и управляват honeytokens в мащаба на предприятието, като осигуряват едновременно защита на хиляди хранилища с код.

Бъдещето на откриването на прониквания

Областта на откриването на прониквания твърде дълго време оставаше под радара в света на DevOps. Реалността на място е, че веригите за доставка на софтуер са новата приоритетна цел за нападателите, които са осъзнали, че средите за разработка и изграждане са много по-слабо защитени от производствените. От решаващо значение е да се направи технологията honeypot по-достъпна, както и да се улесни нейното мащабно внедряване с помощта на автоматизация.

GitGuardian, платформа за сигурност на кода, наскоро стартира своята възможност за използване на Honeytoken, за да изпълни тази мисия. Като лидер в откриването и поправянето на тайни, компанията е в уникална позиция да превърне проблема – разрастване на тайни – в отбранително предимство. От дълго време платформата подчертава важността на споделянето на отговорността за сигурността между разработчиците и анализаторите на AppSec. Сега целта е да се „измести наляво“ откриването на прониквания, като се даде възможност на много повече хора да генерират примамливи пълномощия и да ги поставят на стратегически места в стека за разработка на софтуер. Това ще стане възможно, като се предостави на разработчиците инструмент, позволяващ им да създават honeytokens и да ги поставят в хранилищата на кода и във веригата за доставка на софтуер.

Модулът Honeytoken също така автоматично открива изтичане на код в GitHub: когато потребителите поставят honeytokens в своя код, GitGuardian може да определи дали те са били изтекли в публичния GitHub и къде, което значително намалява въздействието на пробиви като тези, разкрити от Twitter, LastPass, Okta, Slack и други.

Заключение

Тъй като софтуерната индустрия продължава да се разраства, от съществено значение е да се направи сигурността по-достъпна за масите. Honeytokens предлага проактивно и просто решение за откриване на прониквания във веригата за доставка на софтуер възможно най-скоро. Те могат да помогнат на компании от всякакъв мащаб да защитят своите системи, независимо от сложността на стека им или използваните инструменти: Системи за управление на контрола на изходния код (SCM), конвейери за непрекъснато интегриране и внедряване (CI/CD), регистри на софтуерни артефакти и др.

Със своята нулева настройка и лесен за използване подход GitGuardian интегрира тази технология, за да помогне на организациите да създават, внедряват и управляват honeytokens в по-голям корпоративен мащаб, като значително намалява въздействието на потенциалните пробиви в данните.

Бъдещето на honeytokens изглежда светло и затова не беше изненада да видим Кевин Мандия да хвали предимствата на honeypots пред най-големите компании за киберсигурност на RSA тази година.

Източник: The Hacker News

Подобни публикации

Глобиха Amazon с 30 млн. долара заради домофона...

Amazon ще плати 30 млн. долара глоби за уреждане на обвиненията в н...
1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
Бъдете социални
Още по темата
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
Последно добавени
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!