Търсене
Close this search box.

Преди няколко седмици в Сан Франциско завърши 32-рото издание на RSA – една от най-големите конференции за киберсигурност в света. Сред най-важните събития беше представянето на ретроспекция на състоянието на киберсигурността от Кевин Мандия, главен изпълнителен директор на Mandiant в Google Cloud. По време на своята лекция Мандия заяви:

„Има ясни стъпки, които организациите могат да предприемат извън общите предпазни мерки и инструменти за сигурност, за да засилят защитата си и да увеличат шансовете си за откриване, осуетяване или минимизиране на атаката […] Honeypots, или фалшиви акаунти, умишлено оставени недокоснати от оторизирани потребители, са ефективни в подпомагането на организациите да откриват прониквания или злонамерени дейности, които продуктите за сигурност не могат да спрат“.

„Изградете honeypots“ е един от седемте му съвета, които помагат на организациите да избегнат някои от атаките, които могат да наложат ангажиране на Mandiant или други фирми за реагиране на инциденти.

Напомняме, че honeypots са системи-примамки, които са създадени, за да привличат нападателите и да отклоняват вниманието им от действителните цели. Обикновено те се използват като механизъм за сигурност за откриване, отклоняване или изучаване на опитите на нападателите да получат неоторизиран достъп до мрежата. След като нападателите взаимодействат с honeypot, системата може да събере информация за атаката и за тактиките, техниките и процедурите (TTPs) на нападателя.

В цифровата епоха, в която нарушенията на сигурността на данните са все по-често срещани, въпреки нарастващите бюджети, отделяни за сигурност всяка година, Мандия посочи, че е от решаващо значение да се предприеме проактивен подход за ограничаване на въздействието на нарушенията на сигурността на данните. Оттук идва и нуждата да се обърнат нещата в полза на нападателите и подновеният интерес към honeypots.

Това, което са примамките за рибарските мрежи

Въпреки че honeypots са ефективно решение за проследяване на нападателите и предотвратяване на кражбата на данни, те все още не са широко разпространени поради трудностите при инсталирането и поддръжката им. За да привлече нападателите, honeypot трябва да изглежда легитимен и изолиран от реалната производствена мрежа, което ги прави трудни за създаване и мащабиране за синия екип, който иска да развие възможности за откриване на прониквания.

Но това не е всичко. В съвременния свят веригата за доставка на софтуер е изключително сложна и се състои от много компоненти на трети страни, като SaaS инструменти, API и библиотеки, които често се доставят от различни производители и доставчици. Компонентите се добавят на всяко ниво от стека за изграждане на софтуер, което поставя под въпрос представата за „безопасен“ периметър, който трябва да бъде защитен. Тази подвижна граница между това, което е вътрешно контролирано, и това, което не е, може да провали целта на honeypots: в този свят, ръководен от DevOps, системите за управление на изходния код и конвейерите за непрекъсната интеграция са истинската стръв за хакерите, която традиционните honeypots не могат да имитират.

За да гарантират сигурността и целостта на веригата за доставка на софтуер, организациите се нуждаят от нови подходи, като например honeytokens, които са за honeypots това, което са примамките за риболов за рибарските мрежи: те изискват минимални ресурси, но са много ефективни при откриването на атаки.

Примамки Honeytoken

Медоносните уловки, подмножество на honeypots, са проектирани така, че да изглеждат като легитимно удостоверение или тайна. Когато нападател използва honeytoken, незабавно се задейства предупреждение. Това позволява на защитниците да предприемат бързи действия въз основа на показателите за компрометиране, като например IP адрес (за разграничаване на вътрешния от външния произход), времева марка, потребителски агенти, източник и логове на всички действия, извършени на honeytoken и съседните системи.

При honeytoken примамката е пълномощното. Когато една система е пробита, хакерите обикновено търсят лесни цели, за да се придвижат странично, да увеличат привилегиите си или да откраднат данни. В този контекст програмните пълномощни, като например API ключовете за облака, са идеална цел за сканиране, тъй като имат разпознаваем модел и често съдържат полезна информация за нападателя. Поради това те представляват основна цел за нападателите, която те могат да търсят и използват по време на пробив. В резултат на това те са и най-лесната примамка за разпространяване от защитниците: могат да бъдат хоствани на облачни активи, вътрешни сървъри, SaaS инструменти на трети страни, както и на работни станции или файлове.

Средно 327 дни са необходими за установяване на нарушение на сигурността на данните. Чрез разпространението на honeytokens на множество места екипите по сигурността могат да откриват нарушения в рамките на минути, като повишават сигурността на конвейера за доставка на софтуер срещу потенциални прониквания. Простотата на honeytokens е значително предимство, което елиминира необходимостта от разработване на цяла система за измама. Организациите могат лесно да създават, разгръщат и управляват honeytokens в мащаба на предприятието, като осигуряват едновременно защита на хиляди хранилища с код.

Бъдещето на откриването на прониквания

Областта на откриването на прониквания твърде дълго време оставаше под радара в света на DevOps. Реалността на място е, че веригите за доставка на софтуер са новата приоритетна цел за нападателите, които са осъзнали, че средите за разработка и изграждане са много по-слабо защитени от производствените. От решаващо значение е да се направи технологията honeypot по-достъпна, както и да се улесни нейното мащабно внедряване с помощта на автоматизация.

GitGuardian, платформа за сигурност на кода, наскоро стартира своята възможност за използване на Honeytoken, за да изпълни тази мисия. Като лидер в откриването и поправянето на тайни, компанията е в уникална позиция да превърне проблема – разрастване на тайни – в отбранително предимство. От дълго време платформата подчертава важността на споделянето на отговорността за сигурността между разработчиците и анализаторите на AppSec. Сега целта е да се „измести наляво“ откриването на прониквания, като се даде възможност на много повече хора да генерират примамливи пълномощия и да ги поставят на стратегически места в стека за разработка на софтуер. Това ще стане възможно, като се предостави на разработчиците инструмент, позволяващ им да създават honeytokens и да ги поставят в хранилищата на кода и във веригата за доставка на софтуер.

Модулът Honeytoken също така автоматично открива изтичане на код в GitHub: когато потребителите поставят honeytokens в своя код, GitGuardian може да определи дали те са били изтекли в публичния GitHub и къде, което значително намалява въздействието на пробиви като тези, разкрити от Twitter, LastPass, Okta, Slack и други.

Заключение

Тъй като софтуерната индустрия продължава да се разраства, от съществено значение е да се направи сигурността по-достъпна за масите. Honeytokens предлага проактивно и просто решение за откриване на прониквания във веригата за доставка на софтуер възможно най-скоро. Те могат да помогнат на компании от всякакъв мащаб да защитят своите системи, независимо от сложността на стека им или използваните инструменти: Системи за управление на контрола на изходния код (SCM), конвейери за непрекъснато интегриране и внедряване (CI/CD), регистри на софтуерни артефакти и др.

Със своята нулева настройка и лесен за използване подход GitGuardian интегрира тази технология, за да помогне на организациите да създават, внедряват и управляват honeytokens в по-голям корпоративен мащаб, като значително намалява въздействието на потенциалните пробиви в данните.

Бъдещето на honeytokens изглежда светло и затова не беше изненада да видим Кевин Мандия да хвали предимствата на honeypots пред най-големите компании за киберсигурност на RSA тази година.

Източник: The Hacker News

Подобни публикации

3 ноември 2024

Използван е бъг RCE в Microsoft SharePoint за п...

Наскоро разкритата уязвимост на Microsoft SharePoint за отдалечено ...
3 ноември 2024

Обходен път поправя замръзване при копиране на...

Microsoft разследва известен проблем, който засяга клиентите на Mic...
3 ноември 2024

Рансъмуерът Cactus удря HACLA

Жилищната администрация на град Лос Анджелис (HACLA), един от най-г...
3 ноември 2024

Пазарът на труда в киберсигурността стагнира

Проучването на ISC2 за работната сила в областта на киберсигурностт...
2 ноември 2024

Новото разширение за Chrome ChatGPT Search прил...

Новото разширение за Chrome на OpenAI „ChatGPT search“ не прилича н...
2 ноември 2024

Потребителите на Azure Virtual Desktop с пробле...

Microsoft предупреди клиентите, че може да се появят до 30 минути ч...
1 ноември 2024

САЩ и Израел описват методите на иранските хакери

Тази седмица Съединените щати и Израел публикуваха консултативен до...
1 ноември 2024

Русия наложи космическа глоба на Google

Говорителят на Кремъл, Дмитрий Песков,  признава, че „дори не може ...
Бъдете социални
Още по темата
31/10/2024

Доклад за заплахите за корп...

На съвременното работно място, ориентирано към...
30/10/2024

MIND излиза от стелт режим ...

MIND излезе от скрит режим с...
30/10/2024

Как да подобрим киберсигурн...

През последните две години секторът на...
Последно добавени
03/11/2024

Използван е бъг RCE в Micro...

Наскоро разкритата уязвимост на Microsoft SharePoint...
03/11/2024

Обходен път поправя замръз...

Microsoft разследва известен проблем, който засяга...
03/11/2024

Рансъмуерът Cactus удря HACLA

Жилищната администрация на град Лос Анджелис...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!