Преди няколко седмици в Сан Франциско завърши 32-рото издание на RSA – една от най-големите конференции за киберсигурност в света. Сред най-важните събития беше представянето на ретроспекция на състоянието на киберсигурността от Кевин Мандия, главен изпълнителен директор на Mandiant в Google Cloud. По време на своята лекция Мандия заяви:
„Има ясни стъпки, които организациите могат да предприемат извън общите предпазни мерки и инструменти за сигурност, за да засилят защитата си и да увеличат шансовете си за откриване, осуетяване или минимизиране на атаката […] Honeypots, или фалшиви акаунти, умишлено оставени недокоснати от оторизирани потребители, са ефективни в подпомагането на организациите да откриват прониквания или злонамерени дейности, които продуктите за сигурност не могат да спрат“.
„Изградете honeypots“ е един от седемте му съвета, които помагат на организациите да избегнат някои от атаките, които могат да наложат ангажиране на Mandiant или други фирми за реагиране на инциденти.
Напомняме, че honeypots са системи-примамки, които са създадени, за да привличат нападателите и да отклоняват вниманието им от действителните цели. Обикновено те се използват като механизъм за сигурност за откриване, отклоняване или изучаване на опитите на нападателите да получат неоторизиран достъп до мрежата. След като нападателите взаимодействат с honeypot, системата може да събере информация за атаката и за тактиките, техниките и процедурите (TTPs) на нападателя.
В цифровата епоха, в която нарушенията на сигурността на данните са все по-често срещани, въпреки нарастващите бюджети, отделяни за сигурност всяка година, Мандия посочи, че е от решаващо значение да се предприеме проактивен подход за ограничаване на въздействието на нарушенията на сигурността на данните. Оттук идва и нуждата да се обърнат нещата в полза на нападателите и подновеният интерес към honeypots.
Въпреки че honeypots са ефективно решение за проследяване на нападателите и предотвратяване на кражбата на данни, те все още не са широко разпространени поради трудностите при инсталирането и поддръжката им. За да привлече нападателите, honeypot трябва да изглежда легитимен и изолиран от реалната производствена мрежа, което ги прави трудни за създаване и мащабиране за синия екип, който иска да развие възможности за откриване на прониквания.
Но това не е всичко. В съвременния свят веригата за доставка на софтуер е изключително сложна и се състои от много компоненти на трети страни, като SaaS инструменти, API и библиотеки, които често се доставят от различни производители и доставчици. Компонентите се добавят на всяко ниво от стека за изграждане на софтуер, което поставя под въпрос представата за „безопасен“ периметър, който трябва да бъде защитен. Тази подвижна граница между това, което е вътрешно контролирано, и това, което не е, може да провали целта на honeypots: в този свят, ръководен от DevOps, системите за управление на изходния код и конвейерите за непрекъсната интеграция са истинската стръв за хакерите, която традиционните honeypots не могат да имитират.
За да гарантират сигурността и целостта на веригата за доставка на софтуер, организациите се нуждаят от нови подходи, като например honeytokens, които са за honeypots това, което са примамките за риболов за рибарските мрежи: те изискват минимални ресурси, но са много ефективни при откриването на атаки.
Медоносните уловки, подмножество на honeypots, са проектирани така, че да изглеждат като легитимно удостоверение или тайна. Когато нападател използва honeytoken, незабавно се задейства предупреждение. Това позволява на защитниците да предприемат бързи действия въз основа на показателите за компрометиране, като например IP адрес (за разграничаване на вътрешния от външния произход), времева марка, потребителски агенти, източник и логове на всички действия, извършени на honeytoken и съседните системи.
При honeytoken примамката е пълномощното. Когато една система е пробита, хакерите обикновено търсят лесни цели, за да се придвижат странично, да увеличат привилегиите си или да откраднат данни. В този контекст програмните пълномощни, като например API ключовете за облака, са идеална цел за сканиране, тъй като имат разпознаваем модел и често съдържат полезна информация за нападателя. Поради това те представляват основна цел за нападателите, която те могат да търсят и използват по време на пробив. В резултат на това те са и най-лесната примамка за разпространяване от защитниците: могат да бъдат хоствани на облачни активи, вътрешни сървъри, SaaS инструменти на трети страни, както и на работни станции или файлове.
Средно 327 дни са необходими за установяване на нарушение на сигурността на данните. Чрез разпространението на honeytokens на множество места екипите по сигурността могат да откриват нарушения в рамките на минути, като повишават сигурността на конвейера за доставка на софтуер срещу потенциални прониквания. Простотата на honeytokens е значително предимство, което елиминира необходимостта от разработване на цяла система за измама. Организациите могат лесно да създават, разгръщат и управляват honeytokens в мащаба на предприятието, като осигуряват едновременно защита на хиляди хранилища с код.
Областта на откриването на прониквания твърде дълго време оставаше под радара в света на DevOps. Реалността на място е, че веригите за доставка на софтуер са новата приоритетна цел за нападателите, които са осъзнали, че средите за разработка и изграждане са много по-слабо защитени от производствените. От решаващо значение е да се направи технологията honeypot по-достъпна, както и да се улесни нейното мащабно внедряване с помощта на автоматизация.
GitGuardian, платформа за сигурност на кода, наскоро стартира своята възможност за използване на Honeytoken, за да изпълни тази мисия. Като лидер в откриването и поправянето на тайни, компанията е в уникална позиция да превърне проблема – разрастване на тайни – в отбранително предимство. От дълго време платформата подчертава важността на споделянето на отговорността за сигурността между разработчиците и анализаторите на AppSec. Сега целта е да се „измести наляво“ откриването на прониквания, като се даде възможност на много повече хора да генерират примамливи пълномощия и да ги поставят на стратегически места в стека за разработка на софтуер. Това ще стане възможно, като се предостави на разработчиците инструмент, позволяващ им да създават honeytokens и да ги поставят в хранилищата на кода и във веригата за доставка на софтуер.
Модулът Honeytoken също така автоматично открива изтичане на код в GitHub: когато потребителите поставят honeytokens в своя код, GitGuardian може да определи дали те са били изтекли в публичния GitHub и къде, което значително намалява въздействието на пробиви като тези, разкрити от Twitter, LastPass, Okta, Slack и други.
Тъй като софтуерната индустрия продължава да се разраства, от съществено значение е да се направи сигурността по-достъпна за масите. Honeytokens предлага проактивно и просто решение за откриване на прониквания във веригата за доставка на софтуер възможно най-скоро. Те могат да помогнат на компании от всякакъв мащаб да защитят своите системи, независимо от сложността на стека им или използваните инструменти: Системи за управление на контрола на изходния код (SCM), конвейери за непрекъснато интегриране и внедряване (CI/CD), регистри на софтуерни артефакти и др.
Със своята нулева настройка и лесен за използване подход GitGuardian интегрира тази технология, за да помогне на организациите да създават, внедряват и управляват honeytokens в по-голям корпоративен мащаб, като значително намалява въздействието на потенциалните пробиви в данните.
Бъдещето на honeytokens изглежда светло и затова не беше изненада да видим Кевин Мандия да хвали предимствата на honeypots пред най-големите компании за киберсигурност на RSA тази година.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.