Търсене
Close this search box.

Honeytokens – бъдещето на откриването на прониквания

Преди няколко седмици в Сан Франциско завърши 32-рото издание на RSA – една от най-големите конференции за киберсигурност в света. Сред най-важните събития беше представянето на ретроспекция на състоянието на киберсигурността от Кевин Мандия, главен изпълнителен директор на Mandiant в Google Cloud. По време на своята лекция Мандия заяви:

„Има ясни стъпки, които организациите могат да предприемат извън общите предпазни мерки и инструменти за сигурност, за да засилят защитата си и да увеличат шансовете си за откриване, осуетяване или минимизиране на атаката […] Honeypots, или фалшиви акаунти, умишлено оставени недокоснати от оторизирани потребители, са ефективни в подпомагането на организациите да откриват прониквания или злонамерени дейности, които продуктите за сигурност не могат да спрат“.

„Изградете honeypots“ е един от седемте му съвета, които помагат на организациите да избегнат някои от атаките, които могат да наложат ангажиране на Mandiant или други фирми за реагиране на инциденти.

Напомняме, че honeypots са системи-примамки, които са създадени, за да привличат нападателите и да отклоняват вниманието им от действителните цели. Обикновено те се използват като механизъм за сигурност за откриване, отклоняване или изучаване на опитите на нападателите да получат неоторизиран достъп до мрежата. След като нападателите взаимодействат с honeypot, системата може да събере информация за атаката и за тактиките, техниките и процедурите (TTPs) на нападателя.

В цифровата епоха, в която нарушенията на сигурността на данните са все по-често срещани, въпреки нарастващите бюджети, отделяни за сигурност всяка година, Мандия посочи, че е от решаващо значение да се предприеме проактивен подход за ограничаване на въздействието на нарушенията на сигурността на данните. Оттук идва и нуждата да се обърнат нещата в полза на нападателите и подновеният интерес към honeypots.

Това, което са примамките за рибарските мрежи

Въпреки че honeypots са ефективно решение за проследяване на нападателите и предотвратяване на кражбата на данни, те все още не са широко разпространени поради трудностите при инсталирането и поддръжката им. За да привлече нападателите, honeypot трябва да изглежда легитимен и изолиран от реалната производствена мрежа, което ги прави трудни за създаване и мащабиране за синия екип, който иска да развие възможности за откриване на прониквания.

Но това не е всичко. В съвременния свят веригата за доставка на софтуер е изключително сложна и се състои от много компоненти на трети страни, като SaaS инструменти, API и библиотеки, които често се доставят от различни производители и доставчици. Компонентите се добавят на всяко ниво от стека за изграждане на софтуер, което поставя под въпрос представата за „безопасен“ периметър, който трябва да бъде защитен. Тази подвижна граница между това, което е вътрешно контролирано, и това, което не е, може да провали целта на honeypots: в този свят, ръководен от DevOps, системите за управление на изходния код и конвейерите за непрекъсната интеграция са истинската стръв за хакерите, която традиционните honeypots не могат да имитират.

За да гарантират сигурността и целостта на веригата за доставка на софтуер, организациите се нуждаят от нови подходи, като например honeytokens, които са за honeypots това, което са примамките за риболов за рибарските мрежи: те изискват минимални ресурси, но са много ефективни при откриването на атаки.

Примамки Honeytoken

Медоносните уловки, подмножество на honeypots, са проектирани така, че да изглеждат като легитимно удостоверение или тайна. Когато нападател използва honeytoken, незабавно се задейства предупреждение. Това позволява на защитниците да предприемат бързи действия въз основа на показателите за компрометиране, като например IP адрес (за разграничаване на вътрешния от външния произход), времева марка, потребителски агенти, източник и логове на всички действия, извършени на honeytoken и съседните системи.

При honeytoken примамката е пълномощното. Когато една система е пробита, хакерите обикновено търсят лесни цели, за да се придвижат странично, да увеличат привилегиите си или да откраднат данни. В този контекст програмните пълномощни, като например API ключовете за облака, са идеална цел за сканиране, тъй като имат разпознаваем модел и често съдържат полезна информация за нападателя. Поради това те представляват основна цел за нападателите, която те могат да търсят и използват по време на пробив. В резултат на това те са и най-лесната примамка за разпространяване от защитниците: могат да бъдат хоствани на облачни активи, вътрешни сървъри, SaaS инструменти на трети страни, както и на работни станции или файлове.

Средно 327 дни са необходими за установяване на нарушение на сигурността на данните. Чрез разпространението на honeytokens на множество места екипите по сигурността могат да откриват нарушения в рамките на минути, като повишават сигурността на конвейера за доставка на софтуер срещу потенциални прониквания. Простотата на honeytokens е значително предимство, което елиминира необходимостта от разработване на цяла система за измама. Организациите могат лесно да създават, разгръщат и управляват honeytokens в мащаба на предприятието, като осигуряват едновременно защита на хиляди хранилища с код.

Бъдещето на откриването на прониквания

Областта на откриването на прониквания твърде дълго време оставаше под радара в света на DevOps. Реалността на място е, че веригите за доставка на софтуер са новата приоритетна цел за нападателите, които са осъзнали, че средите за разработка и изграждане са много по-слабо защитени от производствените. От решаващо значение е да се направи технологията honeypot по-достъпна, както и да се улесни нейното мащабно внедряване с помощта на автоматизация.

GitGuardian, платформа за сигурност на кода, наскоро стартира своята възможност за използване на Honeytoken, за да изпълни тази мисия. Като лидер в откриването и поправянето на тайни, компанията е в уникална позиция да превърне проблема – разрастване на тайни – в отбранително предимство. От дълго време платформата подчертава важността на споделянето на отговорността за сигурността между разработчиците и анализаторите на AppSec. Сега целта е да се „измести наляво“ откриването на прониквания, като се даде възможност на много повече хора да генерират примамливи пълномощия и да ги поставят на стратегически места в стека за разработка на софтуер. Това ще стане възможно, като се предостави на разработчиците инструмент, позволяващ им да създават honeytokens и да ги поставят в хранилищата на кода и във веригата за доставка на софтуер.

Модулът Honeytoken също така автоматично открива изтичане на код в GitHub: когато потребителите поставят honeytokens в своя код, GitGuardian може да определи дали те са били изтекли в публичния GitHub и къде, което значително намалява въздействието на пробиви като тези, разкрити от Twitter, LastPass, Okta, Slack и други.

Заключение

Тъй като софтуерната индустрия продължава да се разраства, от съществено значение е да се направи сигурността по-достъпна за масите. Honeytokens предлага проактивно и просто решение за откриване на прониквания във веригата за доставка на софтуер възможно най-скоро. Те могат да помогнат на компании от всякакъв мащаб да защитят своите системи, независимо от сложността на стека им или използваните инструменти: Системи за управление на контрола на изходния код (SCM), конвейери за непрекъснато интегриране и внедряване (CI/CD), регистри на софтуерни артефакти и др.

Със своята нулева настройка и лесен за използване подход GitGuardian интегрира тази технология, за да помогне на организациите да създават, внедряват и управляват honeytokens в по-голям корпоративен мащаб, като значително намалява въздействието на потенциалните пробиви в данните.

Бъдещето на honeytokens изглежда светло и затова не беше изненада да видим Кевин Мандия да хвали предимствата на honeypots пред най-големите компании за киберсигурност на RSA тази година.

Източник: The Hacker News

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
27/05/2024

Глобите по GDPR са за над 4...

Технологичните гиганти със седалище в Ирландия...
24/05/2024

Как остарелият рутер подкоп...

В днешната цифрова ера, в която...
24/05/2024

Обяснение на 5G домашен инт...

Доставчиците на интернет услуги (ДУУ) са...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!