Honeytokens – бъдещето на откриването на прониквания

Picture of e-security.bg
e-security.bg
Aрхив | Факти и данни

Преди няколко седмици в Сан Франциско завърши 32-рото издание на RSA – една от най-големите конференции за киберсигурност в света. Сред най-важните събития беше представянето на ретроспекция на състоянието на киберсигурността от Кевин Мандия, главен изпълнителен директор на Mandiant в Google Cloud. По време на своята лекция Мандия заяви:

„Има ясни стъпки, които организациите могат да предприемат извън общите предпазни мерки и инструменти за сигурност, за да засилят защитата си и да увеличат шансовете си за откриване, осуетяване или минимизиране на атаката […] Honeypots, или фалшиви акаунти, умишлено оставени недокоснати от оторизирани потребители, са ефективни в подпомагането на организациите да откриват прониквания или злонамерени дейности, които продуктите за сигурност не могат да спрат“.

„Изградете honeypots“ е един от седемте му съвета, които помагат на организациите да избегнат някои от атаките, които могат да наложат ангажиране на Mandiant или други фирми за реагиране на инциденти.

Напомняме, че honeypots са системи-примамки, които са създадени, за да привличат нападателите и да отклоняват вниманието им от действителните цели. Обикновено те се използват като механизъм за сигурност за откриване, отклоняване или изучаване на опитите на нападателите да получат неоторизиран достъп до мрежата. След като нападателите взаимодействат с honeypot, системата може да събере информация за атаката и за тактиките, техниките и процедурите (TTPs) на нападателя.

В цифровата епоха, в която нарушенията на сигурността на данните са все по-често срещани, въпреки нарастващите бюджети, отделяни за сигурност всяка година, Мандия посочи, че е от решаващо значение да се предприеме проактивен подход за ограничаване на въздействието на нарушенията на сигурността на данните. Оттук идва и нуждата да се обърнат нещата в полза на нападателите и подновеният интерес към honeypots.

Това, което са примамките за рибарските мрежи

Въпреки че honeypots са ефективно решение за проследяване на нападателите и предотвратяване на кражбата на данни, те все още не са широко разпространени поради трудностите при инсталирането и поддръжката им. За да привлече нападателите, honeypot трябва да изглежда легитимен и изолиран от реалната производствена мрежа, което ги прави трудни за създаване и мащабиране за синия екип, който иска да развие възможности за откриване на прониквания.

Но това не е всичко. В съвременния свят веригата за доставка на софтуер е изключително сложна и се състои от много компоненти на трети страни, като SaaS инструменти, API и библиотеки, които често се доставят от различни производители и доставчици. Компонентите се добавят на всяко ниво от стека за изграждане на софтуер, което поставя под въпрос представата за „безопасен“ периметър, който трябва да бъде защитен. Тази подвижна граница между това, което е вътрешно контролирано, и това, което не е, може да провали целта на honeypots: в този свят, ръководен от DevOps, системите за управление на изходния код и конвейерите за непрекъсната интеграция са истинската стръв за хакерите, която традиционните honeypots не могат да имитират.

За да гарантират сигурността и целостта на веригата за доставка на софтуер, организациите се нуждаят от нови подходи, като например honeytokens, които са за honeypots това, което са примамките за риболов за рибарските мрежи: те изискват минимални ресурси, но са много ефективни при откриването на атаки.

Примамки Honeytoken

Медоносните уловки, подмножество на honeypots, са проектирани така, че да изглеждат като легитимно удостоверение или тайна. Когато нападател използва honeytoken, незабавно се задейства предупреждение. Това позволява на защитниците да предприемат бързи действия въз основа на показателите за компрометиране, като например IP адрес (за разграничаване на вътрешния от външния произход), времева марка, потребителски агенти, източник и логове на всички действия, извършени на honeytoken и съседните системи.

При honeytoken примамката е пълномощното. Когато една система е пробита, хакерите обикновено търсят лесни цели, за да се придвижат странично, да увеличат привилегиите си или да откраднат данни. В този контекст програмните пълномощни, като например API ключовете за облака, са идеална цел за сканиране, тъй като имат разпознаваем модел и често съдържат полезна информация за нападателя. Поради това те представляват основна цел за нападателите, която те могат да търсят и използват по време на пробив. В резултат на това те са и най-лесната примамка за разпространяване от защитниците: могат да бъдат хоствани на облачни активи, вътрешни сървъри, SaaS инструменти на трети страни, както и на работни станции или файлове.

Средно 327 дни са необходими за установяване на нарушение на сигурността на данните. Чрез разпространението на honeytokens на множество места екипите по сигурността могат да откриват нарушения в рамките на минути, като повишават сигурността на конвейера за доставка на софтуер срещу потенциални прониквания. Простотата на honeytokens е значително предимство, което елиминира необходимостта от разработване на цяла система за измама. Организациите могат лесно да създават, разгръщат и управляват honeytokens в мащаба на предприятието, като осигуряват едновременно защита на хиляди хранилища с код.

Бъдещето на откриването на прониквания

Областта на откриването на прониквания твърде дълго време оставаше под радара в света на DevOps. Реалността на място е, че веригите за доставка на софтуер са новата приоритетна цел за нападателите, които са осъзнали, че средите за разработка и изграждане са много по-слабо защитени от производствените. От решаващо значение е да се направи технологията honeypot по-достъпна, както и да се улесни нейното мащабно внедряване с помощта на автоматизация.

GitGuardian, платформа за сигурност на кода, наскоро стартира своята възможност за използване на Honeytoken, за да изпълни тази мисия. Като лидер в откриването и поправянето на тайни, компанията е в уникална позиция да превърне проблема – разрастване на тайни – в отбранително предимство. От дълго време платформата подчертава важността на споделянето на отговорността за сигурността между разработчиците и анализаторите на AppSec. Сега целта е да се „измести наляво“ откриването на прониквания, като се даде възможност на много повече хора да генерират примамливи пълномощия и да ги поставят на стратегически места в стека за разработка на софтуер. Това ще стане възможно, като се предостави на разработчиците инструмент, позволяващ им да създават honeytokens и да ги поставят в хранилищата на кода и във веригата за доставка на софтуер.

Модулът Honeytoken също така автоматично открива изтичане на код в GitHub: когато потребителите поставят honeytokens в своя код, GitGuardian може да определи дали те са били изтекли в публичния GitHub и къде, което значително намалява въздействието на пробиви като тези, разкрити от Twitter, LastPass, Okta, Slack и други.

Заключение

Тъй като софтуерната индустрия продължава да се разраства, от съществено значение е да се направи сигурността по-достъпна за масите. Honeytokens предлага проактивно и просто решение за откриване на прониквания във веригата за доставка на софтуер възможно най-скоро. Те могат да помогнат на компании от всякакъв мащаб да защитят своите системи, независимо от сложността на стека им или използваните инструменти: Системи за управление на контрола на изходния код (SCM), конвейери за непрекъснато интегриране и внедряване (CI/CD), регистри на софтуерни артефакти и др.

Със своята нулева настройка и лесен за използване подход GitGuardian интегрира тази технология, за да помогне на организациите да създават, внедряват и управляват honeytokens в по-голям корпоративен мащаб, като значително намалява въздействието на потенциалните пробиви в данните.

Бъдещето на honeytokens изглежда светло и затова не беше изненада да видим Кевин Мандия да хвали предимствата на honeypots пред най-големите компании за киберсигурност на RSA тази година.

#защита на лични данни, # обучение на потребителите, # пробиви в сигурността, # сигурност за крайни устройства, # сигурност на информацията, # сравнения и анализи
The Hacker News

Подобни

Кибератака спря интернет достъпа в училища и детски градини в Инвърклайд
25.01.2026
phishing-7487504_640
Кибератака срещу Дрезденските държавни художествени колекции
25.01.2026
man-2590655_640
Край на дългия регулаторен спор около TikTok
23.01.2026
tiktok-privacy
OpenAI влиза в хардуера през втората половина на 2026 г.
23.01.2026
OpenAI-GPT-4
Гръцката полиция разби схема за SMS фишинг от ново поколение
23.01.2026
flag-greece-officially-adopted-first-national-assembly-epidaurus-january-50937798
Централната банка на Иран използва USDT, за да заобикаля санкциите
23.01.2026
181213-iran-hacking

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
ClickFix кампания атакува хотели и туристически компании в България и ЕС
6.01.2026
Blue_screen_of_death-Maurice_Savage-Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.