Hackerea este adesea ca și cum ai scotoci printr-o geantă fără a te uita înăuntru. Dacă este geanta ta, ai ști unde să te uiți și cum se simt obiectele. Puteți ajunge și să luați un pix în câteva secunde, în timp ce o altă persoană poate lua un creion de ochi.
În plus, ei pot provoca zbucium în căutarea lor. Vor răsuci prin geantă mai mult decât ați face dvs., iar zgomotul pe care îl fac crește șansa să le auziți. Dacă nu ai făcut-o, tulburarea din geantă îți spune că cineva a trecut prin lucrurile tale. Tehnologia înșelăciunii funcționează în acest fel.
Ce este tehnologia Deception?
Tehnologia înșelăciunii se referă la suita de tactici, instrumente și active de momeală pe care echipele albastre le folosesc pentru a distrage atenția atacatorilor de la activele de securitate valoroase. La o privire, locația și proprietățile momelii par legitime. Într-adevăr, momeala trebuie să fie suficient de atractivă pentru ca un atacator să o considere suficient de valoroasă pentru a interacționa în primul rând.
Interacțiunea unui atacator cu momeli într-un mediu de securitate generează date care oferă apărătorilor o perspectivă asupra elementului uman din spatele unui atac. Interacțiunea îi poate ajuta pe apărători să afle ce vrea un atacator și cum plănuiesc să-l obțină.
De ce echipele albastre folosesc tehnologia Deception
Nicio tehnologie nu este invincibilă, de aceea echipele de securitate își asumă o breșă în mod implicit. O mare parte din securitatea cibernetică este o chestiune de a afla ce active sau utilizator au fost compromise și cum să le recuperăm. Pentru a face acest lucru, operatorii echipei albastre trebuie să cunoască amploarea mediului de securitate pe care îl protejează și activele din acel mediu. Tehnologia înșelăciunii este o astfel de măsură de protecție.
Amintiți-vă, tehnologia înșelăciunii este de a determina atacatorii să interacționeze cu momeli și să le distragă atenția de la bunurile valoroase. De ce? Totul se rezumă la timp. Timpul este valoros în securitatea cibernetică și nici atacatorul, nici apărătorul nu au suficient. Interacțiunea cu o momeală irosește timpul atacatorului și îi oferă apărătorului mai mult timp pentru a răspunde la o amenințare.
Mai precis, dacă un atacator crede că momeala cu care a interacționat este adevărata afacere, atunci nu are rost să rămâi în aer liber. Ei exfiltrează datele furate și (de obicei) pleacă. Pe de altă parte, dacă un atacator priceput realizează rapid că activul este fals, atunci ar ști că a fost descoperit și că nu poate rămâne mult timp în rețea. În orice caz, atacatorul pierde timp, iar echipa de securitate primește un avertisment și mai mult timp pentru a răspunde amenințărilor.
Cum funcționează tehnologia Deception
O mare parte din tehnologia înșelăciunii este automatizată. Activul momeală este de obicei date de o oarecare valoare pentru hackeri: baze de date, acreditări, servere și fișiere. Aceste active arată și funcționează la fel ca cele reale, uneori chiar funcționând alături de active reale.
Principala diferență este că sunt prostii. De exemplu, bazele de date cu momeală pot conține nume de utilizator și parole administrative false legate de un server de momeală. Aceasta înseamnă că activitățile care implică o pereche de nume de utilizator și parolă pe un server momeală – sau chiar pe un server real – sunt blocate. În mod similar, acreditările momeală conțin token-uri false, hash-uri sau bilete Kerberos care redirecționează hackerul către, practic, un sandbox.
Mai mult, nebunurile sunt trucate pentru a alerta echipele de securitate asupra suspectului. Când un atacator se conectează la un server momeală, de exemplu, activitatea îi avertizează pe operatorii echipei albastre de la centrul de operațiuni de securitate (SOC). Între timp, sistemul continuă să înregistreze activitățile atacatorului, cum ar fi fișierele accesate (de exemplu, în acreditări care fură atacuri) și cum au executat atacul (de ex., miscare laterala și atacuri de tip om-in-the-middle).
Dimineața Bucură-te că văd; Dușmanul meu întins sub copac
Un sistem de înșelăciune bine configurat poate minimiza daunele pe care atacatorii le pot aduce asupra activelor dvs. de securitate sau chiar le poate opri definitiv. Și pentru că o mare parte din el este automatizată, nu trebuie să udați și să însorați acel copac zi și noapte. Puteți să-l implementați și să direcționați resursele SOC către măsuri de securitate care necesită o abordare mai practică.