Cum poți detecta hackerii care accesează sistemele tale? Honeytokens ar putea fi răspunsul. Iată ce trebuie să știți.
Orice afacere care stochează informații private este o țintă potențială pentru hackeri. Ei folosesc o serie de tehnici pentru a accesa rețelele securizate și sunt motivați de faptul că orice detalii personale furate pot fi vândute sau păstrate pentru răscumpărare.
Toate întreprinderile responsabile iau măsuri pentru a preveni acest lucru făcând sistemele lor cât mai dificil de accesat posibil. O opțiune pe care multe companii o ignoră, totuși, este utilizarea honeytoken-urilor, care pot fi folosite pentru a furniza alerte ori de câte ori are loc o intruziune.
Deci, ce sunt jetoanele de miere și ar trebui să le folosească afacerea dvs.?
Ce sunt jetoanele de miere?
Honeytoken-urile sunt informații false care sunt adăugate sistemelor securizate, astfel încât, atunci când un intrus le preia, aceasta va declanșa o alertă.
Tokenurile de miere sunt folosite în primul rând pentru simplu
arată că are loc o intruziune, dar unele honeytokens sunt, de asemenea, concepute pentru a oferi informații despre intruși care le pot dezvălui identitatea.Honeytokens vs. Honeypots: Care este diferența?
Honeytokens și honeypots se bazează ambele pe aceeași idee. Adăugând active false la un sistem, este posibil să fii alertat despre intruși și să afli mai multe despre aceștia. Diferența este că, în timp ce honeytoken-urile sunt informații false, honeypot-urile sunt sisteme false.
În timp ce un honeytokens poate lua forma unui fișier individual, un honeypot poate lua forma unui întreg server. Honeypots sunt semnificativ mai sofisticate și pot fi folosite pentru a distrage atenția intrusilor într-o măsură mai mare.
Tipuri de jetoane de miere
Există multe tipuri diferite de jetoane de miere. În funcție de cea pe care o utilizați, este posibil să puteți afla diferite informații despre un intrus.
Adrese de email
Pentru a utiliza o adresă de e-mail falsă ca honeytoken, pur și simplu creați un nou cont de e-mail și stocați-l într-un loc care poate fi accesat de un intrus. Adresele de e-mail false pot fi adăugate la servere de e-mail și dispozitive personale altfel legitime. Cu condiția ca contul de e-mail să fie stocat doar în acea locație, dacă primiți e-mailuri către acel cont, veți ști că a existat o intruziune.
Înregistrările bazei de date
Înregistrările false pot fi adăugate la o bază de date, astfel încât, dacă un intrus accesează baza de date, le va fura. Acest lucru poate fi util pentru a furniza unui intrus informații false, pentru a-i distrage atenția de la date valoroase sau pentru a detecta intruziunea, dacă intrusul face referire la informațiile false.
Fișiere executabile
Un fișier executabil este ideal pentru utilizare ca honeytoken, deoarece poate fi setat să dezvăluie informații despre oricine îl rulează. Fișierele executabile pot fi adăugate la servere sau dispozitive personale și deghizate ca date valoroase. Dacă are loc o intruziune, iar atacatorul fură fișierul și îl rulează pe dispozitivul său, este posibil să puteți afla adresa IP și informațiile despre sistem.
Web Beacons
Un web beacon este un link dintr-un fișier către un mic grafic. La fel ca un fișier executabil, un web beacon poate fi proiectat pentru a dezvălui informații despre un utilizator ori de câte ori este accesat. Web beacon-urile pot fi folosite ca honeytokens prin adăugarea lor la fișierele care par valoroase. Odată ce fișierul este deschis, baliza web va difuza informații despre utilizator.
Este demn de remarcat faptul că eficiența atât a semnalizatoarelor web, cât și a fișierelor executabile depinde de atacatorul care utilizează un sistem cu porturi deschise.
Cookie-uri
Cookie-urile sunt pachete de date care sunt folosite de site-uri web pentru a înregistra informații despre vizitatori. Cookie-urile pot fi adăugate în zonele securizate ale site-urilor web și utilizate pentru a identifica un hacker în același mod în care sunt folosite pentru a identifica orice alt utilizator. Informațiile colectate pot include ceea ce hackerul încearcă să acceseze și cât de des o face.
Identificatori
Un identificator este un element unic care este adăugat la un fișier. Dacă trimiteți ceva unui grup larg de persoane și bănuiți că unul dintre ei îl va scurge, puteți adăuga un identificator fiecăruia care afirmă cine este destinatarul. Adăugând identificatorul, veți ști imediat cine este divulgatorul.
Chei AWS
O cheie AWS este o cheie pentru Amazon Web Services, utilizată pe scară largă de companii; oferă adesea acces la informații importante, făcându-le foarte populare printre hackeri. Cheile AWS sunt ideale pentru a fi folosite ca honeytokens, deoarece orice încercare de a utiliza una este înregistrată automat. Cheile AWS pot fi adăugate la servere și în documente.
Legăturile încorporate sunt ideale pentru a fi utilizate ca honeytokens, deoarece pot fi setate să trimită informații atunci când sunt făcute clic. Adăugând un link încorporat la un fișier cu care poate interacționa un atacator, puteți fi alertat atât când se face clic pe link, cât și eventual de către cine.
Unde să puneți jetoanele de miere
Deoarece jetoanele de miere sunt mici și ieftine și există atât de multe tipuri diferite, pot fi adăugate la aproape orice sistem. O companie interesată să folosească honeytoken-uri ar trebui să facă o listă cu toate sistemele securizate și să adauge un honeytoken adecvat fiecăruia.
Honeytoken-urile pot fi utilizate pe servere, baze de date și dispozitive individuale. După adăugarea honeytoken-urilor în jurul unei rețele, este important ca toate acestea să fie documentate și ca cel puțin o persoană să fie responsabilă pentru gestionarea oricăror alerte.
Cum să reacționezi la declanșarea jetoanelor de miere
Când se declanșează un honeytoken, aceasta înseamnă că a avut loc o intruziune. Acțiunea care trebuie întreprinsă variază în mod evident în funcție de locul în care a avut loc intruziunea și de modul în care intrusul a obținut accesul. Acțiunile obișnuite includ schimbarea parolelor și încercarea de a afla ce altceva ar fi putut accesa intrusul.
Pentru a utiliza în mod eficient jetoanele de miere, reacția adecvată ar trebui decisă din timp. Aceasta înseamnă că toate jetoanele de miere ar trebui să fie însoțite de un plan de răspuns la incident.
Honeytoken-urile sunt ideale pentru orice server securizat
Toate companiile responsabile își sporesc apărarea pentru a preveni intruziunea hackerilor. Honeytoken-urile sunt o tehnică utilă nu numai pentru a detecta intruziunile, ci și pentru a oferi informații despre atacatorul cibernetic.
Spre deosebire de multe aspecte legate de securitatea cibernetică, adăugarea de jetoane de miere la un server securizat nu este, de asemenea, un proces costisitor. Sunt ușor de realizat și cu condiția să pară realiste și potențial valoroase, majoritatea intrușilor le vor accesa.
