Рассказываем, как снизить риск компрометации реальных учетных данных пользователей с помощью приманок.
Концепция обмана хакеров давно вышла за пределы только ханипотов (honeypots) или ловушек. Чтобы эффективно выявлять нелегитимные действия в сети компании, необходимо создать грамотно распределенную сеть ложных данных и активов в инфраструктуре. Именно поэтому сегодня системы киберобмана (Distributed Deception Platform) представляет собой и ловушки, и приманки. О последних и поговорим в этой статье.
Приманки (в англоязычном сообществе употребляют разные названия этого компонента — «breadcrumbs», «lures», «bait») — это наиболее привлекательные данные для злоумышленника. Их основная задача — увести хакера от реальных информационных активов на ложные (ловушки). Они распространяются на конечные устройства реальных пользователей или серверы компании. В некоторых решениях и инструментах для распространения используется агент, но этот подход несет в себе риски — дополнительной нагрузки на инфраструктуру, обнаружения агента злоумышленником и его отключением. Поэтому при выборе, в первую очередь, ориентируйтесь на безагентные системы.
Примеры приманок:
Приманки — это важная составляющая систем киберобмана, потому что большинство кибератак начинаются именно с конечных устройств пользователей. Например, согласно исследованию Positive Technologies, три четверти рассмотренных APT-группировок в Юго-Восточной Азии начинают кибератаки с фишинговых рассылок.
Когда злоумышленник получает первоначальный доступ к сети компании, то в первую очередь он пытается найти данные или артефакты, которые помогут ему закрепиться на скомпрометированном хосте и повысить свои привилегии. Такими данными являются логины и пароли, учетные записи пользователей с разным уровнем прав. Есть два пути их использования:
Способы исследования и получения учетных данных на скомпрометированном хосте:
Смысл использования обмана при детектировании кибератак — поставить злоумышленников в тупик и предотвратить их следующий шаг. Злоумышленники находят и пытаются использовать «обманки», не понимая, что они наступили на мину. Их ключевое преимущество заключается в том, что они разнообразны по типу, широко распространены и невидимы для легитимных пользователей, но при этом находятся на виду у злоумышленников.
Самый простой способ — создать фейковые учетки, например, в Active Directory (AD), которые будут предназначена только для целей защиты AD. И отслеживать попытки аутентификации, настроив аудит.
Также существуют различные бесплатные проекты для создания обмана внутри корпоративной сети компании. Ниже вы найдете инструменты для создания приманок.
Один из популярных Open Source-проектов для создания различных приманок внутри инфраструктуры. Поддерживается компаний Thinkst. Сервис позволяет через веб-консоль создать ложный триггер, который в дальнейшем станет приманкой для обнаружения атаки внутри инфраструктуры. Типы приманок:
Вы можете разместить их у себя в инфраструктуре: на рабочих хостах пользователей, базах данных, репозиториях кода, конвейерах CI/CD, системах управления проектами и других информационных активах. Когда пользователь или злоумышленник попытается получить доступ к какому-либо «канареечному» ресурсу, то вы получите уведомление на почту (которая была указана при настройке триггера). В уведомлении будет IP-адрес, имя токена и временная метка доступа.
Ограничения сервиса:
Это один из первых представителей deception-фреймворков с открытым исходным кодом. Этот фреймворк позволяет разворачивать приманки, которые устанавливаются на реальные хосты пользователей и серверы организации (но из коробки поддерживает только небольшое их количество). Одним из преимуществ DejaVu является применение единой платформы для создания различных VLAN-ов, к которым подключаются выбранные протоколы и докер-контейнеры с ханипотами.
Ссылка: https://github.com/bhdresh/Dejavu
Киберобман — эффективный подход для выявления кибератак внутри периметра и удорожания атаки для злоумышленника. Это подтверждено научными независимыми исследованиями («Examining the Efficacy of Decoy-based and Psychological Cyber Deception», «Game Theoretic Deception and Threat Screening for Cyber Security»).
Для знакомства с концепцией и повышения защищенности каких-то небольших сегментов сети могут подойти Open Source-решения. Но они не способны обеспечить эффективный подход выявления нелегитимных действий в сети компании. Основной их недостаток — отсутствие связанности приманок и ловушек, а также централизованного управления ими. Ни один из Open Source-проектов не является полноценным решением класса Distributed Deception Platform (DDP).
Реклама, ООО "КСЕЛЛО", ИНН 7708344509, erid: 2SDnjdn2qNB
Спойлер: она начинается с подписки на наш канал