Hacking er ofte som at rode i en taske uden at kigge ind. Hvis det er din taske, ville du vide, hvor du skal kigge, og hvordan genstandene føles. Du kan række ind og få fat i en pen på få sekunder, mens en anden person kan få fat i en eyeliner.
Hvad mere er, kan de forårsage rod i deres søgning. De vil rifle gennem tasken længere, end du ville, og den støj, de laver, øger chancen for, at du hører dem. Hvis du ikke gjorde det, fortæller lidelsen i din taske dig, at nogen har været igennem dine ting. Bedragsteknologi fungerer på denne måde.
Hvad er Deception Technology?
Deception-teknologi refererer til pakken af taktikker, værktøjer og lokkeaktiver, som blå teams bruger til at distrahere angribere fra værdifulde sikkerhedsaktiver. Ved et blik ser lokkemandens placering og egenskaber legitime ud. Faktisk skal lokkemidlet være attraktivt nok til, at en angriber kan betragte det som værdifuldt nok til at interagere med i første omgang.
En angribers interaktion med lokkefugle i et sikkerhedsmiljø genererer data, der giver forsvarere indsigt i det menneskelige element bag et angreb. Interaktionen kan hjælpe forsvarere med at finde ud af, hvad en angriber vil have, og hvordan de planlægger at få det.
Hvorfor Blue Teams bruger Deception Technology
Ingen teknologi er uovervindelig, derfor antager sikkerhedsteams som standard et brud. Meget af cybersikkerhed er et spørgsmål om at finde ud af, hvilke aktiver eller brugere der er blevet kompromitteret, og hvordan de gendannes. For at gøre dette skal blue team-operatører kende omfanget af det sikkerhedsmiljø, de beskytter, og aktiverne i det miljø. Bedragerteknologi er en sådan beskyttelsesforanstaltning.
Husk, pointen med bedrageriteknologi er at få angribere til at interagere med lokkefugle og distrahere dem fra værdifulde aktiver. Hvorfor? Alt koger ned til tid. Tid er værdifuld i cybersikkerhed, og hverken angriber eller forsvarer har nogensinde nok. At interagere med en lokkefugl spilder en angribers tid og giver forsvareren mere tid til at reagere på en trussel.
Mere specifikt, hvis en angriber tror, at lokkeaktiveret, de interagerede med, er den rigtige vare, så nytter det ikke noget at blive ude i det fri. De eksfiltrerer de stjålne data og går (normalt). På den anden side, hvis en kyndig angriber hurtigt indser, at aktivet er falsk, så ville de vide, at de er blevet fundet ud og ikke kan blive længe på netværket. Uanset hvad, mister angriberen tid, og sikkerhedsteamet får en heads-up og mere tid til at reagere på trusler.
Sådan virker bedragsteknologi
Meget af bedrageriteknologi er automatiseret. Lokkeaktiveret er normalt data af en vis værdi for hackere: databaser, legitimationsoplysninger, servere og filer. Disse aktiver ser ud og fungerer ligesom de rigtige, nogle gange arbejder de endda sammen med rigtige aktiver.
Den største forskel er, at de er duds. For eksempel kan lokkedatabaser indeholde falske administrative brugernavne og adgangskoder knyttet til en lokkeserver. Dette betyder, at aktiviteter, der involverer et par brugernavn og adgangskode på en lokkeserver - eller endda en rigtig server - bliver blokeret. På samme måde indeholder lokkeoplysninger falske tokens, hashes eller Kerberos-billetter, der omdirigerer hackeren til, dybest set, en sandkasse.
Desuden er duds rigget til at advare sikkerhedshold til den mistænkte. Når en angriber for eksempel logger på en lokkeserver, advarer aktiviteten blå teamoperatører på sikkerhedsoperationscenteret (SOC). I mellemtiden fortsætter systemet med at registrere hackerens aktiviteter, såsom hvilke filer de har adgang til (f.eks. i legitimationsoplysninger, der stjæler angreb) og hvordan de udførte angrebet (f.eks. lateral bevægelse og man-in-the-midten-angreb).
Om Morgenen Glad jeg Ser; Min fjende strakt ud under træet
Et velkonfigureret bedragerisystem kan minimere den skade, angribere kan forårsage på dine sikkerhedsaktiver eller endda stoppe dem direkte. Og fordi meget af det er automatiseret, behøver du ikke vande og sole det træ dag og nat. Du kan implementere det og dirigere SOC-ressourcer til sikkerhedsforanstaltninger, der kræver en mere praktisk tilgang.
