Att hacka är ofta som att rota igenom en påse utan att titta inuti. Om det är din väska, skulle du veta var du ska leta och hur föremålen känns. Du kan sträcka dig in och ta en penna på några sekunder, medan en annan person kan ta en eyeliner.
Dessutom kan de orsaka bråk i sin sökning. De kommer att gå igenom väskan längre än vad du skulle göra, och ljudet de gör ökar chansen att du hör dem. Om du inte gjorde det, säger störningen i din väska att någon har varit med om dina saker. Bedrägeriteknik fungerar på detta sätt.
Vad är Deception Technology?
Bedrägeriteknik hänvisar till den svit av taktik, verktyg och lockmedelstillgångar som blå team använder för att distrahera angripare från värdefulla säkerhetstillgångar. Vid ett ögonkast ser lockbetets plats och egenskaper legitima ut. I själva verket måste lockbetet vara tillräckligt attraktivt för att en angripare ska anse det som värdefullt nog att interagera med i första hand.
En angripares interaktion med lockbeten i en säkerhetsmiljö genererar data som ger försvarare insikt i det mänskliga elementet bakom en attack. Interaktionen kan hjälpa försvarare att ta reda på vad en angripare vill ha och hur de planerar att få det.
Varför Blue Teams använder Deception Technology
Ingen teknik är oövervinnlig, därför antar säkerhetsteam ett intrång som standard. Mycket av cybersäkerhet handlar om att ta reda på vilka tillgångar eller användare som har äventyrats och hur man återställer dem. För att göra detta måste blue team-operatörer känna till omfattningen av säkerhetsmiljön de skyddar och tillgångarna i den miljön. Bedrägeriteknik är en sådan skyddsåtgärd.
Kom ihåg att poängen med bedrägeriteknik är att få angripare att interagera med lockbeten och distrahera dem från värdefulla tillgångar. Varför? Allt kokar ner till tid. Tid är värdefull inom cybersäkerhet, och varken angripare eller försvarare har någonsin tillräckligt. Att interagera med ett lockbete slösar bort en angripares tid och ger försvararen mer tid att svara på ett hot.
Mer specifikt, om en angripare tror att den lockbete tillgången de interagerade med är den verkliga affären, så är det ingen idé att hålla sig utanför. De exfiltrerar de stulna uppgifterna och går (vanligtvis) iväg. Å andra sidan, om en kunnig angripare snabbt inser att tillgången är falsk, då skulle de veta att de har upptäckts och inte kan stanna länge på nätverket. Hur som helst, angriparen förlorar tid, och säkerhetsteamet får en heads-up och mer tid att svara på hot.
Hur bedrägeriteknik fungerar
Mycket av bedrägeritekniken är automatiserad. Den lockbete tillgången är vanligtvis data av visst värde för hackare: databaser, referenser, servrar och filer. Dessa tillgångar ser ut och fungerar precis som de riktiga, ibland fungerar de tillsammans med riktiga tillgångar.
Den största skillnaden är att de är duds. Till exempel kan lockbetsdatabaser innehålla falska administrativa användarnamn och lösenord kopplade till en lockbetsserver. Detta innebär att aktiviteter som involverar ett par användarnamn och lösenord på en lockbetsserver – eller till och med en riktig server – blockeras. På liknande sätt innehåller lockbetsuppgifter falska tokens, hash- eller Kerberos-biljetter som omdirigerar hackaren till, i princip, en sandlåda.
Dessutom är duds riggad för att larma säkerhetsteam till den misstänkte. När en angripare loggar in på en lockbetsserver, till exempel, varnar aktiviteten blå teamoperatörer på säkerhetscentralen (SOC). Under tiden fortsätter systemet att registrera angriparens aktiviteter, till exempel vilka filer de fick åtkomst till (t.ex. i referenser som stjäl attacker) och hur de utförde attacken (t.ex. lateral rörelse och man-i-mitten-attacker).
På morgonen Glad jag ser; Min fiende utsträckt under trädet
Ett välkonfigurerat bedrägerisystem kan minimera skadorna som angripare kan orsaka på dina säkerhetstillgångar eller till och med stoppa dem direkt. Och eftersom mycket av det är automatiserat behöver du inte vattna och sola trädet dag och natt. Du kan distribuera det och styra SOC-resurser till säkerhetsåtgärder som kräver ett mer praktiskt tillvägagångssätt.
