Häkkimine on sageli nagu kotis tuhnimine, sisse vaatamata. Kui see on teie kott, siis teaksite, kust otsida ja kuidas need esemed tunduvad. Saate mõne sekundiga sirutada ja haarata pliiatsi, samas kui teine inimene võib haarata silmapliiatsi.
Veelgi enam, nad võivad otsingutes segadust tekitada. Nad löövad kotist läbi kauem kui teie ja nende tekitatav müra suurendab võimalust, et kuulete neid. Kui te seda ei teinud, ütleb teie kotis olev häire teile, et keegi on teie asju läbi elanud. Pettustehnoloogia töötab sel viisil.
Mis on pettustehnoloogia?
Pettustehnoloogia viitab taktikate, tööriistade ja peibutusvarade komplektile, mida sinised meeskonnad kasutavad ründajate tähelepanu kõrvale juhtimiseks väärtuslikest turvavaradest. Esimesel pilgul näivad peibutusvahendi asukoht ja omadused õigustatud. Tõepoolest, peibutis peab olema piisavalt atraktiivne, et ründaja saaks seda pidada piisavalt väärtuslikuks, et sellega suhelda.
Ründaja suhtlemine peibutusvahenditega turvakeskkonnas genereerib andmeid, mis annavad kaitsjatele ülevaate rünnaku taga olevast inimlikust elemendist. Suhtlemine võib aidata kaitsjatel teada saada, mida ründaja tahab ja kuidas nad kavatsevad seda saada.
Miks Blue Teams kasutavad pettustehnoloogiat?
Ükski tehnoloogia pole võitmatu, seetõttu eeldavad turvameeskonnad vaikimisi rikkumist. Suur osa küberturvalisusest seisneb selles, et välja selgitada, millised varad või kasutajad on ohustatud ja kuidas neid taastada. Selleks peavad sinise meeskonna operaatorid teadma kaitstava turvakeskkonna ulatust ja selles keskkonnas olevaid varasid. Pettusetehnoloogia on üks selline kaitsemeede.
Pidage meeles, et pettustehnoloogia eesmärk on panna ründajad peibutusvahenditega suhtlema ja nende tähelepanu väärtuslikelt varadelt kõrvale juhtima. Miks? Kõik taandub ajale. Aeg on küberturvalisuses väärtuslik ja sellest ei piisa ei ründajal ega kaitsjal. Peibutusvahendiga suhtlemine raiskab ründaja aega ja annab kaitsjale rohkem aega ohule reageerimiseks.
Täpsemalt, kui ründaja arvab, et peibutusvara, millega ta suhtles, on tõeline tehing, pole mõtet avalikkuse ette jääda. Nad eksfiltreerivad varastatud andmed ja (tavaliselt) lahkuvad. Teisest küljest, kui nutikas ründaja saab kiiresti aru, et vara on võlts, teavad nad, et nad on teada, ega saa pikka aega võrku jääda. Mõlemal juhul kaotab ründaja aega ja turvameeskond saab hoiatuse ja rohkem aega ohtudele reageerimiseks.
Kuidas pettustehnoloogia töötab
Suur osa pettustehnoloogiast on automatiseeritud. Peibutusvara on tavaliselt häkkerite jaoks väärtuslikud andmed: andmebaasid, mandaadid, serverid ja failid. Need varad näevad välja ja toimivad täpselt nagu päris omad, mõnikord isegi koos pärisvaradega.
Peamine erinevus seisneb selles, et nad on pätid. Näiteks võivad peibutusandmebaasid sisaldada võltsitud administraatori kasutajanimesid ja paroole, mis on seotud peibutusserveriga. See tähendab, et tegevus, mis hõlmab kasutajanime ja parooli paari peibutusserveris – või isegi pärisserveris – blokeeritakse. Samamoodi sisaldavad peibutusmandaadid võltsmärke, räsi või Kerberose pileteid, mis suunavad häkkeri põhiliselt liivakasti.
Lisaks on võltsid ette nähtud selleks, et hoiatada turvameeskondi kahtlustatavast. Kui ründaja logib sisse näiteks peibutusserverisse, hoiatab see tegevus turvaoperatsioonide keskuse (SOC) sinise meeskonna operaatoreid. Seni jätkab süsteem ründaja tegevuste salvestamist, näiteks failidele, millele ta juurde pääses (nt volikirjade varastamise rünnakud) ja kuidas nad rünnaku sooritasid (nt külgmine liikumine ja mees keskel rünnakud).
Hommikul rõõmus ma näen; Minu vaenlane on puu all välja sirutatud
Hästi konfigureeritud pettussüsteem võib minimeerida kahju, mida ründajad võivad teie turvavaradele tekitada, või isegi peatada need. Ja kuna suur osa sellest on automatiseeritud, ei pea te seda puud päeval ega öösel kastma ja päikest võtma. Saate selle juurutada ja suunata SOC-ressursid turvameetmetele, mis nõuavad praktilisemat lähenemist.
