Hacken is vaak als het doorzoeken van een tas zonder erin te kijken. Als het jouw tas is, zou je weten waar je moet kijken en hoe de objecten aanvoelen. U kunt binnen enkele seconden naar binnen reiken en een pen pakken, terwijl een andere persoon een eyeliner kan pakken.
Bovendien kunnen ze een tumult veroorzaken tijdens hun zoektocht. Ze zullen langer door de zak schieten dan jij zou doen, en het geluid dat ze maken vergroot de kans dat je ze hoort. Als je dat niet deed, vertelt de stoornis in je tas je dat iemand je spullen heeft doorzocht. Deception-technologie werkt op deze manier.
Wat is misleidingstechnologie?
Misleidingstechnologie verwijst naar de reeks tactieken, tools en lokmiddelen die blauwe teams gebruiken om aanvallers af te leiden van waardevolle beveiligingsmiddelen. In één oogopslag zien de locatie en eigenschappen van de aanvalsman er legitiem uit. De aanvalsman moet inderdaad aantrekkelijk genoeg zijn voor een aanvaller om hem in de eerste plaats waardevol genoeg te vinden om ermee te communiceren.
De interactie van een aanvaller met lokvogels in een beveiligingsomgeving genereert gegevens die verdedigers inzicht geven in het menselijke element achter een aanval. De interactie kan verdedigers helpen erachter te komen wat een aanvaller wil en hoe ze dat willen bereiken.
Waarom Blue Teams Deception Technology gebruiken
Geen enkele technologie is onoverwinnelijk, daarom gaan beveiligingsteams standaard uit van een inbreuk. Veel van cyberbeveiliging is een kwestie van uitzoeken welke activa of gebruikers zijn aangetast en hoe deze te herstellen. Om dit te doen, moeten operators van het blauwe team de omvang kennen van de beveiligingsomgeving die ze beschermen en de activa in die omgeving. Misleidingstechnologie is zo'n beschermende maatregel.
Onthoud dat het doel van misleidingstechnologie is om aanvallers te laten interageren met lokvogels en ze af te leiden van waardevolle activa. Waarom? Alles komt neer op tijd. Tijd is kostbaar in cyberbeveiliging en aanvaller noch verdediger heeft er ooit genoeg van. Interactie met een aanvalsman verspilt de tijd van een aanvaller en geeft de verdediger meer tijd om op een dreiging te reageren.
Meer specifiek, als een aanvaller denkt dat het lokmiddel waarmee hij interactie heeft gehad echt is, dan heeft het geen zin om in de openbaarheid te blijven. Ze exfiltreren de gestolen gegevens en vertrekken (meestal). Aan de andere kant, als een slimme aanvaller snel doorheeft dat het actief nep is, dan zouden ze weten dat ze ontdekt zijn en niet lang op het netwerk kunnen blijven. Hoe dan ook, de aanvaller verliest tijd en het beveiligingsteam krijgt een waarschuwing en meer tijd om op bedreigingen te reageren.
Hoe misleidingstechnologie werkt
Veel van de misleidingstechnologie is geautomatiseerd. Het lokmiddel is meestal gegevens van enige waarde voor hackers: databases, referenties, servers en bestanden. Deze activa zien eruit en functioneren net als de echte, en werken soms zelfs samen met echte activa.
Het belangrijkste verschil is dat het blindgangers zijn. Decoy-databases kunnen bijvoorbeeld valse administratieve gebruikersnamen en wachtwoorden bevatten die zijn gekoppeld aan een decoy-server. Dit betekent dat activiteiten met een combinatie van gebruikersnaam en wachtwoord op een lokaasserver, of zelfs een echte server, worden geblokkeerd. Evenzo bevatten lokreferenties valse tokens, hashes of Kerberos-tickets die de hacker omleiden naar, in feite, een sandbox.
Bovendien worden blindgangers opgetuigd om beveiligingsteams te waarschuwen voor de verdachte. Wanneer een aanvaller zich bijvoorbeeld aanmeldt bij een lokaasserver, waarschuwt de activiteit blauwe teamoperators in het Security Operations Center (SOC). In de tussentijd blijft het systeem de activiteiten van de aanvaller registreren, zoals welke bestanden ze hebben geopend (bijvoorbeeld in inloggegevens stelen aanvallen) en hoe ze de aanval hebben uitgevoerd (bijv. zijwaartse beweging En man-in-the-middle-aanvallen).
In de ochtend blij dat ik zie; Mijn vijand uitgestrekt onder de boom
Een goed geconfigureerd misleidingssysteem kan de schade minimaliseren die aanvallers kunnen aanrichten aan uw beveiligingsactiva of ze zelfs helemaal stoppen. En omdat veel ervan geautomatiseerd is, hoef je die boom niet dag en nacht water te geven en te zonnen. U kunt het inzetten en SOC-bronnen richten op beveiligingsmaatregelen die een meer praktische aanpak vereisen.