Hoe kunt u hackers detecteren die toegang hebben tot uw systemen? Honeytokens zouden het antwoord kunnen zijn. Dit is wat u moet weten.
Elk bedrijf dat privégegevens opslaat, is een potentieel doelwit voor hackers. Ze gebruiken een reeks technieken om toegang te krijgen tot beveiligde netwerken en worden gemotiveerd door het feit dat gestolen persoonlijke gegevens kunnen worden verkocht of vastgehouden voor losgeld.
Alle verantwoordelijke bedrijven nemen maatregelen om dit te voorkomen door hun systemen zo moeilijk mogelijk toegankelijk te maken. Een optie die veel bedrijven echter over het hoofd zien, is het gebruik van honeytokens, die kunnen worden gebruikt om waarschuwingen te geven wanneer er een inbraak plaatsvindt.
Dus wat zijn honeytokens en moet uw bedrijf ze gebruiken?
Wat zijn honingtokens?
Honeytokens zijn stukjes valse informatie die aan beveiligde systemen worden toegevoegd, zodat een waarschuwing wordt geactiveerd wanneer een indringer ze pakt.
Honeytokens worden voornamelijk gebruikt om simpelweg
laten zien dat er een inbraak plaatsvindt, maar sommige honeytokens zijn ook ontworpen om informatie te geven over indringers die hun identiteit kunnen onthullen.Honingtokens vs. Honeypots: wat is het verschil?
Honingtokens en honeypots zijn beide gebaseerd op hetzelfde idee. Door nepactiva aan een systeem toe te voegen, is het mogelijk om gewaarschuwd te worden voor indringers en er meer over te weten te komen. Het verschil is dat, terwijl honeytokens nepinformatie zijn, honeypots nepsystemen zijn.
Terwijl een honeytokens de vorm kan hebben van een individueel bestand, kan een honeypot de vorm hebben van een hele server. Honeypots zijn aanzienlijk geavanceerder en kunnen worden gebruikt om indringers in grotere mate af te leiden.
Soorten Honingtokens
Er zijn veel verschillende soorten honeytokens. Afhankelijk van welke u gebruikt, kunt u mogelijk verschillende informatie over een indringer te weten komen.
E-mailadressen
Om een vals e-mailadres als honeytoken te gebruiken, maakt u eenvoudig een nieuw e-mailaccount aan en bewaart u dit op een plaats die toegankelijk is voor indringers. Valse e-mailadressen kunnen worden toegevoegd aan anderszins legitieme mailservers en persoonlijke apparaten. Op voorwaarde dat het e-mailaccount alleen op die ene locatie is opgeslagen, weet u dat er een inbraak heeft plaatsgevonden als u e-mails op dat account ontvangt.
Database-records
Er kunnen valse records aan een database worden toegevoegd, zodat als een indringer toegang tot de database krijgt, deze deze zal stelen. Dit kan handig zijn om een indringer valse informatie te geven, hem af te leiden van waardevolle gegevens of de indringer te detecteren, als de indringer naar de valse informatie verwijst.
Uitvoerbare bestanden
Een uitvoerbaar bestand is ideaal voor gebruik als een honeytoken omdat het kan worden ingesteld om informatie te onthullen over iedereen die het uitvoert. Uitvoerbare bestanden kunnen worden toegevoegd aan servers of persoonlijke apparaten en worden vermomd als waardevolle gegevens. Als er een inbraak plaatsvindt en de aanvaller het bestand steelt en op zijn apparaat uitvoert, kunt u mogelijk zijn IP-adres en systeeminformatie te weten komen.
Webbakens
Een webbaken is een link in een bestand naar een kleine afbeelding. Net als een uitvoerbaar bestand kan een webbaken worden ontworpen om informatie over een gebruiker te onthullen wanneer deze wordt geopend. Webbakens kunnen worden gebruikt als honeytokens door ze toe te voegen aan bestanden die waardevol lijken. Zodra het bestand is geopend, zendt het webbaken informatie over de gebruiker uit.
Het is vermeldenswaard dat de effectiviteit van zowel webbakens als uitvoerbare bestanden afhankelijk is van het feit of de aanvaller een systeem met open poorten gebruikt.
Koekjes
Cookies zijn pakketjes gegevens die door websites worden gebruikt om informatie over bezoekers vast te leggen. Cookies kunnen worden toegevoegd aan beveiligde delen van websites en kunnen worden gebruikt om een hacker te identificeren op dezelfde manier waarop ze worden gebruikt om elke andere gebruiker te identificeren. De verzamelde informatie kan omvatten waartoe de hacker toegang probeert te krijgen en hoe vaak ze dit doen.
Identificaties
Een identifier is een uniek element dat aan een bestand wordt toegevoegd. Als u iets naar een grote groep mensen stuurt en u vermoedt dat een van hen het gaat lekken, kunt u aan elke persoon een ID toevoegen die aangeeft wie de ontvanger is. Door de identifier toe te voegen, weet je meteen wie de leaker is.
AWS-sleutels
Een AWS-sleutel is een sleutel voor Amazon Web Services, die veel wordt gebruikt door bedrijven; ze geven vaak toegang tot belangrijke informatie, waardoor ze erg populair zijn bij hackers. AWS-sleutels zijn ideaal voor gebruik als honeytokens omdat elke poging om er een te gebruiken automatisch wordt geregistreerd. AWS-sleutels kunnen worden toegevoegd aan servers en in documenten.
Ingesloten links zijn ideaal voor gebruik als honeytokens omdat ze kunnen worden ingesteld om informatie te verzenden wanneer erop wordt geklikt. Door een ingesloten koppeling toe te voegen aan een bestand waarmee een aanvaller mogelijk interactie heeft, kunt u worden gewaarschuwd wanneer op de koppeling wordt geklikt en mogelijk ook door wie.
Waar Honeytokens te plaatsen
Omdat honeytokens klein en goedkoop zijn en er zoveel verschillende soorten zijn, kunnen ze aan bijna elk systeem worden toegevoegd. Een bedrijf dat geïnteresseerd is in het gebruik van honeytokens, moet een lijst maken van alle beveiligde systemen en aan elk een geschikt honeytoken toevoegen.
Honeytokens kunnen worden gebruikt op servers, databases en individuele apparaten. Na het toevoegen van honeytokens rond een netwerk, is het belangrijk dat ze allemaal worden gedocumenteerd en dat er ten minste één persoon verantwoordelijk is voor het afhandelen van eventuele waarschuwingen.
Hoe te reageren op het triggeren van Honeytokens
Wanneer een honeytoken wordt geactiveerd, betekent dit dat er een inbraak heeft plaatsgevonden. De te ondernemen actie varieert uiteraard sterk, afhankelijk van waar de inbraak plaatsvond en hoe de indringer toegang kreeg. Veelvoorkomende acties zijn onder meer het wijzigen van wachtwoorden en proberen erachter te komen waar de indringer mogelijk nog meer toegang toe heeft gehad.
Om honingtokens effectief te gebruiken, moet de juiste reactie van tevoren worden bepaald. Dit betekent dat alle honeytokens vergezeld moeten gaan van een incidentbestrijdingsplan.
Honeytokens zijn ideaal voor elke beveiligde server
Alle verantwoordelijke bedrijven versterken hun verdediging om inbraak door hackers te voorkomen. Honeytokens zijn een handige techniek om niet alleen inbraken te detecteren, maar ook om informatie over de cyberaanvaller te verstrekken.
In tegenstelling tot veel aspecten van cyberbeveiliging, is het toevoegen van honeytokens aan een beveiligde server ook geen duur proces. Ze zijn gemakkelijk te maken en op voorwaarde dat ze realistisch en potentieel waardevol lijken, zullen de meeste indringers er toegang toe krijgen.
