1

Canary токены: как превратить свою сеть в ловушку для злоумышленников

 

Мы живем в мире, где киберугрозы есть везде, а их количество и сложность растет. С распространением технологий количество возможностей и лазеек для хакеров увеличивается. Аналитика прошлых лет подтверждает это. По оценкам аналитиков, количество кибератак в 2021 году выросло на 50% по сравнению с 2020 годом.

 

Одна из самых известных кибератак была осуществлена ​​на Twitter в 2020 году. Что было бы, если б команда безопасности Twitter быстрее обнаружила несанкционированный доступ 17-летнего парня, в результате чего мошенникам удалось за один день украсть более $100 000, прикрываясь именами Джеффа Безоса, Илона Маска и других известных людей. Что бы изменилось, если бы в Belgacom (крупнейшей телекоммуникационной компании Бельгии, которая сейчас называется Proximus) поняли сразу, что их взломали, а не через два года, когда злоумышленники находились внутри компании все это время? А как быть со всеми компаниями, борющимися со своими внутренними угрозами каждый день?

 

Что такое canary токены?

 

Вы когда-нибудь слышали о canary токенах? Они не являются чем-то новым. Впервые они были представлены на конференции BlackHat в 2015 году.

 

Проще говоря, это цифровые метки, такие как текстовые документы, папки, PDF-файлы, изображения, URL-адреса, которые будут действовать как цифровой проводник при открытии или доступе. Они предупредят владельца о том, что их используют, и немедленно уведомят организацию (или лицо) о том, какая часть сети скомпрометирована, чтобы она могла начать реагировать на инцидент. То есть это своеобразные умные ловушки, но только для плохих парней.

 

С технической точки зрения мы можем определить их как уникальные идентификаторы, которые можно установить в разных местах. Как только их касаются, сразу срабатывает уведомление.

 

Вот несколько примеров использования canary токенов:

 

  • Триггер через DNS для обнаружения осуществляемого исследования о DNS записи вашего домена.
  • В этом случае достаточно чтобы по ссылке был выполнен GET, POST или HEAD запрос. Это вызовет срабатывание триггера. Помимо обычного применения, можно использовать в скриптах и для проверки парсеров, которые переходят по ссылкам для отображения превью содержимого. Так делают, например, мессенджеры: достаточно написать ссылку в поле ввода, что по ней был выполнен переход с серверов мессенджера.
  • Триггер при открытии файлов DOC и PDF. Он сработает, если документ открыт программой для просмотра. Например, вы создаете вордовский файл с вашим резюме и отправляете его в HR-отдел. Когда получатель открывает файл, срабатывает триггер, сообщая о факте открытия документа.
  • Классическая картинка размером 1×1 пиксель, известна всем, кто занимается отслеживанием интернет-рекламы. Триггер сработает, если был загружен файл с картинкой. Такой пиксель можно вставить на любую html-страницу или в письмо. Его удобно вызывать из JS-скриптов на странице, если сработало нужное условие. Стандартный пиксель можно также заменить на собственное изображение.

 

Это простой и быстрый подход, позволяющий защитникам не только выявить попытку взлома, но и получить информацию о том, на что сработал токен, а также отследить его активность.

 

Хорошо, но… Почему именно canary токены?

 

Это очень хороший вопрос. Возможно, вы думаете: «Зачем использовать canary токены, а не SIEM?» Есть несколько причин. Проект canary токенов имеет открытый исходный код и доступен на Github. Таким образом, это делает его очень дешевым и доступным для всех для установки и использования.

 

Другой вопрос может быть таким: «Зачем использовать canary токены, когда у меня уже есть SIEM?» Ответ довольно короткий: иногда чем проще, тем лучше. По всей вероятности, у Twitter есть SIEM и многие люди задействованы в этом. SIEM, как и все остальные системы оповещения (включая honeypots), генерирует огромное количество сообщений, которые легко проигнорировать, в том числе когда они действительно имеют значение. Canary токены просты и защищены от ошибок, а усилия, которые вы прилагаете, чтобы их настроить, даже близко нельзя сравнивать с титаническим процессом настройки и поддержки SIEM.

 

Как мы можем помочь вам защититься с помощью canary токенов?

 

10Guards может помочь вам настроить и разместить токены в вашей сети, а также создать персонализированную консоль для управления ими. Кроме того, мы можем помочь вам использовать инструмент, включая моделирование.

 

Больше информации о Canary здесь: https://canary-tools.com.ua/

Related Posts

card__image

Если представить Киберпреступность как страну, это была бы третья экономика мира

  К 2025 году киберпреступность будет обходиться в 10,5 триллионов долларов ежегодно.   Если оценивать ее как страну, то киберпреступность, которая в 2021 году нанесла глобальный ущерб на общую сумму 6 триллионов долларов США, была бы третьей по величине экономикой мира после США и Китая.   По данным Cybersecurity Ventures, ожидается, что глобальные расходы на […]

Хакеры ускорились: от публикации информации об уязвимости до начала атак на них проходит около 15 минут

  Согласно исследованию Palo Alto Unit 42 о реагировании на инциденты за 2022 год, хакеры постоянно отслеживают объявления поставщиков программного обеспечения относительно информации о новых уязвимостях. Они оперативно используют ее для первичного доступа к корпоративной сети или для удаленного исполнения кода.     У системных администраторов остается все меньше времени на исправление обнаруженных уязвимостей. В […]

card__image

Вот так: 1 из 3 сотрудников не понимает, почему важна кибербезопасность

  Даже хуже — только 39% говорят, что «вероятно» сообщат о киберинциденте.   Новый отчет указывает на отсутствие связи между сотрудниками и усилиями их компании по кибербезопасности.   Согласно новому исследованию Tessian почти каждый третий (30%) сотрудник не считает, что он лично играет роль в поддержке кибербезопасности своей компании.   Кроме того, только 39% сотрудников […]

Добавить комментарий

Ваш адрес email не будет опубликован.