Мы живем в мире, где киберугрозы есть везде, а их количество и сложность растет. С распространением технологий количество возможностей и лазеек для хакеров увеличивается. Аналитика прошлых лет подтверждает это. По оценкам аналитиков, количество кибератак в 2021 году выросло на 50% по сравнению с 2020 годом.
Одна из самых известных кибератак была осуществлена на Twitter в 2020 году. Что было бы, если б команда безопасности Twitter быстрее обнаружила несанкционированный доступ 17-летнего парня, в результате чего мошенникам удалось за один день украсть более $100 000, прикрываясь именами Джеффа Безоса, Илона Маска и других известных людей. Что бы изменилось, если бы в Belgacom (крупнейшей телекоммуникационной компании Бельгии, которая сейчас называется Proximus) поняли сразу, что их взломали, а не через два года, когда злоумышленники находились внутри компании все это время? А как быть со всеми компаниями, борющимися со своими внутренними угрозами каждый день?
Что такое canary токены?
Вы когда-нибудь слышали о canary токенах? Они не являются чем-то новым. Впервые они были представлены на конференции BlackHat в 2015 году.
Проще говоря, это цифровые метки, такие как текстовые документы, папки, PDF-файлы, изображения, URL-адреса, которые будут действовать как цифровой проводник при открытии или доступе. Они предупредят владельца о том, что их используют, и немедленно уведомят организацию (или лицо) о том, какая часть сети скомпрометирована, чтобы она могла начать реагировать на инцидент. То есть это своеобразные умные ловушки, но только для плохих парней.
С технической точки зрения мы можем определить их как уникальные идентификаторы, которые можно установить в разных местах. Как только их касаются, сразу срабатывает уведомление.
Вот несколько примеров использования canary токенов:
- Триггер через DNS для обнаружения осуществляемого исследования о DNS записи вашего домена.
- В этом случае достаточно чтобы по ссылке был выполнен GET, POST или HEAD запрос. Это вызовет срабатывание триггера. Помимо обычного применения, можно использовать в скриптах и для проверки парсеров, которые переходят по ссылкам для отображения превью содержимого. Так делают, например, мессенджеры: достаточно написать ссылку в поле ввода, что по ней был выполнен переход с серверов мессенджера.
- Триггер при открытии файлов DOC и PDF. Он сработает, если документ открыт программой для просмотра. Например, вы создаете вордовский файл с вашим резюме и отправляете его в HR-отдел. Когда получатель открывает файл, срабатывает триггер, сообщая о факте открытия документа.
- Классическая картинка размером 1×1 пиксель, известна всем, кто занимается отслеживанием интернет-рекламы. Триггер сработает, если был загружен файл с картинкой. Такой пиксель можно вставить на любую html-страницу или в письмо. Его удобно вызывать из JS-скриптов на странице, если сработало нужное условие. Стандартный пиксель можно также заменить на собственное изображение.
Это простой и быстрый подход, позволяющий защитникам не только выявить попытку взлома, но и получить информацию о том, на что сработал токен, а также отследить его активность.
Хорошо, но… Почему именно canary токены?
Это очень хороший вопрос. Возможно, вы думаете: «Зачем использовать canary токены, а не SIEM?» Есть несколько причин. Проект canary токенов имеет открытый исходный код и доступен на Github. Таким образом, это делает его очень дешевым и доступным для всех для установки и использования.
Другой вопрос может быть таким: «Зачем использовать canary токены, когда у меня уже есть SIEM?» Ответ довольно короткий: иногда чем проще, тем лучше. По всей вероятности, у Twitter есть SIEM и многие люди задействованы в этом. SIEM, как и все остальные системы оповещения (включая honeypots), генерирует огромное количество сообщений, которые легко проигнорировать, в том числе когда они действительно имеют значение. Canary токены просты и защищены от ошибок, а усилия, которые вы прилагаете, чтобы их настроить, даже близко нельзя сравнивать с титаническим процессом настройки и поддержки SIEM.
Как мы можем помочь вам защититься с помощью canary токенов?
10Guards может помочь вам настроить и разместить токены в вашей сети, а также создать персонализированную консоль для управления ими. Кроме того, мы можем помочь вам использовать инструмент, включая моделирование.
Больше информации о Canary здесь: https://canary-tools.com.ua/
