1

Canary токени: як перетворити свою мережу на пастку для зловмисників

 

Ми живемо у світі, де кіберзагрози є скрізь, а їхня кількість і складність зростає. З поширенням технологій кількість можливостей та лазівок для хакерів збільшується. Аналітика минулих років підтверджує це. За оцінками аналітиків, кількість кібератак у 2021 році виросла на 50% у порівнянні з 2020.

 

Одну з найвідоміших кібератак було здійснено на Twitter у 2020 році. Що як команда безпеки Twitter швидше б помітила несанкціонований доступ 17-річного хлопця, в результаті якого шахраям вдалось за один день вкрасти більше $100 000, прикриваючись іменами Джеффа Безоса, Ілона Маска та інших відомих людей. Що б змінилося, якби у Belgacom (найбільшій телекомунікаційній компанії Бельгії, яка нині називається Proximus) зрозуміли одразу, що їх зламали, а не через два роки, коли зловмисники знаходились всередині компанії весь цей час? А як бути з усіма компаніями, які борються зі своїми внутрішніми загрозами щодня?

 

Що таке canary токени?

 

Ви коли-небудь чули про canary токени? Вони не є чимось новим. Вперше їх представили на конференції BlackHat у 2015 році.

 

Простіше кажучи, це цифрові позначки, такі як текстові документи, папки, PDF-файли, зображення, URL-адреси, які будуть діють як цифровий провідник при відкритті або доступі. Вони попередять власника про те, що їх використовують, і негайно повідомлять організацію (або особу) про те, яку частина мережі скомпрометовано, щоб вона могла почати реагувати на інцидент. Тобто це своєрідні розумні пастки, але тільки для поганих хлопців.

 

З технічної точки зору, ми можемо визначити їх як унікальні ідентифікатори, які можна встановити в різні місця. Тільки-но їх торкаються, одразу спрацьовує сповіщення.

 

Ось кілька прикладів використання canary токенів:

 

  • Тригер через DNS для виявлення пошуку та вивчення інформації про DNS записи вашого домену.
  • URL тригер. У цьому випадку достатньо, щоб за посиланням був виконаний GET, POST або HEAD запит. Це спричинить спрацювання тригера. Крім звичайного застосування, можна використовувати в скриптах та для перевірки парсерів, які переходять за посиланнями для відображення прев’ю вмісту. Так роблять, наприклад, месенджери: достатньо написати посилання в полі вводу, що по ньому було виконано перехід із серверів месенджера.
  • Тригер при відкритті файлів DOC та PDF. Він спрацює, якщо документ було відкрито програмою для перегляду. Наприклад, ви створюєте вордівський файл з вашим резюме і надсилаєте його до HR-відділу. Коли отримувач відкриває файл, спрацьовує тригер, повідомляючи про факт відкриття документу.
  • Тригер по картинці. Класична картинка розміром 1×1 піксель відома всім, хто займається відстеженням інтернет-реклами. Тригер спрацює, якщо завантажено файл з картинкою. Такий піксель можна вставити в будь-яку html-сторінку або лист. Його зручно викликати із JS-скриптів на сторінці, якщо спрацювала потрібна умова. Стандартний піксель також можна замінити на власне зображення.

 

Це простий і швидкий підхід, який дозволяє захисникам не тільки виявити спробу зламу, але й отримати інформацію про те, на що спрацював токен, а також відстежити його активність.

 

Добре, але… Чому саме canary токени?

 

Це дуже гарне питання. Можливо, ви думаєте: «Навіщо використовувати canary токени, а не SIEM?» Є кілька причин. Проект canary токени має відкритий вихідний код і доступний на Github. Таким чином, це робить його дуже дешевим і доступним для всіх для встановлення та використання.

 

Інше питання може бути таким: «Навіщо використовувати canary токени, коли я вже маю SIEM?» Відповідь досить коротка: іноді чим простіше, тим краще. Цілком імовірно, що Twitter має SIEM і багато людей з цим працюють. SIEM, як і всі інші системи сповіщення (включно з honeypots), генерує величезну кількість повідомлень, які легко проігнорувати, в тому числі коли вони дійсно мають значення. Canary токени прості та захищені від помилок, а зусилля, які ви докладаєте, щоб їх налаштувати, навіть близько не можна порівнювати з титанічним процесом налаштування та підтримки SIEM.

 

Як ми можемо допомогти вам захиститися за допомогою canary токенів?

 

10Guards може допомогти вам налаштувати та розмістити токени у вашій мережі, а також створити персоналізовану консоль для керування ними. Крім того, ми можемо допомогти вам якнайкраще використовувати інструмент, включно з моделюванням.

 

Більше інформації про Canary тут: https://canary-tools.com.ua/

Related Posts

card__image

Якщо уявити Кіберзлочинність як країну це була б третя економіка світу

  До 2025 року кіберзлочинність коштуватиме 10,5 трильйонів доларів щорічно.   Якщо оцінювати її як країну, то кіберзлочинність, яка у 2021 році завдала глобальних збитків на загальну суму 6 трильйонів доларів США, була б третьою за величиною економікою світу після США та Китаю.   За даними Cybersecurity Ventures, очікується, що глобальні витрати на кіберзлочинність зростатимуть […]

Хакери прискорилися: від публікації інформації про вразливості до початку атак на них проходить близько 15 хвилин

  Згідно дослідження Palo Alto Unit 42 про реагування на інциденти за 2022 рік, хакери постійно відстежують оголошення постачальників програмного забезпечення щодо інформації про нові вразливості. Вони оперативно використовують її для початкового доступу до корпоративної мережі або для віддаленого виконання коду.     У системних адміністраторів залишається все менше часу на виправлення виявлених вразливостей. У […]

card__image

Отакої: 1 із 3 співробітників не розуміє, чому кібербезпека важлива

  Навіть гірше — лише 39% кажуть, що «ймовірно» повідомлять про кіберінцидент.   Новий приголомшливий звіт вказує на відсутність зв’язку між співробітниками та зусиллями їхньої компанії щодо кібербезпеки.   Згідно з новим дослідженням Tessian, майже кожен третій (30%) співробітник не вважає, що він особисто відіграє роль у підтримці кібербезпеки своєї компанії.   Крім того, лише […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься.