Ми живемо у світі, де кіберзагрози є скрізь, а їхня кількість і складність зростає. З поширенням технологій кількість можливостей та лазівок для хакерів збільшується. Аналітика минулих років підтверджує це. За оцінками аналітиків, кількість кібератак у 2021 році виросла на 50% у порівнянні з 2020.
Одну з найвідоміших кібератак було здійснено на Twitter у 2020 році. Що як команда безпеки Twitter швидше б помітила несанкціонований доступ 17-річного хлопця, в результаті якого шахраям вдалось за один день вкрасти більше $100 000, прикриваючись іменами Джеффа Безоса, Ілона Маска та інших відомих людей. Що б змінилося, якби у Belgacom (найбільшій телекомунікаційній компанії Бельгії, яка нині називається Proximus) зрозуміли одразу, що їх зламали, а не через два роки, коли зловмисники знаходились всередині компанії весь цей час? А як бути з усіма компаніями, які борються зі своїми внутрішніми загрозами щодня?
Що таке canary токени?
Ви коли-небудь чули про canary токени? Вони не є чимось новим. Вперше їх представили на конференції BlackHat у 2015 році.
Простіше кажучи, це цифрові позначки, такі як текстові документи, папки, PDF-файли, зображення, URL-адреси, які будуть діють як цифровий провідник при відкритті або доступі. Вони попередять власника про те, що їх використовують, і негайно повідомлять організацію (або особу) про те, яку частина мережі скомпрометовано, щоб вона могла почати реагувати на інцидент. Тобто це своєрідні розумні пастки, але тільки для поганих хлопців.
З технічної точки зору, ми можемо визначити їх як унікальні ідентифікатори, які можна встановити в різні місця. Тільки-но їх торкаються, одразу спрацьовує сповіщення.
Ось кілька прикладів використання canary токенів:
- Тригер через DNS для виявлення пошуку та вивчення інформації про DNS записи вашого домену.
- URL тригер. У цьому випадку достатньо, щоб за посиланням був виконаний GET, POST або HEAD запит. Це спричинить спрацювання тригера. Крім звичайного застосування, можна використовувати в скриптах та для перевірки парсерів, які переходять за посиланнями для відображення прев’ю вмісту. Так роблять, наприклад, месенджери: достатньо написати посилання в полі вводу, що по ньому було виконано перехід із серверів месенджера.
- Тригер при відкритті файлів DOC та PDF. Він спрацює, якщо документ було відкрито програмою для перегляду. Наприклад, ви створюєте вордівський файл з вашим резюме і надсилаєте його до HR-відділу. Коли отримувач відкриває файл, спрацьовує тригер, повідомляючи про факт відкриття документу.
- Тригер по картинці. Класична картинка розміром 1×1 піксель відома всім, хто займається відстеженням інтернет-реклами. Тригер спрацює, якщо завантажено файл з картинкою. Такий піксель можна вставити в будь-яку html-сторінку або лист. Його зручно викликати із JS-скриптів на сторінці, якщо спрацювала потрібна умова. Стандартний піксель також можна замінити на власне зображення.
Це простий і швидкий підхід, який дозволяє захисникам не тільки виявити спробу зламу, але й отримати інформацію про те, на що спрацював токен, а також відстежити його активність.
Це дуже гарне питання. Можливо, ви думаєте: «Навіщо використовувати canary токени, а не SIEM?» Є кілька причин. Проект canary токени має відкритий вихідний код і доступний на Github. Таким чином, це робить його дуже дешевим і доступним для всіх для встановлення та використання.
Інше питання може бути таким: «Навіщо використовувати canary токени, коли я вже маю SIEM?» Відповідь досить коротка: іноді чим простіше, тим краще. Цілком імовірно, що Twitter має SIEM і багато людей з цим працюють. SIEM, як і всі інші системи сповіщення (включно з honeypots), генерує величезну кількість повідомлень, які легко проігнорувати, в тому числі коли вони дійсно мають значення. Canary токени прості та захищені від помилок, а зусилля, які ви докладаєте, щоб їх налаштувати, навіть близько не можна порівнювати з титанічним процесом налаштування та підтримки SIEM.
Як ми можемо допомогти вам захиститися за допомогою canary токенів?
10Guards може допомогти вам налаштувати та розмістити токени у вашій мережі, а також створити персоналізовану консоль для керування ними. Крім того, ми можемо допомогти вам якнайкраще використовувати інструмент, включно з моделюванням.
Більше інформації про Canary тут: https://canary-tools.com.ua/
