Taggat med: HoneyTokens

Storbritannien satsar på honeypots

storbritannien NCSC satsar på honeypots

Trodde du att honeypots var ute? Då har du fel. Iallafall om man får tro brittiska cybersäkerhetscentret
NCSC (National Cyber Security Centre). NCSC satsar nu på att driftsätta ett stort antal olika honeyspots såsom följande:

  • Honeypots med hög och låg interaktion – Både på interna och och externa-nätverk inom organisationer i Storbritannien. Även kommer dessa driftsättas i molnmiljöer
  • Honeytokens – Unika siffror och tokens som ej ska röras eller förekomma i nätverk
  • Breadcrumbs – Ledtrådar som lurar en antagonist att logga in på system exempelvis

Att detta är en stor satsning kan man utläsa utifrån de siffror nedan på antalet instanser och tokens som minimum kommer att användas:

  • 5 000 instanser på det brittiska internet av låg- och höginteraktionslösningar över IPv4 och IPv6
  • 20 000 instanser inom interna nätverk av låginteraktionslösningar
  • 200 000 tillgångar inom molnmiljöer av låginteraktionslösningar
  • 2 000 000 distribuerade tokens

Målsättningen med dessa installationer och tokens är att svara på tre huvudfrågor:

  • Hur effektiva är implementationerna när det gäller att upptäcka dolda säkerhetsintrång inom organisationers system?
  • Hur effektiva är implementationerna när det gäller att kontinuerligt upptäcka nya säkerhetsintrång av hotaktörer?
  • Påverkar vetskapen om att sådana teknologier finns på nationell nivå det observerbara beteendet hos hotaktörer?

Synnerligen intressant satsning. Vi får hoppas att länder såsom Sverige tar efter och genomför liknande satsningar, kanske något för svenska NCSC?

Läs även mitt blogginlägg från 2015 då jag skrev om kanariefåglar inom cybersäkerhet.

Källa

Kanariefåglar inom IT-säkerhet

Kanariefågel inom IT-säkerhet

Kanariefåglar är det nya svarta inom IT-säkerhet. Med hjälp av kanariefåglar i din IT-infrastruktur så kan du minska bruset när det gäller intrångslarm och identifiera möjliga antagonister.

Idéen är enkel och effektiv samt kräver minimalt med underhåll. Du sätter upp ett antal system som någon aldrig kommer att använda eller röras och så fort någon gör det så larmar du. Det kan även vara i form av text-strängar eller länkar som inte ska förekomma.

Säg exempelvis att du skapar ett antal olika dokument på olika servrar med en länk som går till en webbsida som larmar så fort någon klickar på dessa, eller att du mailar dig själv inom eller utom organisationen ett antal länkar som ingen ska besöka eller klicka på. Och om någon följer dessa länkar så har troligtvis ett intrång eller exfiltration genomförts.

canaryLikheter finnes även med det som förr kallades för HoneyTokens men även Honeypots. Det kan även röra sig om webbsidor/html-filer som ingen ska komma åt och gör någon det så laddas det en 1×1-pixel som lamar, denna kan du exempelvis placera på Dropbox eller andra molntjänster. Men observera att många molntjänster har automatisk genomsökning efter skadlig kod som eventuellt kan trigga igång larmen.

Flertalet mjukvaror läcker information externt såsom Adobe Reader som gör en pre-flight DNS-uppslagning på externt innehåll, även om du väljer att blockera innehållet med hjälp av dialogrutan som dyker upp. Med hjälp av denna uppslagning så kan du skicka ett larm.

Sammanfattningsvis

Honeypots tar lång tid att sätta upp och bevaka. Använd istället kanariefåglar i form av öppna tjänster internt på nätverket eller andra typer av mineringar som ingen hittar eller rör förutom en eventuell antagonist som komprometterat IT-infrastrukturen eller delar av den.

Denna typ av fiktiva tjänster kan även hjälpa till att uppehålla en angripare och dra ut på processen under tiden du får larm och vidtar åtgärder.

Förslag på tjänster eller tokens där larm kan skicka direkt:

  • PDF-fil i administratörsmapp på central server med namn Passwords.pdf
  • Internt mail mellan ledningspersonal eller styrelse med länk
  • FTP, SSH eller MySQL-server på DMZ och internt

Vidare läsning

Canary