ИБ. Канарейки на службе ИБ
Идея использовать “канареек” в
информационной безопасности – не новая, но в РФ все ещё редко применяется,
поэтому решил напомнить читателям про эту идею.
Эксперты по ИБ предупреждают что
защититься от 100% кибератак невозможно – всегда может найтись слишком
доверчивый пользователь, непубличная уязвимость или целевая атака. Основной
смысл решения с “канарейками” в том, чтобы вместо поиска вторжений в миллионах
событий (иголки в стоге сена), мы получили уведомление, когда злоумышленнику
всё-таки удалось добраться до нашей ценной информации.
Размещать “канареек” имеет смысл в
наиболее ценных активах – как только нарушитель доберется до них, вы получите
уведомление и возможно оперативно заблокировать его, провести расследование
инцидента, устранить уязвимости, которыми пользовался нарушитель и возможно
собрать информацию, полезную для правоохранительных органов.
В целом идея похожа на honeypot, но только размещение “канареек” должно
происходить максимально просто – в пару кликов. С https://canarytokens.org буквально
за пару часов мы можете создать и пристроить птичек – а потом целый год пожинать
плоды. Посмотрим на несколько примеров:
·
Если у вас активно используется обмен ценной
информацией через сетевые папки, то
вы аналогично можете создать новую папку с похожим привлекательным названием, запретить
к ней доступ обычных пользователей, оставить доступ административных или системных
учетных записей.
Далее
создаем канарейку / токен типа Windows
folder (работает с использованием desktop.ini)
и размещаем его в целевой папке.
После
того как кто-то заходит в папку, получаем подобное уведомление
·
Если ценные данные ИС размещаются в базах данных, будем селить “канарейку”
в БД.
Создаем
токен типа SQL
Server – для него
придумаем новый VIEW
с
привлекательным названием, который не используется в реальной работе, но к
которому будет доступ у любой учетной записи.
Применяем
полученный скрипт в SQL
сервере
Как
только злоумышленник проберется в базу и посмотрит наш view, мы получим уведомление
·
Ценная информация отправляется контрагенту в формате word и pdf, но нужно
проконтролировать чтобы она не распространялась слишком широко, или не использовалась
дольше чем указано в договоре (как это работает обсуждалось тут)
Создаем токен типа Microsoft Word Document или Adobe Reader PDF document
Вставляем
в него нашу информацию – отправляем.
Получаем
следующие уведомления.
·
У нас есть ценный сайт, который может быть склонирован злоумышленником, и
использован для фишинговой атаки на пользователей.
Создаем
канарейку типа Cloned
web site
Размещаем
java-скрипт на странице с авторизацией или
там где пользователь вводит данные
При
появлении клона сайта получаем уведомления
·
У нас есть ценное web приложение. В каком-то из закрытых разделов,
где нет доступа пользователей размещаем привлекательный файл – канарейка типа Adobe Reader PDF
document, либо на закрытой web странице размещаем специальные
картинки, ссылки либо редиректы – канареки типа URL token, DNS token, Custom
Image token, Fast
Redirect.
Пользователи,
а этот раздел не ходят, а злоумышленник проберется через уязвимость и
посмотрит.
Кому понравилась данная тема и хочется
большего, смотрите полноценные honeypot
проекты
где нужно самим создавать и настраивать приманки; также можно развернуть у себя
“канареечный” сервер с кастомным именем – ведь злоумышленики могут блокировать
стандартное canarytokens.org; также можно приобретать многофункциональных “канареек”,
которые из коробки могут прикидываться АРМ на windwos, маршрутизатором или Linux
сервером.
Ps: Для эксперимента по точности обнаружения можете скачать и
открыть у себя pdf файл - потом опубликую что обнаружилось
Комментарии