Come puoi rilevare gli hacker che accedono ai tuoi sistemi? Gli Honeytoken potrebbero essere la risposta. Ecco cosa devi sapere.
Qualsiasi azienda che memorizza informazioni private è un potenziale bersaglio per gli hacker. Impiegano una serie di tecniche per accedere a reti sicure e sono motivate dal fatto che qualsiasi dato personale rubato può essere venduto o tenuto in ostaggio.
Tutte le aziende responsabili adottano misure per prevenirlo rendendo i propri sistemi il più difficile possibile. Un'opzione che molte aziende trascurano, tuttavia, è l'uso di honeytoken, che possono essere utilizzati per fornire avvisi ogni volta che si verifica un'intrusione.
Quindi cosa sono gli honeytoken e la tua azienda dovrebbe usarli?
Cosa sono gli Honeytoken?
Gli Honeytoken sono pezzi di informazioni false che vengono aggiunti a sistemi sicuri, in modo che, quando un intruso li prende, questo attiverà un avviso.
Gli Honeytoken sono utilizzati principalmente per semplicemente mostrare che si sta verificando un'intrusione
, ma alcuni honeytoken sono progettati anche per fornire informazioni sugli intrusi che potrebbero rivelarne l'identità.Honeytoken vs. Honeypot: qual è la differenza?
Honeytoken e gli honeypot sono entrambi basati sulla stessa idea. Aggiungendo risorse false a un sistema, è possibile essere avvisati degli intrusi e saperne di più su di loro. La differenza è che, mentre gli honeytoken sono pezzi di informazioni false, gli honeypot sono sistemi falsi.
Mentre un honeytoken potrebbe assumere la forma di un singolo file, un honeypot potrebbe assumere la forma di un intero server. Gli honeypot sono significativamente più sofisticati e possono essere utilizzati per distrarre gli intrusi in misura maggiore.
Tipi di Honeytoken
Esistono molti tipi diversi di honeytoken. A seconda di quale usi, potresti essere in grado di apprendere diverse informazioni su un intruso.
Indirizzi email
Per utilizzare un indirizzo e-mail falso come honeytoken, è sufficiente creare un nuovo account e-mail e archiviarlo in un luogo accessibile a un intruso. Gli indirizzi e-mail falsi possono essere aggiunti a server di posta e dispositivi personali altrimenti legittimi. A condizione che l'account e-mail sia memorizzato solo in quella posizione, se ricevi e-mail su quell'account, saprai che c'è stata un'intrusione.
Record di database
I record falsi possono essere aggiunti a un database in modo che se un intruso accede al database, li ruberà. Ciò può essere utile per fornire a un intruso informazioni false, distrarlo da dati preziosi o rilevare l'intrusione, se l'intruso fa riferimento a informazioni false.
File eseguibili
Un file eseguibile è ideale per essere utilizzato come honeytoken perché può essere impostato per rivelare informazioni su chiunque lo esegua. I file eseguibili possono essere aggiunti a server o dispositivi personali e camuffati come dati preziosi. Se si verifica un'intrusione e l'attaccante ruba il file e lo esegue sul proprio dispositivo, potresti essere in grado di apprendere il loro indirizzo IP e le informazioni di sistema.
Web beacon
Un web beacon è un collegamento in un file a un piccolo grafico. Come un file eseguibile, un web beacon può essere progettato per rivelare informazioni su un utente ogni volta che vi si accede. I web beacon possono essere utilizzati come honeytoken aggiungendoli a file che sembrano preziosi. Una volta aperto il file, il web beacon trasmetterà informazioni sull'utente.
Vale la pena notare che l'efficacia sia dei web beacon che dei file eseguibili dipende dall'attaccante che utilizza un sistema con porte aperte.
Biscotti
I cookie sono pacchetti di dati utilizzati dai siti Web per registrare informazioni sui visitatori. I cookie possono essere aggiunti alle aree protette dei siti Web e utilizzati per identificare un hacker nello stesso modo in cui vengono utilizzati per identificare qualsiasi altro utente. Le informazioni raccolte possono includere ciò a cui l'hacker tenta di accedere e la frequenza con cui lo fa.
Identificatori
Un identificatore è un elemento univoco che viene aggiunto a un file. Se stai inviando qualcosa a un ampio gruppo di persone e sospetti che uno di loro lo diffonda, puoi aggiungere un identificatore a ciascuno che indichi chi è il destinatario. Aggiungendo l'identificatore, saprai immediatamente chi è il leaker.
Chiavi AWS
Una chiave AWS è una chiave per Amazon Web Services, ampiamente utilizzata dalle aziende; spesso forniscono l'accesso a informazioni importanti, rendendole molto popolari tra gli hacker. Le chiavi AWS sono ideali per l'uso come honeytoken perché ogni tentativo di utilizzarne una viene registrato automaticamente. Le chiavi AWS possono essere aggiunte ai server e all'interno dei documenti.
I collegamenti incorporati sono ideali per essere utilizzati come honeytoken perché possono essere impostati per inviare informazioni quando vengono cliccati. Aggiungendo un collegamento incorporato a un file con cui un utente malintenzionato può interagire, puoi essere avvisato sia quando il collegamento viene cliccato sia potenzialmente da chi.
Dove mettere gli Honeytoken
Poiché gli honeytoken sono piccoli ed economici, e ci sono così tanti tipi diversi, possono essere aggiunti a quasi tutti i sistemi. Un'azienda interessata all'utilizzo di honeytoken dovrebbe fare un elenco di tutti i sistemi sicuri e aggiungere un honeytoken adatto a ciascuno di essi.
Gli Honeytoken possono essere utilizzati su server, database e singoli dispositivi. Dopo aver aggiunto honeytoken in una rete, è importante che siano tutti documentati e che almeno una persona sia responsabile della gestione di eventuali avvisi.
Come reagire all'attivazione degli Honeytoken
Quando viene attivato un honeytoken, significa che si è verificata un'intrusione. L'azione da intraprendere ovviamente varia ampiamente a seconda di dove si è verificata l'intrusione e di come l'intruso ha ottenuto l'accesso. Le azioni comuni includono la modifica delle password e il tentativo di apprendere a cos'altro l'intruso potrebbe aver avuto accesso.
Per utilizzare in modo efficace gli honeytoken, la reazione adeguata dovrebbe essere decisa in anticipo. Ciò significa che tutti gli honeytoken devono essere accompagnati da un piano di risposta agli incidenti.
Gli Honeytoken sono ideali per qualsiasi server sicuro
Tutte le aziende responsabili stanno aumentando le loro difese per prevenire l'intrusione degli hacker. Gli Honeytoken sono una tecnica utile non solo per rilevare le intrusioni, ma anche per fornire informazioni sull'attaccante informatico.
A differenza di molti aspetti della sicurezza informatica, anche l'aggiunta di honeytoken a un server sicuro non è un processo costoso. Sono facili da realizzare e, a condizione che appaiano realistici e potenzialmente preziosi, la maggior parte degli intrusi vi accederà.
