Como você pode detectar hackers acessando seus sistemas? Honeytokens podem ser a resposta. Aqui está o que você precisa saber.
Qualquer empresa que armazene informações privadas é um alvo potencial para hackers. Eles empregam uma variedade de técnicas para acessar redes seguras e são motivados pelo fato de que qualquer dado pessoal roubado pode ser vendido ou mantido como resgate.
Todas as empresas responsáveis tomam medidas para evitar isso, tornando seus sistemas o mais difícil possível de acessar. Uma opção que muitas empresas ignoram, no entanto, é o uso de honeytokens, que podem ser usados para fornecer alertas sempre que ocorrer uma invasão.
Então, o que são honeytokens e sua empresa deve usá-los?
O que são Honeytokens?
Honeytokens são pedaços de informações falsas que são adicionadas a sistemas seguros, de modo que, quando um intruso os pegar, isso acionará um alerta.
Honeytokens são usados principalmente para simplesmente mostrar que uma intrusão está ocorrendo, mas alguns honeytokens também são projetados para fornecer informações sobre intrusos que podem revelar sua identidade.
Honeytoken vs. Honeypots: Qual é a diferença?
Honeytokens e honeypots são ambos baseados na mesma ideia. Ao adicionar ativos falsos a um sistema, é possível ser alertado sobre intrusos e aprender mais sobre eles. A diferença é que, enquanto honeytokens são informações falsas, honeypots são sistemas falsos.
Enquanto um honeytoken pode assumir a forma de um arquivo individual, um honeypot pode assumir a forma de um servidor inteiro. Honeypots são significativamente mais sofisticados e podem ser usados para distrair intrusos em maior extensão.
Tipos de Honeytoken
Existem muitos tipos diferentes de honeytokens. Dependendo de qual você usa, você pode aprender informações diferentes sobre um intruso.
Endereço de e-mail
Para usar um endereço de e-mail falso como honeytoken, basta criar uma nova conta de e-mail e armazená-la em um local que possa ser acessado por um intruso. Endereços de e-mail falsos podem ser adicionados a servidores de e-mail e dispositivos pessoais legítimos. Desde que a conta de e-mail esteja armazenada apenas naquele local, se você receber algum e-mail nessa conta, saberá que houve uma invasão.
Registros de banco de dados
Registros falsos podem ser adicionados a um banco de dados para que, se um intruso acessar o banco de dados, eles os roubem. Isso pode ser útil para fornecer informações falsas a um invasor, distraí-lo de dados valiosos ou detectar a invasão, se o invasor fizer referência a informações falsas.
Arquivos executáveis
Um arquivo executável é ideal para uso como honeytoken porque pode ser configurado para revelar informações sobre qualquer pessoa que o execute. Arquivos executáveis podem ser adicionados a servidores ou dispositivos pessoais e disfarçados como dados valiosos. Se ocorrer uma invasão e o invasor roubar o arquivo e executá-lo em seu dispositivo, você poderá descobrir o endereço IP e as informações do sistema.
Web Beacons
Um web beacon é um link em um arquivo para um pequeno gráfico. Como um arquivo executável, um web beacon pode ser projetado para revelar informações sobre um usuário sempre que for acessado. Web beacons podem ser usados como honeytokens, adicionando-os a arquivos que parecem valiosos. Assim que o arquivo for aberto, o web beacon transmitirá informações sobre o usuário.
Vale a pena notar que a eficácia dos web beacons e dos arquivos executáveis depende do invasor usar um sistema com portas abertas.
Biscoitos
Cookies são pacotes de dados usados por sites para registrar informações sobre os visitantes. Os cookies podem ser adicionados a áreas seguras de sites e usados para identificar um hacker da mesma forma que são usados para identificar qualquer outro usuário. As informações coletadas podem incluir o que o hacker tenta acessar e com que frequência o faz.
Identificadores
Um identificador é um elemento exclusivo que é adicionado a um arquivo. Se você está enviando algo para um grande grupo de pessoas e suspeita que uma delas vai vazar, você pode adicionar um identificador a cada um que indique quem é o destinatário. Ao adicionar o identificador, você saberá quem é o vazador imediatamente.
Chaves da AWS
Uma chave AWS é uma chave para Amazon Web Services, amplamente utilizada por empresas; eles geralmente fornecem acesso a informações importantes, tornando-os muito populares entre os hackers. As chaves da AWS são ideais para uso como honeytokens porque qualquer tentativa de usar uma é registrada automaticamente. As chaves AWS podem ser adicionadas a servidores e dentro de documentos.
Os links incorporados são ideais para uso como honeytokens porque podem ser configurados para enviar informações quando clicados. Ao adicionar um link incorporado a um arquivo com o qual um invasor pode interagir, você pode ser alertado quando o link é clicado e potencialmente por quem.
Onde colocar Honeytokens
Como os honeytokens são pequenos e baratos e existem tantos tipos diferentes, eles podem ser adicionados a praticamente qualquer sistema. Uma empresa interessada em usar honeytokens deve fazer uma lista de todos os sistemas seguros e adicionar um honeytoken adequado a cada um.
Honeytokens podem ser usados em servidores, bancos de dados e dispositivos individuais. Depois de adicionar honeytokens em uma rede, é importante que todos eles sejam documentados e que pelo menos uma pessoa seja responsável por lidar com os alertas.
Como reagir a Honeytokens sendo acionados
Quando um honeytoken é acionado, isso significa que ocorreu uma invasão. A ação a ser tomada obviamente varia muito, dependendo de onde ocorreu a intrusão e como o intruso obteve acesso. Ações comuns incluem alterar senhas e tentar descobrir o que mais o intruso pode ter acessado.
Para usar honeytokens de forma eficaz, a reação adequada deve ser decidida com antecedência. Isso significa que todos os honeytokens devem ser acompanhados por um plano de resposta a incidentes.
Honeytokens são ideais para qualquer servidor seguro
Todas as empresas responsáveis estão aumentando suas defesas para evitar a invasão de hackers. Honeytokens são uma técnica útil não apenas para detectar invasões, mas também para fornecer informações sobre o ciberataque.
Ao contrário de muitos aspectos da segurança cibernética, adicionar honeytokens a um servidor seguro também não é um processo caro. Eles são fáceis de fazer e, desde que pareçam realistas e potencialmente valiosos, a maioria dos intrusos os acessará.
