Honeytokens: gratis, privacyvriendelijk, effectief en toch nauwelijks gebruikt!
Expertblogs
Natuurlijk detecteert iedere securityprofessional de aanvaller het liefst aan het begin van de cyber kill chain. Hoe eerder je dit lukt, hoe groter de kans is dat de schade beperkt blijft. Zo simpel is het! Een veel voorkomende detectiemaatregel, zoals een intrusion detection system (IDS) aan de rand van een netwerk is daarom een hele logische keuze.
Maar geen enkele detectiemaatregel is op zichzelf voldoende sluitend. Een deel van het netwerkverkeer onttrekt zich aan ons zicht omdat het versleuteld is. Bovendien is door de grote diversiteit aan IT-systemen, toepassingen en netwerkverkeer het detecteren van anomalieën bijzonder lastig of zelfs helemaal niet te doen. Daarnaast moet je als securityprofessional rekening houden met privacyrichtlijnen en moeten de detectiemaatregelen logischerwijs proportioneel zijn.
Denk eens aan Honeytokens!
De hiervoor beschreven knelpunten hebben een negatieve impact op de beveiligingswaarde van verschillende, met name netwerk gebaseerde detectiemaatregelen. Om de effectiviteit van detectie te vergroten is het verstandig om een detectiearchitectuur te ontwikkelen die in meerdere fases van de cyber kill chain beveiligingswaarde kan bieden. Een detectieoplossing waar vaak overheen gekeken wordt en waar ik in deze blog graag een lans voor wil breken, zijn honeytokens.
Eenvoudig uitgelegd is een honeytoken een voor aanvallers aantrekkelijke data die bewust als detectiemiddel geplaatst wordt om aanvallers uit te lokken deze te benaderen (openen, kopiëren, gebruiken, enz). Honeytokens bevatten geen echte informatie en zijn voor de aanvaller waardeloos. Zodra een aanvaller een honeytoken gebruikt, krijgt het blue team een melding en kan een onderzoek naar de potentiële aanval direct gestart worden.
Het verschil tussen een Honeytoken en een Honeypot
Een honeypot is meestal een systeem, vaak in de vorm van een server, die bewust kwetsbaar geconfigureerd is. Dit maakt een honeypot een aantrekkelijk doelwit voor aanvallers. Omdat een honeypot een systeem is, is het belangrijk goed over de beveiliging hiervan na te denken om de risico’s voor de rest van je netwerk te beperken. Een honeytoken daarentegen is niets meer dan namaak data in de vorm van bijvoorbeeld een bestand, access token, e-mailadres, URL, of een namaak account en heeft dit risico niet. Sommige honeytokens blijven werken nadat deze zijn onttrokken aan de eigen infrastructuur en kunnen daarmee in de andere fases in de cyber kill chain ingezet worden. De voorbeelden hieronder geven hier meer inzicht in.
Voorbeelden
Erg theoretisch allemaal? Hier drie voorbeelden om het concreet te maken!
Passwords.xls!!
Het komt regelmatig voor dat wachtwoorden als plain text worden opgeslagen in een document of Excel bestand. Dit zorgt ervoor dat aanvallers hier nog vaak naar zoeken. Met een honeytoken maak je een namaak passwords.xls en plaats je die op een strategische plaats in je netwerk. Voor een aanvaller die na compromitatie van de infrastructuur dit bestand tegen komt, is het verleidelijk om de inhoud te bekijken en/of de inhoud ook te testen. Voor zowel het bekijken van het bestand als het testen van de namaak -accounts die in een honeytoken staan kun je meldingen configureren. Denk aan het gebruik van bijvoorbeeld audit- of securitylogs.
Klik hier om toegang te krijgen tot mijn super “geheime” portal.
In de mailbox van een super user staat een namaak e-mail met daarin een geloofwaardig verhaal en een URL die verwijst naar de “superbelangrijke en vertrouwelijke portal” waar alleen deze gebruiker vanuit zijn functie toegang toe heeft. Hoe verleidelijk is het voor de aanvaller om deze URL te verkennen? Het generen van een alert bij slechts een GET-verzoek van deze URL is al voldoende om te weten dat deze mailbox gecompromitteerd is.
VIP Email adres waar het (als het goed is) toch erg stil blijft
In een bestand, mailbox, database, waar dan ook, zolang het er maar geloofwaardig uitziet, staat het mailadres van een belangrijk persoon, een VIP. Een paar ideeën die - afhankelijk van de situatie - gebruikt kunnen worden zijn een mailadres van de “kroongetuige”, privé mailadres van “de minister”, of het adres van de “Active Directory beheerder”. Zodra je een e-mail ontvangt op het door jou verder strikt geheimgehouden mailadres is dat reden voor direct onderzoek.
Er is nog veel meer mogelijk!
De relatief simpele voorbeelden hierboven kun je verder uitbreiden en geloofwaardiger maken. Denk aan cookies, DNS1-tokens, database records, enz. Canarytokens.org is een goede website om wat inspiratie op te doen.
Zijn honeytokens de oplossing voor al onze detectie uitdagingen?
Nee, dat zijn ze niet. Zo is een detectiearchitectuur met grote aantallen honeytokens een grote uitdaging om te beheren. Honeytokens zijn een nuttige aanvullende tool in de detectie-gereedschapskist. Doordat onder andere de beheerlast, kosten, netwerkrisico’s en impact op privacy klein zijn is de vraag eigenlijk, waarom gebruik jij ze als securityprofessional nog niet?
Ronald van der Zon
Meer weblogberichten
Reactie toevoegen
U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.
Reacties
Er zijn nu geen reacties gepubliceerd.