Главная » Блоги Экспертов И ИТ-Компаний » ИБ. Канарейки на службе ИБ

ИБ. Канарейки на службе ИБ

Идея использовать “канареек” в информационной безопасности – не новая, но в РФ все ещё редко применяется, поэтому решил напомнить читателям про эту идею.
logo_canary%25402x.png
Эксперты по ИБ предупреждают что защититься от 100% кибератак невозможно – всегда может найтись слишком доверчивый пользователь, непубличная уязвимость или целевая атака. Основной смысл решения с “канарейками” в том, чтобы вместо поиска вторжений в миллионах событий (иголки в стоге сена), мы получили уведомление, когда злоумышленнику всё-таки удалось добраться до нашей ценной информации.
Размещать “канареек” имеет смысл в наиболее ценных активах – как только нарушитель доберется до них, вы получите уведомление и возможно оперативно заблокировать его, провести расследование инцидента, устранить уязвимости, которыми пользовался нарушитель и возможно собрать информацию, полезную для правоохранительных органов.
В целом идея похожа на honeypot, но только размещение “канареек” должно происходить максимально просто – в пару кликов. С https://canarytokens.org буквально за пару часов мы можете создать и пристроить птичек – а потом целый год пожинать плоды. Посмотрим на несколько примеров:
·        Если у вас активно используется обмен ценной информацией через сетевые папки, то вы аналогично можете создать новую папку с похожим привлекательным названием, запретить к ней доступ обычных пользователей, оставить доступ административных или системных учетных записей.
Далее создаем канарейку / токен типа Windowsfolder (работает с использованием desktop.ini) и размещаем его в целевой папке.
%25D0%25BF%25D0%25B0%25D0%25BF%25D0%25BA%25D0%25B0.png
После того как кто-то заходит в папку, получаем подобное уведомление
%25D0%25BF%25D0%25B0%25D0%25BF%25D0%25BA%25D0%25B02.png
·        Если ценные данные ИС размещаются в базах данных, будем селить “канарейку” в БД.
Создаем токен типа SQLServer– для него придумаем новый VIEWс привлекательным названием, который не используется в реальной работе, но к которому будет доступ у любой учетной записи.

 

sql.png
Применяем полученный скрипт в SQLсервере
sql2.png
Как только злоумышленник проберется в базу и посмотрит наш view, мы получим уведомление
sql3.png
·        Ценная информация отправляется контрагенту в формате wordи pdf, но нужно проконтролировать чтобы она не распространялась слишком широко, или не использовалась дольше чем указано в договоре (как это работает обсуждалось тут)
Создаемтокентипа Microsoft Word Document или Adobe Reader PDF document
word.png
Вставляем в него нашу информацию – отправляем.
Получаем следующие уведомления.
word2.png
·        У нас есть ценный сайт, который может быть склонирован злоумышленником, и использован для фишинговой атаки на пользователей.
Создаем канарейку типа Clonedwebsite
clone.png
Размещаем java-скрипт на странице с авторизацией или там где пользователь вводит данные
При появлении клона сайта получаем уведомления
clone2.png
·        У нас есть ценное webприложение. В каком-то из закрытых разделов, где нет доступа пользователей размещаем привлекательный файл – канарейка типа AdobeReaderPDFdocument, либо на закрытой webстранице размещаем специальные картинки, ссылки либо редиректы – канареки типа URLtoken, DNStoken, CustomImagetoken, FastRedirect.  
Пользователи, а этот раздел не ходят, а злоумышленник проберется через уязвимость и посмотрит.
Кому понравилась данная тема и хочется большего, смотрите полноценные honeypotпроекты где нужно самим создавать и настраивать приманки; также можно развернуть у себя “канареечный” сервер с кастомным именем – ведь злоумышленики могут блокировать стандартное canarytokens.org; также можно приобретать многофункциональных “канареек”, которые из коробки могут прикидываться АРМ на windwos, маршрутизатором или Linuxсервером.
Ps: Для эксперимента по точности обнаружения можете скачать и открыть у себя pdf файл 


Источник: https://sborisov.blogspot.com/2019/07/blog-post 22.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>