Prije nekoliko sedmica, u San Francisku je završeno 32. izdanje RSA, jedne od najvećih svjetskih konferencija o kibernetičkoj bezbjednosti. Među istaknutim događajima, Kevin Mandia, izvršni direktor Mandiant-a u Google Cloud-u, predstavio je retrospektivu o stanju kibernetičke bezbjednosti. Tokom svog uvodnog izlaganja, Mandia je izjavio:
“Postoje jasni koraci koje organizacije mogu preduzeti izvan uobičajenih mjera zaštite i sigurnosnih alata kako bi ojačale svoju odbranu i povećale svoje šanse za otkrivanje, sprečavanje ili minimizovanje napada. Honeypots, ili lažni nalozi koje su namjerno ostavljeni netaknuti od strane ovlaštenih korisnika, učinkoviti su u pomaganju organizaciji da otkriju upade ili maliciozne aktivnosti koje sigurnosni proizvodi ne mogu zaustaviti”.
“Build honeypots” bio je jedan od njegovih sedam savjeta koji će pomoći organizacijama da izbjegnu neke od napada koji bi mogli zahtijevati angažman s Mandiant-om ili drugim firmama za odgovor na incidente.
Podsjećamo, honeypots je sistem mamaca koji su postavljeni da namame napadače i odvrate njihovu pažnju od stvarnih meta. Obično se koriste kao sigurnosni mehanizam za otkrivanje, skretanje ili proučavanje pokušaja napadača da dobiju neovlašteni pristup mreži. Kada napadači stupe u interakciju, sistem može prikupiti informacije o napadu i napadačevim taktikama, tehnikama i procedurama (TTP).
U digitalnom dobu u kojem su kršenja podataka sve češća unatoč rastućim budžetima koji se svake godine izdvajaju za sigurnost, Mandia je istakla da je ključno zauzeti proaktivan pristup kako bi se ograničio uticaj kršenja podataka. Otuda potreba da se okrenemo protiv napadača i obnovimo interesovanje za honeypots.
Iako su honeypots efikasno rešenje za praćenje napadača i sprečavanje krađe podataka, oni tek treba da budu široko prihvaćeni zbog poteškoća sa podešavanjem i održavanjem. Da bi privukao napadače, honeypot mora izgledati legitimno i izolirano od stvarne proizvodne mreže, što ga čini izazovnim za postavljanje i skaliranje za plavi tim koji želi razviti mogućnosti otkrivanja upada.
Ali to nije sve. U današnjem svijetu, lanac nabavke softvera je vrlo složen i sastavljen od mnogih komponenti trećih strana kao što su SaaS alati, API-i i biblioteke koje često dolaze od različitih vendora. Komponente se dodaju na svakom nivou steka za izgradnju softvera, što dovodi u pitanje pojam “sigurnog” perimetra koji treba braniti. Ova pokretna linija između onoga što je interno kontrolisano i onoga što nije može da pobije svrhu honeypots-a. U ovom svetu koji vodi DevOps, sistemi za upravljanje source kodom i kontinuirani integracioni kanali su pravi mamac za hakere, koji tradicionalni honeypots-i ne mogu da oponašaju.
Da bi osigurale sigurnost i integritet svog lanca nabavke softvera, organizacijama su potrebni novi pristupi, kao što su honeytokeni, koji zahtijevaju minimalne resurse, ali su vrlo efikasni u otkrivanju napada.
Honeytoken mamci
Honeytoken, dizajnirani su da izgledaju kao legitimni kredencijal ili tajna. Kada napadač koristi honeytoken, odmah se aktivira upozorenje. Ovo omogućava da se preduzme brza akcija na osnovu indikatora kompromisa, kao što su IP adresa, za razlikovanje internog od eksternog porekla, vremenska oznaka, korisnički agenti, izvor i evidencije svih radnji izvršenih na honeytoken-u i susјednim sistemima.
Kod honeytoken-a mamac je kredencijal. Kada je sistem probijen, hakeri obično traže lake mete za lateralno kretanje, eskaliraju privilegije ili kradu podatke. U tom kontekstu, programske kredencijali kao što su Cloud API ključevi su idealna meta za skeniranje jer imaju prepoznatljiv obrazac i često sadrže korisne informacije za napadača. Stoga oni predstavljaju glavnu metu koju napadači traže i iskorištavaju tokom provale. Kao rezultat toga, oni su i najlakši mamac za širenje, mogu biti smješteni na Cloud resursima, internim serverima, SaaS alatima trećih strana, kao i na radnim stanicama ili datotekama.
U prosjeku, potrebno je 327 dana da se identifikuje povreda podataka. Širenjem honeytoken-a na više lokacija, sigurnosni timovi mogu otkriti kršenja u roku od nekoliko minuta, povećavajući sigurnost pipeline-a za isporuku softvera od potencijalnih upada. Jednostavnost honeytoken-a je značajna prednost koja eliminiše potrebu za razvojem čitavog sistema obmane. Organizacije mogu lako kreirati, implementirati i upravljati honeytokenim-a na nivou kompanije, obezbjeđujući hiljade repozitorijuma koda istovremeno.
Budućnost detekcije upada
Polje detekcije upada predugo je ostalo ispod radara u DevOps svijetu. Realnost na terenu je da su lanci nabavke softvera nova prioritetna meta napadača, koji su shvatili da su okruženja za razvoj i izgradnju mnogo manje zaštićena od proizvodnih. Učiniti Honeypot tehnologiju pristupačnijom je ključno, kao i olakšati njeno uvođenje u skali pomoću automatizacije.
GitGuardian, platforma za sigurnost koda, nedavno je lansirala svoju Honeytoken sposobnost da ispuni ovu misiju. Kao lider u otkrivanju i otklanjanju tajni, kompanija je u jedinstvenoj poziciji da transformiše problem, širenje tajni, u odbrambenu prednost. Platforma je dugo vremena naglašavala važnost podjele sigurnosne odgovornosti između programera i AppSec analitičara. Sada je cilj da se “pomakne ulijevo” na detekciji upada omogućavajući još mnogima da generišu kredencijale za mamce i postave ih na strateška mjesta u cijelom nizu razvoja softvera. Ovo će biti omogućeno pružanjem alata programerima koji im omogućava da kreiraju honeytokene i stavljaju ih u repozitorijume koda i lanac nabavke softvera.
Modul Honeytoken takođe automatski otkriva curenje koda na GitHub-u, kada korisnici postave honeytokene u svoj kod, GitGuardian može utvrditi da li su procurili na javnom GitHub-u i gdje su to učinili, značajno smanjujući utjecaj kršenja poput onih koje su otkrili Twitter, LastPass, Okta, Slack i drugi.
Zaključak
Kako softverska industrija nastavlja rasti, neophodno je učiniti sigurnost dostupnijom masama. Honeytokens nudi proaktivno i jednostavno rešenje za otkrivanje upada u lanac nabavke softvera što je prije moguće. Oni mogu pomoći kompanijama svih veličina da osiguraju svoje sisteme, bez obzira na složenost svoje grupe ili alate koje koriste, sisteme upravljanja izvornom kontrolom (SCM), pipeline-e za kontinuisanu integraciju (CI/CD) i registre softverskih artefakata, među drugi.
Sa svojim pristupom bez podešavanja i jednostavnim za korištenje, GitGuardian integriše ovu tehnologiju kako bi pomogao organizacijama da kreiraju, implementiraju i upravljaju honeytokenima na većem nivou kompanija, značajno smanjujući uticaj potencijalnih povreda podataka.
Izvor: The Hacker News