Honeytoken là gì? Cách phát hiện tội phạm mạng ăn cắp dữ liệu
Bất kỳ doanh nghiệp nào lưu trữ thông tin cá nhân đều là mục tiêu tiềm năng của tin tặc. Chúng sử dụng nhiều kỹ thuật để truy cập mạng an toàn và được thúc đẩy bởi thực tế là bất kỳ thông tin cá nhân nào bị đánh cắp đều có thể được bán hoặc giữ để đòi tiền chuộc.
Tất cả các doanh nghiệp chịu trách nhiệm thực hiện các biện pháp để ngăn chặn điều này bằng cách làm cho hệ thống của họ khó truy cập nhất có thể. Tuy nhiên, một tùy chọn mà nhiều doanh nghiệp bỏ qua là việc sử dụng mã thông báo mật ong, có thể được sử dụng để cung cấp cảnh báo bất cứ khi nào có sự xâm nhập.
Vậy Honeytokens là gì và doanh nghiệp của bạn có nên sử dụng chúng không?
Mục Lục
Honeytoken là gì?
Honeytokens là những mẩu thông tin giả mạo được thêm vào các hệ thống bảo mật, do đó, khi kẻ xâm nhập lấy chúng, điều này sẽ kích hoạt cảnh báo.
Honeytoken chủ yếu được sử dụng để chỉ ra rằng một cuộc xâm nhập đang xảy ra, nhưng một số Honeytoken cũng được thiết kế để cung cấp thông tin về những kẻ xâm nhập có thể tiết lộ danh tính của chúng.
Honeytokens so với Honeypots: Đâu là sự khác biệt?
Honeytokens và honeypots đều dựa trên cùng một ý tưởng. Bằng cách thêm tài sản giả vào hệ thống, có thể được cảnh báo về những kẻ xâm nhập và tìm hiểu thêm về chúng. Sự khác biệt là, trong khi honeytokens là những mẩu thông tin giả mạo, thì honeypots là hệ thống giả mạo.
Trong khi một honeytokens có thể ở dạng một tệp riêng lẻ, thì một honeypot có thể ở dạng toàn bộ máy chủ. Honeypots phức tạp hơn đáng kể và có thể được sử dụng để đánh lạc hướng những kẻ xâm nhập ở mức độ lớn hơn.
Các loại Honeytoken
Có nhiều loại mật ong khác nhau. Tùy thuộc vào loại bạn sử dụng, bạn có thể tìm hiểu các thông tin khác nhau về kẻ xâm nhập.
Địa chỉ email
Để sử dụng địa chỉ email giả làm mã thông báo mật, chỉ cần tạo một tài khoản email mới và lưu trữ ở nơi mà kẻ xâm nhập có thể truy cập. Địa chỉ email giả mạo có thể được thêm vào các máy chủ thư hợp pháp và thiết bị cá nhân. Với điều kiện tài khoản email chỉ được lưu trữ ở một vị trí đó, nếu bạn nhận được bất kỳ email nào gửi đến tài khoản đó, bạn sẽ biết rằng đã có sự xâm nhập.
Bản ghi cơ sở dữ liệu
Các bản ghi giả mạo có thể được thêm vào cơ sở dữ liệu để nếu kẻ xâm nhập truy cập vào cơ sở dữ liệu, chúng sẽ đánh cắp chúng. Điều này có thể hữu ích để cung cấp cho kẻ xâm nhập thông tin sai lệch, khiến chúng mất tập trung khỏi dữ liệu có giá trị hoặc phát hiện hành vi xâm nhập nếu kẻ xâm nhập tham chiếu đến thông tin sai lệch.
Các tập tin thực thi
Tệp thực thi là lý tưởng để sử dụng làm mã thông báo mật vì nó có thể được đặt để tiết lộ thông tin về bất kỳ ai chạy tệp đó. Các tệp thực thi có thể được thêm vào máy chủ hoặc thiết bị cá nhân và được ngụy trang dưới dạng dữ liệu có giá trị. Nếu xảy ra xâm nhập và kẻ tấn công đánh cắp tệp và chạy tệp đó trên thiết bị của họ, thì bạn có thể biết địa chỉ IP và thông tin hệ thống của họ.
Báo hiệu web
Đèn hiệu web là một liên kết trong tệp đến một hình ảnh nhỏ. Giống như một tệp thực thi, đèn hiệu web có thể được thiết kế để tiết lộ thông tin về người dùng bất cứ khi nào nó được truy cập. Đèn hiệu web có thể được sử dụng làm mật mã thông báo bằng cách thêm chúng vào các tệp có giá trị. Khi tệp được mở, đèn hiệu web sẽ phát thông tin về người dùng.
Cần lưu ý rằng hiệu quả của cả đèn hiệu web và tệp thực thi đều phụ thuộc vào kẻ tấn công sử dụng hệ thống có cổng mở.
Bánh quy
Cookies là các gói dữ liệu được các trang web sử dụng để ghi lại thông tin về khách truy cập. Cookie có thể được thêm vào các khu vực bảo mật của trang web và được sử dụng để xác định tin tặc giống như cách chúng được sử dụng để xác định bất kỳ người dùng nào khác. Thông tin được thu thập có thể bao gồm những gì tin tặc cố gắng truy cập và tần suất họ làm như vậy.
định danh
Mã định danh là một thành phần duy nhất được thêm vào tệp. Nếu bạn đang gửi nội dung nào đó cho nhiều người và bạn nghi ngờ rằng một trong số họ sẽ làm rò rỉ nội dung đó, bạn có thể thêm số nhận dạng cho từng người để cho biết người nhận là ai. Bằng cách thêm số nhận dạng, bạn sẽ biết ngay kẻ rò rỉ là ai.
Khóa AWS
Khóa AWS là khóa dành cho Amazon Web Services, được các doanh nghiệp sử dụng rộng rãi; chúng thường cung cấp quyền truy cập vào thông tin quan trọng, khiến chúng trở nên rất phổ biến đối với tin tặc. Các khóa AWS rất lý tưởng để sử dụng làm mật mã vì bất kỳ nỗ lực sử dụng nào cũng được tự động ghi lại. Khóa AWS có thể được thêm vào máy chủ và trong tài liệu.
Liên kết nhúng
Các liên kết nhúng rất lý tưởng để sử dụng làm mã thông báo mật vì chúng có thể được đặt để gửi thông tin khi chúng được nhấp vào. Bằng cách thêm một liên kết nhúng vào một tệp mà kẻ tấn công có thể tương tác, bạn có thể được cảnh báo cả khi liên kết được nhấp vào và có khả năng là do ai thực hiện.
Đặt Honeytoken ở đâu
Bởi vì mã thông báo mật nhỏ và rẻ tiền, đồng thời có rất nhiều loại khác nhau nên chúng có thể được thêm vào hầu hết mọi hệ thống. Một doanh nghiệp quan tâm đến việc sử dụng mã thông báo mật nên lập danh sách tất cả các hệ thống an toàn và thêm một mã thông báo mật phù hợp cho từng hệ thống.
Honeytokens có thể được sử dụng trên máy chủ, cơ sở dữ liệu và thiết bị cá nhân. Sau khi thêm mã thông báo mật quanh mạng, điều quan trọng là tất cả chúng đều được ghi lại và ít nhất một người chịu trách nhiệm xử lý bất kỳ cảnh báo nào.
Cách phản ứng với Honeytokens được kích hoạt
Khi một honeytoken được kích hoạt, điều này có nghĩa là đã xảy ra xâm nhập. Hành động được thực hiện rõ ràng là rất khác nhau tùy thuộc vào nơi xảy ra sự xâm nhập và cách kẻ xâm nhập giành được quyền truy cập. Các hành động phổ biến bao gồm thay đổi mật khẩu và cố gắng tìm hiểu những gì khác mà kẻ xâm nhập có thể đã truy cập.
Để sử dụng honeytokens một cách hiệu quả, phản ứng thích hợp nên được quyết định trước. Điều này có nghĩa là tất cả các mật ong phải được kèm theo một kế hoạch ứng phó sự cố.
Honeytokens là lý tưởng cho bất kỳ máy chủ an toàn nào
Tất cả các doanh nghiệp có trách nhiệm đang tăng cường phòng thủ để ngăn chặn sự xâm nhập của tin tặc. Honeytokens là một kỹ thuật hữu ích để không chỉ phát hiện các hành vi xâm nhập mà còn cung cấp thông tin về kẻ tấn công mạng.
Không giống như nhiều khía cạnh liên quan đến an ninh mạng, việc thêm mã thông báo mật vào một máy chủ an toàn cũng không phải là một quá trình tốn kém. Chúng rất dễ tạo và miễn là chúng có vẻ thực tế và có giá trị tiềm năng, hầu hết những kẻ xâm nhập sẽ truy cập chúng.