Хаковање је често као прекапање по торби без гледања унутра. Ако је то ваша торба, знали бисте где да тражите и како се осећају предмети. Можете посегнути и зграбити оловку за неколико секунди, док друга особа може зграбити оловку за очи.
Штавише, могу изазвати гужву у потрази. Они ће пробијати торбу дуже него ви, а бука коју праве повећава шансу да их чујете. Ако нисте, поремећај у вашој торби говори вам да је неко прошао кроз ваше ствари. Технологија обмане функционише на овај начин.
Шта је технологија обмане?
Технологија обмане се односи на скуп тактика, алата и средстава за мамце које плави тимови користе да одврате нападаче од вредних безбедносних средстава. На први поглед, локација и својства варалице изгледају легитимно. Заиста, мамац мора бити довољно привлачан да би га нападач сматрао довољно вредним за интеракцију са њим.
Интеракција нападача са мамцима у безбедносном окружењу генерише податке који браниоцима дају увид у људски елемент који стоји иза напада. Интеракција може помоћи браниоцима да сазнају шта нападач жели и како то планирају да добију.
Зашто Плави тимови користе технологију обмане
Ниједна технологија није непобедива, па стога безбедносни тимови подразумевано претпостављају кршење. Велики део сајбер безбедности је питање откривања која средства или корисници су угрожени и како да их повратите. Да би то урадили, оператери плавих тимова морају да знају степен безбедносног окружења које штите и средства у том окружењу. Технологија обмане је једна таква заштитна мера.
Запамтите, поента технологије обмане је да наведе нападаче да ступе у интеракцију са мамцима и да им одврате пажњу од вредне имовине. Зашто? Све се своди на време. Време је драгоцено у сајбер безбедности, а ни нападачу ни браниоцу никада није довољно. Интеракција са мамцем губи време нападача и даје дефанзивцу више времена да одговори на претњу.
Тачније, ако нападач мисли да је средство мамаца са којим су комуницирали права ствар, онда нема смисла остати на отвореном. Они ексфилтрирају украдене податке и (обично) одлазе. С друге стране, ако паметни нападач брзо схвати да је средство лажно, онда би знали да је откривено и да не може дуго остати на мрежи. У сваком случају, нападач губи време, а безбедносни тим добија обавештење и више времена да одговори на претње.
Како функционише технологија обмане
Велики део технологије преваре је аутоматизован. Имовина мамаца је обично подаци од неке вредности за хакере: базе података, акредитиви, сервери и датотеке. Ова средства изгледају и функционишу баш као права, понекад чак и раде заједно са стварним средствима.
Главна разлика је у томе што су глупи. На пример, базе података за мамце могу садржати лажна административна корисничка имена и лозинке повезане са сервером за превару. То значи да се активности које укључују пар корисничког имена и лозинке на серверу за мамце — или чак на стварном серверу — блокирају. Слично томе, мамци акредитиви садрже лажне токене, хешеве или Керберос карте које преусмеравају хакера на, у суштини, сандбок.
Штавише, лопови су намештени да обавесте безбедносне тимове на осумњиченог. Када се нападач пријави на сервер за превару, на пример, активност упозорава оператере плавог тима у безбедносном оперативном центру (СОЦ). У међувремену, систем наставља да бележи активности нападача, као што су датотеке којима су приступили (нпр. напади крађе акредитива) и како су извели напад (нпр. бочно кретање и напади човека у средини).
Ујутру ми је драго што видим; Мој непријатељ испружен испод дрвета
Добро конфигурисан систем обмане може да умањи штету коју нападачи могу да изазову на вашој безбедносној имовини или чак да их потпуно заустави. А пошто је велики део тога аутоматизован, не морате да заливате и осунчате то дрво дан и ноћ. Можете га распоредити и усмерити СОЦ ресурсе на безбедносне мере које захтевају практичнији приступ.