Misleidingstechnieken zijn niet nieuw en worden al jaren gebruikt in volwassen Security Operations Centre (SOC) organisaties. Hoewel hun principes en technieken in de loop der jaren niet veel zijn geëvolueerd, hebben ze nog steeds bewezen effectief te zijn tegen nieuwe cyberbedreigingen.
Misleidingsstrategieën kunnen eenvoudig en snel worden ingezet en bieden kosteneffectieve detectiemaatregelen voor cyberbedreigingen die zich door uw netwerk verplaatsen.
Met de digitale transformatie, de “Bring Your Own Device” (BYOD) en IT/OT-convergentie zijn ze bijzonder belangrijk geworden, vooral wanneer u geen detectieoplossing op uw endpoints kunt installeren.
In deze publicatie zal ons SOC-team de voordelen belichten en uitleggen hoe je kunt beginnen met eenvoudige misleidingstechnieken zoals kanaries en honeypots. De publicatie is bedoeld voor IT-organisaties met beperkte middelen op het gebied van cyberbeveiligingsexpertise of -budget. Het is ook bedoeld voor cyberbeveiligingsprofessionals die hun capaciteiten willen uitbreiden met de tools die ze kunnen gebruiken voor detectie of tijdens een cyberaanval.
Misleiding bij cyberdefensie
Misleidingsstrategieën zijn een verzameling technologieën en technieken die worden gebruikt in een IT-omgeving met als doel een tegenstander te lokken.
Met deze technologieën kan een aanvaller bijvoorbeeld inloggen in een geharde en gecontroleerde omgeving, die eruitziet als een echte omgeving, waarna je alle frauduleuze activiteiten die ze uitvoeren kunt vastleggen.
Ze zijn aantrekkelijk voor tegenstanders die altijd op zoek zijn naar laaghangend fruit dat ze snel kunnen uitbuiten.
Met deze ‘vallen’ kunnen organisaties kwaadaardige activiteiten detecteren door sterkere signalen te creëren die vaak niet worden gezien door traditionele oplossingen zoals antivirussoftware. Bijvoorbeeld een hacker die domeingegevens heeft verkregen en verbinding maakt van machine naar machine om gevoelige gegevens te bemachtigen (antivirussen zijn hier blind voor).
Het doel van dergelijke strategieën is voornamelijk tweeledig:
- Vroegtijdige detectie van aanvallers die onder de radar opereren tussen de traditionele verdedigingslinies (endpoints en firewalls bijvoorbeeld).
- Informatie verzamelen over het gedrag van de aanvaller en daardoor efficiënter reageren.
In een tijdperk waarin tijd en snelheid van doorslaggevend belang zijn in de cyberoorlog, is misleiding om één simpele reden een cruciaal aspect: het verkorten van de tijd die een aanvaller besteedt aan het aanvallen van uw meest kritieke bedrijfsmiddelen en de tegenstander een stap voor blijven!
Wanneer je namelijk misleidingstechnologieën zoals honeypots implementeert, leid je de tegenstander af van je gewaardeerde kritieke bedrijfsmiddelen. Gedurende deze tijd leer je hoe ze werken, heb je meer tijd om je antwoord voor te bereiden en kun je ze een stap voor zijn.
Ten tweede kun je met deceptie verdacht gedrag op je netwerk detecteren in de beginfasen van een veelvoorkomend aanvalsschema. In feite zijn ze vooral nuttig tijdens de ontdekkings- en laterale verplaatsingsfasen van een aanval (cfr. MITRE ATT&CK framework).
Er zijn veel verschillende technologieën als het gaat om misleiding, zoals honeypots, service-emulaties, canaries en honeytokens. In ons geval richten we ons voornamelijk op honeypots en canaries. Dit zijn de meest gebruikte die zowel als off-the-shelf open source of commerciële oplossingen bestaan.
Een honeypot is een computerbeveiligingsmechanisme dat is opgezet om pogingen tot ongeautoriseerd gebruik van informatiesystemen te detecteren en tegen te gaan. Er zijn twee soorten:
- Passief: niets meer dan een lokmiddel (bijvoorbeeld een open poort).
- Actief: verzamelt informatie van de aanvaller, werkt firewalls bij, maakt Indicators of Compromise (IoC’s) aan. We analyseren de gelogde acties later in de tijd.
Er zijn ook interne en externe honeypots:
- Intern: ontworpen om bedreigingen van binnenuit te helpen identificeren. Ze genereren een beheersbare hoeveelheid logs en kunnen gemakkelijk helpen bij het identificeren van ongeautoriseerde toegang.
- Extern: afhankelijk van de blootstelling van de honeypot, kan de hoeveelheid logs erg belangrijk worden en extra modules vereisen (bijv. Log Correlatie), maar ze kunnen helpen om het gedrag van een hacker te begrijpen. Je zou bijvoorbeeld een honeypot subdomein kunnen maken om verdachte activiteiten te identificeren om verdedigingsmechanismen te implementeren op je echte subdomeinen.
Wees gewaarschuwd: een externe honeypot moet geïsoleerd zijn van de rest van je infrastructuur, anders loop je het risico dat je de hacker binnenlaat. Bij een interne is de hacker al binnen het netwerk. Het is daarom erg belangrijk om tijdens het opzetten rekening te houden met de beveiliging, omdat in beide gevallen een onjuiste beveiliging en isolatie de hacker in staat kan stellen om toch een betere voet aan de grond te krijgen.
Kanaries zijn bestanden die worden geplaatst op plekken waar een normale gebruiker niet komt. Het token wordt in het bestand ingevoegd. Deze bestanden worden bewaakt en als een kwaadwillende het bestand opent, wordt er automatisch een waarschuwing geactiveerd. En hoewel het geen logs verzamelt voor later gebruik, geeft het je wel de zekerheid dat iemand iets opent wat hij niet zou moeten doen. Bijvoorbeeld een bestand “password.xls” op het bureaublad.
Het belangrijkste voordeel van een dergelijke strategie is de ROI (return on investment). Ze zijn namelijk nog steeds zeer effectief met een lage investering in tijd en middelen.
Zoals eerder gezegd, als ze goed ontworpen zijn, houden ze aanvallers weg van je echte bedrijfsmiddelen, waarschuwen ze je team en laten ze hen leren en hun responsstrategie aanpassen.
Ten tweede passen ze zich aan zowel grote als kleine organisaties aan.
Tot slot zijn het nuttige middelen die uw cyberbeveiligingscapaciteiten of SOC zullen verrijken en uw analisten zullen helpen om een voortdurende cyberaanval het hoofd te bieden. Het moet echter niet worden beschouwd als een wondermiddel en moet worden geïntegreerd in een allesomvattende cyberbeveiligingsstrategie.
Zoals aan het begin van het artikel is vermeld, zijn de belangrijkste use cases voor het implementeren van misleiding opsporing en onderzoek.
Daarom worden de technieken gebruikt:
- In realtime: actief op je netwerk voor detectiedoeleinden.
- Tijdens een cyberaanval: voor het verzamelen van cyberintelligentie (IoC’s).
Omdat een honeypot een standalone detectiecomponent is, is het vooral nuttig in omgevingen waar software niet op het informatiesysteem kan worden geïnstalleerd.
Hoewel ze op elk netwerk kunnen worden ingezet, is hun waarde nog groter op netwerken met beperkte mogelijkheden voor monitoring en eventdetectie. Bovendien kunnen ze dankzij hun draagbare en standalone ontwerp parallel met je andere diensten worden ingezet zonder dat dit invloed heeft op de prestaties.
Geen van beide oplossingen is duur, maar het ontwerp ervan is cruciaal en moet worden overwogen om te voorkomen dat ze er verdacht uitzien, anders zullen hackers ze helemaal vermijden. Er is een breed scala aan oplossingen beschikbaar, het hangt allemaal af van je behoeften en middelen.
Kanaries zijn eenvoudig te implementeren en na een eerste ontwerp vereisen ze geen inspanning omdat ze eenvoudigweg als valstrikken dienen en je waarschuwen als iemand zich toegang verschaft. Ze kunnen echter geen automatische actie ondernemen.
Voorbeeld van gratis kanaries: https://canarytokens.org/generate
Honeypots daarentegen kunnen complexer zijn om te installeren. Ze vereisen het implementeren van diensten en het correct configureren ervan. Afhankelijk van de hoeveelheid logs die gegenereerd worden (een externe honeypot logt bijvoorbeeld daadwerkelijke aanvalspogingen, maar ook brede scans vanaf het internet) kun je uiteindelijk aanvullende diensten nodig hebben. Meestal probeer je bekende diensten na te bootsen met honeypots (bijvoorbeeld een webservice, ftp-service, remote desktop-service, bestandsuitwisselingsservice, …) om hackers te lokken.
Voorbeeld van hulpmiddelen: https://www.activecountermeasures.com/free-tools/adhd/
Zoals eerder vermeld, moeten deze oplossingen goed zijn ingesteld om effectief te zijn. Anders kan de hacker toegang krijgen tot uw hele infrastructuur. Het is belangrijk om ze goed te implementeren en cyberbeveiligingsdeskundigen kunnen hierbij helpen.
Ten tweede moet je rekening houden met je middelen. Honeypots verzamelen logs, die tonnen verkeer kunnen genereren. Je moet deze logs kunnen verzamelen en behandelen om ze bruikbaar te maken. We importeren de logs in je SIEM en analyseren ze om waardevolle informatie te leveren over de aanvaller en zijn gedrag.
Je kunt deze diensten uitbesteden aan experts als je niet de interne capaciteiten hebt om ze zelf te beheren.
Als je aan een dergelijk project begint, zijn hier enkele punten die je moet controleren:
- Wat voor misleidingstechniek heb je nodig?
- Wat zijn uw kritieke bedrijfsmiddelen en waar moet u uw deceptieoplossingen inzetten?
- Als je honeypots wilt inzetten, welke services zijn dan het meest relevant om te emuleren (HTTP, FTP, TELNET, …)?
- Hoe lang wilt u de logboeken bewaren?
- Wat moet je waarschuwingskanaal zijn (e-mail, sms, slack, …)?
- Welke computermiddelen heb je nodig?
- Heb je de mankracht om zo’n project op te starten?
- Heb je de mankracht om de waarschuwingen te beoordelen?
- Hebt u een reactieplan voor het geval er verdachte activiteiten worden gedetecteerd?
Hoe kunnen we je ondersteunen?
We kunnen uw organisatie helpen om proactief misleidingstechnieken en -technologie te implementeren. We kunnen ze ook integreren in een robuust cyberverdedigingsprogramma.
Deceptie is een integraal onderdeel van onze MDR-oplossingen (Managed Detection and Response). Ons Security Operations Centre (SOC) bedient het 24/7.
We integreren deze technologieën ook in onze Cyber Security Incident Response Team (CSIRT)-oplossing. Hierdoor kunnen we snel waardevolle informatie verkrijgen over de protocollen van de tegenstander. Hierdoor kunnen onze experts een efficiënte indammings- en uitroeiingsstrategie definiëren en uitvoeren.
