Microsoft har åpnet opp om ett våpen i sitt arsenal mot dataangrep: utplassering av honeypots, som skaper attraktive nettressurser og simulert aktivitet for å tiltrekke seg nettkriminelle til nettet.
Ross Bevington, en britisk sikkerhetsprogramvareingeniør hos Microsoft, som kaller seg selv Microsofts «Head of Deception», snakker om «hybride honeypots med høy interaksjon».
Disse honningpottene kan være like effektive mot nasjonalstatlige grupper som de er mot hackere på lavt nivå.
Honeypots er villedende cybersikkerhetsteknologi som lokker nettkriminelle inn i et kontrollert miljø. De gjør det mulig for sikkerhetsteam å overvåke aktivitetene deres, analysere teknikkene deres og potensielt forstyrre operasjonene deres.
I dag utforsker Techopedia Microsofts honningpot-taktikk og snakker med bransjeeksperter om fordeler og ulemper ved at teknologigiganter går til angrep.
Nøkkelpunkter
- Microsoft bruker aktivt honeypots for å angripe nettkriminelle direkte, noe som viser en mer proaktiv tilnærming til nettsikkerhet.
- Det er en økende interesse for bedragbaserte sikkerhetsløsninger, som kan forstyrre angripernes operasjoner og gi verdifull etterretning.
- Selv om honeypots kan være effektive verktøy, må organisasjoner ta hensyn til de juridiske og etiske implikasjonene, særlig når det gjelder personvern og juridiske konsekvenser.
- Bedrag kan være effektivt – men det må brukes sammen med tradisjonelle sikkerhetstiltak.
Sjef for Microsoft Deception avslører ny taktikk for honningpotter
Sikkerhetseksperter som tror på potensialet i honeypots, setter opp disse fellene … og venter. Men Bevington er ikke den ventende typen ekspert.
Han snakket til BSides Exeter, en organisasjon kjent for sin cybersikkerhetskonferanse i Exeter, Storbritannia, i en videopresentasjon av Microsofts mest aggressive honeypot-strategier.
Bevington bruker etterretning samlet inn av Microsoft, identifiserer hundretusener av aktive phishing-nettsteder hver dag, og registrerer seg på kriminell infrastruktur som oppfyller visse kriterier.
Angripere som går i fellen – ca. 5 % – spores deretter nøye og avslører taktikker, teknikker, teknologier og nettverk.
John Hammond, Principal Security Researcher hosHuntress, et cybersikkerhetsselskap, sier til Techopedia at et lite, men voksende antall cyberbedragbaserte sikkerhetsløsninger, som CounterCraft, Thinks Canary, CyberTrap og andre, er tilgjengelige som programvare for større plattformer.
“Noen sikkerhetsteam har en tendens til ikke å utnytte villedningsfunksjoner fordi de ennå ikke er klar over hvor effektive de kan være.
«Jeg er helt enig i at det er et stort behov for villedningsbaserte sikkerhetsmekanismer, fordi det fungerer så godt mot motstanderne.»
«Når bedrag brukes i et miljø, kan trusselaktørene bli livredde – fordi de ikke vet hva de skal stole på.»
Victor Acin, Head of Threat Intel hos Outpost24, en plattform for risikostyring innen cybersikkerhet, snakket også med Techopedia om deception-baserte sikkerhetsløsninger – selv om han påpekte en iboende risiko.
«Til syvende og sist eksponerer du en del av infrastrukturen din med vilje, slik at angripere faktisk kan bryte seg inn i den», sa Actin.
«Selv om det kan gi noen interessante innblikk i angriperne og varsle sikkerhetsteamene, kan en feil bety at innbruddet blir en alvorlig hendelse.»
Etiske overveielser ved aggressiv proaktiv cybersikkerhet
Noen sikkerhetseksperter i privat sektor mener at det er etiske betenkeligheter knyttet til honeypots, ettersom disse teknikkene ikke bare brukes av cyberkriminelle, men også av aggressive aktører.
Thi Tran, assisterende professor i Management Information Systems med spesialisering i cybersikkerhetsforskning vedBinghamton University, sier
«Teknisk sett har denne tilnærmingen vært mye brukt av nettkriminelle, og ikke av cybersikkerhetsbyråer, -offiserer eller -eksperter.»
Tran erkjente imidlertid at honningpotter og villedende sikkerhet kan hjelpe bedrifter med å skape en bedre cybersikkerhetskultur gjennom simuleringer, samtidig som CISO-erfår den informasjonen de trenger for å beskytte den digitale angrepsflaten i organisasjonen.
Krever den globale cybersikkerhetsstormen eskalerte tiltak?
Den ferske Microsoft Digital Defense Report 2024 avslører det sjokkerende omfanget av trusler i naturen i dag.
Rapporten viser at Microsofts kunder står overfor 600 millioner angrep hver dag fra nasjonalstater, ransomware-bander og identitetsangrep.
Det er kanskje naturlig at CISO-er og ledende sikkerhetsteam rundt om i verden spør seg selv: Er det på tide å gå på offensiven? Vi stilte spørsmålet til Acin fra Outpost24.
«Dette avhenger av typen organisasjon og viljen til å ta risiko. Med omfanget og sofistikeringen av dagens cybertrusler blir aggressiv, villedningsbasert sikkerhet stadig mer relevant.
«Disse løsningene kan være svært effektive, ikke bare for å bremse angriperne – men bedraget bør implementeres med omhu for å unngå utilsiktede konsekvenser, for eksempel juridiske eller operasjonelle risikoer.»
Assaf Morag, Director of Threat Intelligence hos Aqua Nautilus atAqua Security, sier derimot til Techopedia at bedragbasert sikkerhet kanskje ikke er svaret på den globale trusselsituasjonen.
«Det Microsoft gjør, er fantastisk og inspirerende mot phishing-kriminalitet, men det er bare ett verktøy av mange.
«Jeg tror at bare samarbeid mellom nasjoner, inkludert potensielt en global rettshåndhevelse, vil kunne løse dette.»
Hammond fra Huntress mener derimot at organisasjoner bør innta en sterkere holdning og iverksette proaktive tiltak.
Hammond forklarte at selv en enkel falsk «passwords.txt»-fil som slår alarm når den blir åpnet, kan være et nyttig verktøy for sikkerhetsteam.
«Når det gjøres riktig, kan slike villedende tiltak virkelig snu opp ned på situasjonen for trusselaktørene.»
Overholdelse av loven ved oppsett av honningpotter
Selv om honningpotter og andre villedende teknologier ikke er ulovlige, må organisasjoner som tar dem i bruk, ta hensyn til juridiske og etiske standarder i USA, Europa og andre regioner.
Honeypot-design må utvikles for å oppfylle kravene i lover som EUs personvernforordning (GDPR) eller personvernlover i USA.
I tillegg kan sektorer som helsevesenet bruke honeypoter for å sikre elektronisk beskyttet helseinformasjon (ePHI), men disse teknologiene må være innrammet av Health Insurance Portability and Accountability Act (HIPAA).
Andre bransjer har også andre krav, for eksempel føderale entreprenører, som må oppfylle føderale krav.
Sikkerhetsteamene har også direkte ansvar, for eksempel for å rapportere lovbrudd til myndighetene, sørge for nedstrøms sikkerhet og tredjeparters integritet og beskytte personopplysninger.
Dr. Johannes Ullrich, forskningsdekan ved SANS Institute, som gir cybersikkerhetsutøvere og -team opplæring, sertifiseringer og grader, sier til Techedopia at honningpotter er en god kilde til varsler med lavt antall falske positive, men så langt har de fleste compliance-regimer ikke tatt hensyn til bedrag.
«Utplassering av kjente, svakt konfigurerte og sårbare ressurser kan anses som brudd på mange compliance-regler», sier Dr. Ullrich.
«I slike situasjoner konfigureres imidlertid en honeypot ofte i tråd med compliance-regelverket, akkurat som alle andre ressurser, med unntak av at den ikke tjener noe forretningsformål.»
Tran fra Binghamton University sa at effektiviteten av å bruke honeypots, honeynets eller andre begreper som kanarifugler avhenger av situasjonens kompleksitet, hvor virkelighetsnære de falske objektene eller målene er, og hvor godt trente nettkriminelle er.
«Microsoft sier at bare 5 % av nettfiskingsnettstedene faktisk går i fellene deres, noe som tilsvarer rundt 250 nettsteder daglig», sier Tran.
«På grunn av de lave suksessratene må denne tilnærmingen kombineres med andre for å gi bedre resultater.»
Organisasjoner må gå nøye gjennom alle relaterte cyberlover, forskrifter og lokale retningslinjer for å unngå uønskede juridiske problemer senere. Men det er ikke alt. Tran forklarer at nettkriminelle også er mennesker, og at de har menneskerettigheter og personvernrettigheter.
«Det er bekymringsfullt å håndtere personvernrettighetene deres sammen med andre menneskerettigheter, spesielt når de ikke offisielt har blitt avslørt som kriminelle etter den lange prosessen med formell digital kriminalteknikk og anklager.»
Konklusjon
Honningfeller og andre villedende teknologier, hvorav de fleste ikke er nye, er igjen på fremmarsj. Mens noen mener at alle bedrifter og organisasjoner bør ta i bruk disse rimelige forsvarsverktøyene, forklarer andre eksperter at de bare fungerer hvis de brukes på riktig måte.
Sikkerhetsteknologien har gjort fremskritt, og det har dukket opp nye taktikker for beskyttende forsvar.
Likevel er de tekniske, juridiske og etiske utfordringene med honningpotter fortsatt de samme. Bedragerisk sikkerhet har aldri vært mainstream. Den fortsetter å operere i skyggene og i hendene på noen få.