Microsoft har öppnat upp om ett av sina vapen mot cyberattacker: att använda honeypots (även kallade honugsfällor), som skapar attraktiva online-resurser och simulerad aktivitet för att locka cyberkriminella till sin webb.
Ross Bevington, säkerhetsingenjör på Microsoft baserad i Storbritannien, som kallar sig själv Microsofts “Head of Deception” (chef för vilseledning), talar om “hybrid high-interaction honeypots“.
Dessa honeypots kan vara lika effektiva mot statsstödda grupper som mot mindre sofistikerade hackare.
Honeypots är vilseledande cybersäkerhetstekniker som lockar cyberkriminella in i en kontrollerad miljö. De låter säkerhetsteam övervaka deras aktiviteter, analysera deras metoder och potentiellt störa deras verksamhet.
Idag utforskar Techopedia Microsofts honeypot-taktik och pratar med experter i branschen om för- och nackdelarna med att teknikjättar går till direkt angrepp.
Viktiga insikter om varför Microsoft använder honeypots
- Microsoft använder aktivt honeypots för att direkt rikta in sig på cyberkriminella, vilket visar på en mer proaktiv inställning till cybersäkerhet.
- Intresset för säkerhetslösningar baserade på deception ökar, eftersom de kan störa angripares verksamhet avsevärt och ge värdefull underrättelseinformation.
- Även om honeypots kan vara kraftfulla verktyg måste organisationer överväga de juridiska och etiska implikationerna, särskilt kring dataskydd och juridiska konsekvenser.
- Bedrägeribaserad säkerhet kan vara effektiv – men den måste användas tillsammans med traditionella säkerhetsåtgärder.
- Visa fullständig lista
“Head of Deception” på Microsoft avslöjar ny honeypot-taktik
Säkerhetsexperter som tror på honeypots potential sätter upp dessa fällor… och väntar. Men Bevington är inte den sortens expert som väntar.
Han talade på BSides Exeter, en organisation känd för sin cybersäkerhetskonferens i Exeter, Storbritannien, i en videopresentation om Microsofts mest aggressiva honeypot-strategier.
Bevington använder intelligens som samlats in av Microsoft, identifierar hundratusentals aktiva phishing-sajter varje dag och ansluter sig till kriminell infrastruktur som uppfyller vissa kriterier.
Angripare som fastnar i fällan — ungefär 5% — spåras sedan noggrant och avslöjar sina taktiker, tekniker, teknologier och nätverk.
John Hammond, huvudforskare inom säkerhet på Huntress, ett cybersäkerhetsföretag, berättade för Techopedia att ett litet men växande antal säkerhetslösningar baserade på cyberbedrägeri, såsom CounterCraft, Thinks Canary, CyberTrap och andra, finns tillgängliga som mjukvara för större plattformar.
“Vissa säkerhetsteam tenderar att inte utnyttja bedrägerikapacitet bara för att de ännu inte är medvetna om hur effektiva de kan vara.”
“Jag skulle starkt hålla med om att det finns ett betydande behov av bedrägeribaserade säkerhetsmekanismer eftersom det, helt enkelt, fungerar så bra mot angripare.”
“När bedrägeri distribueras över en miljö kan hotaktörer bli genuint skrämda — för de vet inte vad de kan lita på.”
Victor Acin, chef för Threat Intel på Outpost24, en plattform för cybersäkerhetsriskhantering, pratade också med Techopedia om säkerhetslösningar baserade på bedrägeri — men han påpekade också en inneboende risk.
“I slutändan exponerar du medvetet en del av din infrastruktur så att angripare faktiskt kan bryta sig in,” sa Acin.
“Även om det kan ge mycket intressanta insikter om angriparna och larma säkerhetsteamet, kan ett misstag innebära att intrånget blir en allvarlig incident.”
De etiska övervägandena kring aggressiv, proaktiv cybersäkerhet
Vissa säkerhetsexperter inom den privata sektorn anser att det finns etiska överväganden kring honeypots, eftersom dessa tekniker används inte bara av cyberkriminella utan även av aggressiva aktörer.
Thi Tran, biträdande professor i managementinformationssystem med specialisering inom cybersäkerhetsforskning vid Binghamton University, sa:
“Tekniskt sett har denna metod använts mer av cyberkriminella än av cybersäkerhetsmyndigheter, tjänstemän eller experter.”
Tran erkände dock att honeypots och bedrägeribaserad säkerhet kan hjälpa företag att skapa en bättre cybersäkerhetskultur genom simuleringar samtidigt som de stödjer informationssäkerhetschefer (CISO:er) med den intelligens som behövs för att skydda organisationens digitala attackyta.
Kräver den globala cybersäkerhetsstormen ökade åtgärder?
Den senaste Microsoft Digital Defense Report 2024 avslöjar den chockerande omfattningen av dagens hot.
Rapporten fann att Microsofts kunder utsätts för 600 miljoner attacker varje dag från statsaktörer, ransomware-gäng och identitetsattacker.
Kanske är det naturligt att ledande CISO:er och säkerhetsteam världen över frågar sig: är det dags att gå på offensiven? Vi ställde frågan till Acin från Outpost24.
“Detta beror på typen av organisation och viljan att ta risker. Med dagens cyberhot, som både är omfattande och sofistikerade, blir aggressiv deception-baserad säkerhet alltmer relevant.
“Dessa lösningar kan vara mycket effektiva, inte bara för att sakta ner angripare — men bedrägeriteknik bör implementeras noggrant för att undvika oönskade konsekvenser, som juridiska eller operativa risker.”
Däremot menar Assaf Morag, chef för Threat Intelligence på Aqua Nautilus vid Aqua Security, i en intervju med Techopedia att bedrägeribaserad säkerhet kanske inte är lösningen på det globala hotläget.
“Det Microsoft gör är fantastiskt och inspirerande när det gäller att bekämpa phishing-brott, men det är bara ett av många verktyg.
“Jag tror att endast samarbete mellan nationer, inklusive potentiellt ett globalt rättsväsende, kommer att kunna lösa detta.”
I kontrast anser Hammond från Huntress att organisationer bör inta en starkare och mer proaktiv hållning.
Hammond förklarade att även en enkel falsk fil, som “passwords.txt” som larmar när den öppnas, kan vara ett användbart verktyg för säkerhetsteam.
“När det görs rätt kan dessa bedrägeriförsök verkligen vända på steken för hotaktörer.”
Att följa lagen vid användning av honeypots
Även om honeypots och andra vilseledande teknologier inte är olagliga, måste organisationer som implementerar dem ta hänsyn till juridiska och etiska standarder i USA, Europa och andra regioner.
Honeypot-design måste utformas för att uppfylla kraven i lagar som EU:s General Data Protection Regulation (GDPR) eller integritetslagar i USA.
Dessutom kan sektorer som hälso- och sjukvård använda honeypots för att skydda elektronisk skyddad hälsoinformation (ePHI), men dessa teknologier måste anpassas till Health Insurance Portability and Accountability Act (HIPAA).
På liknande sätt har andra industrier egna krav, exempelvis federala entreprenörer som måste följa federala regelverk.
Säkerhetsteam har även direkta ansvar, såsom att rapportera brott till myndigheter, säkerställa efterföljande säkerhet och integritet hos tredje parter, samt skydda personuppgifter.
Dr. Johannes Ullrich, forskningschef på SANS Institute, som utbildar cybersäkerhetspraktiker och team med träning, certifieringar och examina, berättade för Techopedia att honeypots ger mycket handlingskraftiga varningar med låga falsklarm, men än så länge är bedrägeriteknik inte något som de flesta regelverk för efterlevnad beaktar.
“Att distribuera kända svagt konfigurerade och sårbara resurser kan betraktas som ett brott mot många regelverk för efterlevnad,” sade Dr. Ullrich.
“Men i dessa situationer är en honeypot ofta konfigurerad i enlighet med regelverk för efterlevnad precis som andra resurser, med undantaget att den inte fyller något affärsmässigt syfte.”
Tran från Binghamton University sa att effektiviteten hos honeypots, honeynets eller andra tekniker som “canaries” beror på hur komplex situationen är, hur realistiska de falska objekten eller målen är, och hur välutbildade cyberkriminella är.
“Microsoft sa att endast 5% av de målinriktade phishing-sajterna faktiskt fastnar i deras fällor, vilket är cirka 250 sajter per dag,” sa Tran.
“På grund av de låga framgångsraterna måste denna metod kombineras med andra för att ge bättre resultat.”
Organisationer måste noggrant granska alla relevanta cybersäkerhetslagar, regleringar och lokala policyer för att undvika oönskade juridiska problem senare. Men övervägandena slutar inte där. Tran förklarade att cyberkriminella också är människor, och de har mänskliga rättigheter samt rätt till integritet.
“Att hantera deras integritetsrättigheter tillsammans med andra mänskliga rättigheter är oroande, särskilt när de inte officiellt har utpekats som brottslingar efter den långa processen med formell digital forensik och anklagelser.”
Slutsatsen om att använda honeypots
Honeytraps och andra vilseledande teknologier, varav de flesta inte är nya, får återigen uppmärksamhet. Medan vissa förespråkar att alla företag och organisationer bör använda dessa lågkostnadsförsvar, förklarar andra experter att de bara är effektiva om de implementeras på rätt sätt.
Säkerhetsteknologin har utvecklats och nya defensiva säkerhetstaktiker har uppstått.
Ändå kvarstår de tekniska, juridiska och etiska utmaningarna kring honeypots. Vilseledande säkerhet har aldrig varit mainstream. Det fortsätter att användas i det fördolda och är främst i händerna på ett fåtal.
Vanliga frågor om Microsoft och honeypots
Hur använder Microsoft honeypots i sitt cybersäkerhetsarbete?
Finns det etiska överväganden kring att använda honeypots?
Är honeypots effektiva mot alla typer av cyberhot?
Följer honeypots globala cybersäkerhetslagar?
Är vilseledande säkerhetsteknik lämplig för småföretag?
Referenser
- Turning The Tables: Using Cyber Deception To Hunt Phishers At Scale (Bsides Exeter)
- Managed Cybersecurity Platform for SMBs and IT Providers (Huntress)
- Outpost24 Exposure Management Platform (Outpost24)
- Thi Tran: Binghamton University (Binghamton University)
- Microsoft Digital Defense Report 2024 (Microsoft)
- Aqua Cloud Native Security (AquaSec)
- Cyber Security Training (SANS Courses)