Việc hack thường giống như lục lọi một chiếc túi mà không nhìn vào bên trong. Nếu đó là chiếc túi của bạn, bạn sẽ biết phải tìm ở đâu và cảm giác của các đồ vật đó như thế nào. Bạn có thể thò tay vào và lấy một cây bút trong vài giây, trong khi người khác có thể lấy một cây bút kẻ mắt.
Hơn nữa, chúng có thể gây náo loạn trong quá trình tìm kiếm. Chúng sẽ lục lọi trong túi lâu hơn bạn và tiếng ồn chúng tạo ra làm tăng khả năng bạn nghe thấy chúng. Nếu bạn không làm như vậy, sự lộn xộn trong túi của bạn sẽ cho bạn biết ai đó đã lục lọi đồ đạc của bạn. Công nghệ đánh lừa hoạt động theo cách này.
Công nghệ lừa đảo là gì?
Công nghệ đánh lừa đề cập đến bộ chiến thuật, công cụ và tài sản mồi nhử mà các đội xanh sử dụng để đánh lạc hướng những kẻ tấn công khỏi các tài sản bảo mật có giá trị. Nhìn thoáng qua, vị trí và tài sản của mồi nhử có vẻ hợp pháp. Thật vậy, mồi nhử phải đủ hấp dẫn để kẻ tấn công coi nó đủ giá trị để tương tác ngay từ đầu.
Sự tương tác của kẻ tấn công với mồi nhử trong môi trường bảo mật sẽ tạo ra dữ liệu cung cấp cho người bảo vệ cái nhìn sâu sắc về yếu tố con người đằng sau một cuộc tấn công. Sự tương tác có thể giúp những người bảo vệ tìm ra những gì kẻ tấn công muốn và cách họ lên kế hoạch để có được nó.
Tại sao Đội xanh sử dụng công nghệ đánh lừa
Không có công nghệ nào là bất khả chiến bại, do đó, tại sao các nhóm bảo mật mặc định cho rằng có vi phạm. Phần lớn an ninh mạng là vấn đề tìm ra tài sản hoặc người dùng nào đã bị xâm phạm và cách khôi phục chúng. Để làm được điều này, những người điều hành đội xanh phải biết mức độ của môi trường bảo mật mà họ bảo vệ và tài sản trong môi trường đó. Công nghệ đánh lừa là một trong những biện pháp bảo vệ như vậy.
Hãy nhớ rằng, mục đích của công nghệ đánh lừa là khiến những kẻ tấn công tương tác với mồi nhử và đánh lạc hướng chúng khỏi các tài sản có giá trị. Tại sao? Mọi thứ sôi sục theo thời gian. Thời gian rất có giá trị trong an ninh mạng và cả kẻ tấn công lẫn người bảo vệ đều không bao giờ có đủ. Tương tác với mồi nhử làm lãng phí thời gian của kẻ tấn công và giúp người phòng thủ có thêm thời gian để đối phó với mối đe dọa.
Cụ thể hơn, nếu kẻ tấn công nghĩ rằng tài sản mồi nhử mà họ tương tác là hàng thật, thì không có lý do gì để công khai. Họ lọc dữ liệu bị đánh cắp và (thường) bỏ đi. Mặt khác, nếu kẻ tấn công hiểu biết nhanh chóng nhận ra tài sản là giả, thì chúng sẽ biết rằng chúng đã bị phát hiện và không thể ở lại lâu trên mạng. Dù bằng cách nào, kẻ tấn công sẽ mất thời gian và nhóm bảo mật sẽ nhận được cảnh báo trước và có nhiều thời gian hơn để ứng phó với các mối đe dọa.
Công nghệ lừa đảo hoạt động như thế nào
Phần lớn công nghệ đánh lừa được tự động hóa. Tài sản mồi nhử thường là dữ liệu có giá trị đối với tin tặc: cơ sở dữ liệu, thông tin xác thực, máy chủ và tệp. Những tài sản này trông và hoạt động giống như tài sản thực, thậm chí đôi khi hoạt động cùng với tài sản thực.
Sự khác biệt chính là họ là những người ngu ngốc. Ví dụ: cơ sở dữ liệu mồi nhử có thể chứa tên người dùng và mật khẩu quản trị giả được liên kết với máy chủ mồi nhử. Điều này có nghĩa là các hoạt động liên quan đến một cặp tên người dùng và mật khẩu trên máy chủ mồi nhử—hoặc thậm chí là máy chủ thực—sẽ bị chặn. Tương tự, thông tin xác thực của mồi nhử chứa mã thông báo giả, giá trị băm hoặc vé Kerberos chuyển hướng tin tặc về cơ bản là một hộp cát.
Hơn nữa, những kẻ ngu ngốc được trang bị để cảnh báo các đội an ninh về kẻ tình nghi. Ví dụ: khi kẻ tấn công đăng nhập vào máy chủ mồi nhử, hoạt động này sẽ cảnh báo cho những người điều hành nhóm xanh tại trung tâm điều hành bảo mật (SOC). Trong thời gian chờ đợi, hệ thống tiếp tục ghi lại các hoạt động của kẻ tấn công, chẳng hạn như những tệp chúng đã truy cập (ví dụ: trong các cuộc tấn công đánh cắp thông tin đăng nhập) và cách chúng thực hiện cuộc tấn công (ví dụ: di chuyển ngang và tấn công trung gian).
Vào buổi sáng tôi thấy vui; Kẻ thù của tôi trải dài dưới gốc cây
Một hệ thống đánh lừa được định cấu hình tốt có thể giảm thiểu thiệt hại mà những kẻ tấn công có thể gây ra đối với tài sản bảo mật của bạn hoặc thậm chí ngăn chặn chúng ngay lập tức. Và bởi vì phần lớn nó được tự động hóa, bạn không cần phải tưới nước và phơi nắng cho cái cây đó cả ngày lẫn đêm. Bạn có thể triển khai nó và hướng tài nguyên SOC đến các biện pháp bảo mật yêu cầu cách tiếp cận thực tế hơn.