¿Cómo puede detectar los piratas informáticos que acceden a sus sistemas? Honeytokens podría ser la respuesta. Esto es lo que necesita saber.
Cualquier negocio que almacene información privada es un objetivo potencial para los piratas informáticos. Emplean una variedad de técnicas para acceder a redes seguras y están motivados por el hecho de que cualquier información personal robada puede venderse o retenerse a cambio de un rescate.
Todas las empresas responsables toman medidas para evitar esto haciendo que sus sistemas sean lo más difíciles de acceder posible. Sin embargo, una opción que muchas empresas pasan por alto es el uso de tokens de miel, que se pueden usar para proporcionar alertas cada vez que ocurre una intrusión.
Entonces, ¿qué son los tokens de miel y su empresa debería usarlos?
¿Qué son los tokens de miel?
Los tokens de miel son piezas de información falsa que se agregan a los sistemas seguros, de modo que, cuando un intruso los toma, activará una alerta.
Los tokens de miel se utilizan principalmente para simplemente
mostrar que se está produciendo una intrusión, pero algunos tokens de miel también están diseñados para proporcionar información sobre intrusos que pueden revelar su identidad.Fichas de miel vs. Honeypots: ¿Cuál es la diferencia?
fichas de miel y los honeypots se basan ambos en la misma idea. Al agregar activos falsos a un sistema, es posible recibir alertas sobre intrusos y obtener más información sobre ellos. La diferencia es que, mientras que los honeytokens son piezas de información falsa, los honeypots son sistemas falsos.
Mientras que un honeytoken puede tomar la forma de un archivo individual, un honeypot puede tomar la forma de un servidor completo. Los honeypots son significativamente más sofisticados y pueden usarse para distraer a los intrusos en mayor medida.
Tipos de fichas de miel
Hay muchos tipos diferentes de tokens de miel. Dependiendo de cuál use, es posible que pueda obtener información diferente sobre un intruso.
Correos electrónicos
Para utilizar una dirección de correo electrónico falsa como token de miel, simplemente cree una nueva cuenta de correo electrónico y guárdela en un lugar al que pueda acceder un intruso. Se pueden agregar direcciones de correo electrónico falsas a servidores de correo y dispositivos personales legítimos. Siempre que la cuenta de correo electrónico solo esté almacenada en esa ubicación, si recibe algún correo electrónico en esa cuenta, sabrá que hubo una intrusión.
Registros de base de datos
Se pueden agregar registros falsos a una base de datos para que, si un intruso accede a la base de datos, los robe. Esto puede ser útil para proporcionar información falsa a un intruso, distraerlo de datos valiosos o detectar la intrusión, si el intruso hace referencia a la información falsa.
Archivos ejecutables
Un archivo ejecutable es ideal para usar como un token porque se puede configurar para revelar información sobre cualquier persona que lo ejecute. Los archivos ejecutables se pueden agregar a servidores o dispositivos personales y disfrazarse como datos valiosos. Si se produce una intrusión y el atacante roba el archivo y lo ejecuta en su dispositivo, es posible que pueda conocer su dirección IP y la información del sistema.
Balizas web
Una baliza web es un enlace en un archivo a un pequeño gráfico. Al igual que un archivo ejecutable, una baliza web puede diseñarse para revelar información sobre un usuario cada vez que se accede a ella. Las balizas web se pueden usar como tokens de miel al agregarlas a archivos que parezcan valiosos. Una vez que se abre el archivo, la baliza web transmitirá información sobre el usuario.
Vale la pena señalar que la eficacia tanto de las balizas web como de los archivos ejecutables depende de que el atacante utilice un sistema con puertos abiertos.
Galletas
Las cookies son paquetes de datos que utilizan los sitios web para registrar información sobre los visitantes. Las cookies se pueden agregar a áreas seguras de los sitios web y se pueden usar para identificar a un pirata informático de la misma manera que se usan para identificar a cualquier otro usuario. La información recopilada puede incluir a qué intenta acceder el hacker y con qué frecuencia lo hace.
Identificadores
Un identificador es un elemento único que se agrega a un archivo. Si está enviando algo a un grupo amplio de personas y sospecha que una de ellas lo va a filtrar, puede agregar un identificador a cada uno que indique quién es el destinatario. Al agregar el identificador, sabrá quién es el filtrador de inmediato.
Claves de AWS
Una clave de AWS es una clave para Amazon Web Services, utilizada ampliamente por las empresas; a menudo brindan acceso a información importante, lo que los hace muy populares entre los piratas informáticos. Las claves de AWS son ideales para usar como tokens de miel porque cualquier intento de usar una se registra automáticamente. Las claves de AWS se pueden agregar a los servidores y dentro de los documentos.
Los enlaces integrados son ideales para usar como tokens de miel porque se pueden configurar para enviar información cuando se hace clic en ellos. Al agregar un enlace incrustado a un archivo con el que un atacante puede interactuar, puede recibir una alerta tanto cuando se hace clic en el enlace como potencialmente quién lo hace.
Dónde poner Honeytokens
Debido a que los tokens de miel son pequeños y económicos, y hay tantos tipos diferentes, se pueden agregar a casi cualquier sistema. Una empresa interesada en usar tokens de miel debe hacer una lista de todos los sistemas seguros y agregar un token de miel adecuado a cada uno.
Los tokens de miel se pueden usar en servidores, bases de datos y dispositivos individuales. Después de agregar tokens de miel en una red, es importante que estén todos documentados y que al menos una persona sea responsable de manejar las alertas.
Cómo reaccionar ante la activación de Honeytokens
Cuando se activa un token de miel, esto significa que se ha producido una intrusión. La acción a tomar obviamente varía ampliamente dependiendo de dónde ocurrió la intrusión y cómo el intruso obtuvo acceso. Las acciones comunes incluyen cambiar contraseñas e intentar saber a qué más puede haber accedido el intruso.
Para usar los tokens de miel de manera efectiva, la reacción adecuada debe decidirse con anticipación. Esto significa que todas las fichas de miel deben ir acompañadas de un plan de respuesta a incidentes.
Los Honeytokens son ideales para cualquier servidor seguro
Todas las empresas responsables están aumentando sus defensas para evitar la intrusión de piratas informáticos. Los Honeytokens son una técnica útil no solo para detectar intrusiones, sino también para proporcionar información sobre el ciberatacante.
A diferencia de muchos aspectos de la ciberseguridad, agregar tokens de miel a un servidor seguro tampoco es un proceso costoso. Son fáciles de hacer y siempre que parezcan realistas y potencialmente valiosos, la mayoría de los intrusos accederán a ellos.
