חם ומתוק: לתפוס האקרים בתקציב קטן
אסטרטגיית אבטחת המידע שלכם לא חייבת לעלות מיליונים, גם ככה לתוקפים לא אכפת ממגבלות התקציב שלכם. הכירו את מלכודות הדבש, הכלי המתוק והמסוכן שיעזור לכם להתגונן באפס תקציב
להסתדר עם תקציבים קטנים. תמונה: Pixabay
מאת: דניאל זלדיס
ארגונים מכל הגדלים נאבקים עם זיהוי של תקיפות סייבר. אולי את חלקכם זה יפתיע לשמוע – הרוב אינם יכולים להרשות לעצמם מרכז אבטחה מלא עם ניטור 24/7 ופתרון ה-SIEM העדכני ביותר, אלא צריכים להסתדר עם תקציבים קטנים (יותר). לתוקפים לא אכפת ממגבלות התקציב שלכם, הם ישמחו לחדור לרשת שלכם לא משנה כמה אתם משלמים על אבטחה.
כמו להניח את המפתחות על השולחן
בתור יועץ, עם הזמן למדתי להעריך את הפשטות האלגנטית של מלכודות דבש – כמו להשאיר את המפתחות על השיש במטבח כדי לתפוס את המתבגרים שלך מתגנבים החוצה. פשוט, יעיל ואמין באופן מפתיע.
מלכודות דבש הן מערכות או משאבים שנועדו להיראות לגיטימיים ואטרקטיביים לתוקפים, והן נוצרו למטרה זו ואינן משמשות את הארגון בדרכים אחרות, כמו מצלמות אבטחה מזויפות (אלא שאלו באמת עובדות). אסימוני דבש הם בני דודיהם הקטנים יותר: אישורים מזויפים, מפתחות API או פירורי לחם דיגיטליים אחרים המשמשים לפעולות רגילות.
מה היופי בגישה הזו? כשתוקף מנסה להיכנס או להשתמש במשאבים האלה יודעים כמעט בוודאות שמשהו לא בסדר. אין סיבה לגיטימית שמשתמש רגיל ינסה להיכנס לפורטל ניהול מזויף או להשתמש במפתח ה-AWS הזה. המהות של העניין הוא ליצור משאבים שנראים מעניינים עבור תוקף ושולחים התראה ברגע שמישהו נוגע בהם.
לדוגמה, חברת שירותים פיננסיים בינונית שעבדתי איתה פרסה אסטרטגיית מלכודות דבש פשוטה על ידי שתילת אסימוני OAuth מזויפים במאגרי ה-Git שלהם. בתוך שבועות הם תפסו קבלן שניסה להוציא נתונים רגישים. עלות כוללת? כמה שעות של זמן הגדרה ופתרון ניטור בסיסי. היופי הוא שזוהי מלכודת לכל תוקף, גם למתוחכמים שבהם.
למה זה טוב?
1. מעט התראות שווא – בניגוד לשיטות ניטור מסורתיות, מלכודות דבש מייצרות התראות שווא רק לעתים רחוקות. אם מישהו נגע במלכודת שלך, הוא לא מ"הטובים".
2. מערכת התרעה מוקדמת – לרוב המלכודות תופסות תוקפים בשלבים הראשונים של התקיפה, לפני שמתרחש נזק אמיתי.
קו הגנה ראשון יעיל להפליא
אני מאמין שמלכודת דבש ממוקמת היטב מספקת תמורה טובה יותר מכלי אבטחה יקרים רבים, שאולי אפילו לא יעלו כאופציה תקציבית. ראיתי ארגונים מבזבזים הון על פתרונות SIEM שהם בקושי משתמשים בהם, תוך שהם מפספסים התקפות בסיסיות שמלכודת דבש פשוטה הייתה תופסת.
האם זהו פתרון מושלם? כמובן שלא. אבל עבור ארגונים שנאבקים עם אילוצי תקציב, זה קו הגנה ראשון יעיל להפליא.
איך מתחילים?
בקטן. שתלו כמה אישורים מזויפים במאגרי קוד המקור שלכם, צור חשבון מנהל דמה. הקימו שרת פנימי מזויף עם שם מפתה כמו "פיננסים" או "גיבוי". עקבו אחר משאבים אלה, ובזאת יישמתם מערכת אזעקה בסיסית אך יעילה כמעט בחינם.
אפשר כמובן לעשות שימוש גם במוצרים מסחריים, כמו לדוגמה Thinkst Canary או אחרים שהם חסכוניים מאוד ומורידים את הנטל של יצירה, הגדרה וניהול משאבים כאלה.
זכרו: אבטחה לא תמיד צריכה להיות מורכבת או יקרה כדי להיות יעילה. לפעמים, קצת דבש יעשה עבודה מעולה.
הכותב הוא מנהל שירותי סייבר, CyberproAI
