Honeytokens, wat zijn het en wat moet je ermee?

In simpele bewoordingen is een honeytoken een lokmiddel wat te waardevol is voor een aanvaller om te negeren, maar die niet direct voor ‘nep’ wordt aangezien. Een voorbeeld is een account met verhoogde rechten. Het wordt geplaatst als een detectiemiddel om aanvallers uit te dagen om het te benaderen (bijvoorbeeld door te openen, te kopiëren of te gebruiken). Zodra een aanvaller een honeytoken gebruikt of opent, ontvangt het detectieteam een melding, waardoor direct een onderzoek naar de potentiële aanval kan worden gestart.

Nerium streeft ernaar om aanvallers zo vroeg mogelijk te detecteren in de verschillende fasen van een aanval (cyber kill chain). Daarom implementeert Nerium meerdere maatwerk detecties op verschillende digitale lagen. Echter, niet elke detectie is waterdicht en 100% veiligheid bestaat niet. De complexiteit van moderne IT-omgevingen, inclusief een breed scala aan systemen, cloud infrastructuren, versleuteld netwerkverkeer en beperkte zichtbaarheid, kan het moeilijk maken om effectieve detectiemethoden te ontwikkelen. In dit opzicht kunnen honeytokens als specifieke puntoplossingen fungeren om deze tekortkomingen op te vullen.

Waar implementeer je deze dan? Eigenlijk overal, in cloud omgevingen zoals Azure, Google en Amazon. Maar ook on-premises op servers, netwerken, applicaties en werkstations.

Contact

Hoe ziet dat er nu uit in de praktijk?

Dit zijn een van de simpele voorbeelden, we willen natuurlijk niet alles op onze website plaatsen om voor de hand liggende redenen

Logingegevens

Het plaatsen van gebruikersnaam en wachtwoord op een SharePoint pagina of in broncode.

Nerium monitort of deze inloggegevens ergens worden gebruikt.

VIP email account

Een e-mailadres van een zogenaamd belangrijk persoon, welke terug te vinden is in interne documenten.

Nerium monitort inkomend email verkeer op dit account.

Geheim project data

Een folder en bestanden op een open share over een zogenaamd geheim project.

Nerium monitort of deze gegevens bekeken/aangeraakt worden.

Hoe pakt Nerium dit aan?

1. Aanmaken van de honeytoken

Nerium plaatst bijvoorbeeld een tekstbestand genaamd Password.txt met nep-logingegevens op een open SharePoint-pagina die voor iedereen beschikbaar is in de organisatie.

2. Het schrijven van een detectie

Daarna wordt een specifieke detectieregel geschreven en geïmplementeerd voor deze honeytoken of canarytoken. Met deze detectie wordt Nerium gealarmeerd als bijvoorbeeld in dit geval de nep-logingegevens ergens in het netwerk worden gebruikt.

3. Onderzoeken bij een melding

Bij een melding wordt onderzoek gedaan naar wat er precies is gebeurd. Wanneer het om een echte aanvaller gaat, weten we dat deze al in het netwerk zit, waarna we ons incident response proces starten.

4. 24/7 ingrijpen wanneer nodig

Als het om een aanval gaat, kunnen we direct ingrijpen en zo de aanval stoppen voordat bestanden worden gestolen of systemen worden versleuteld.

F.A.Q

Waar worden deze honeytokens allemaal geïmplementeerd?

Dit kan op elke digitale laag van een organisatie, bijvoorbeeld op de cloudlaag, het netwerk of de werkstations. Nerium gaat samen met de klant bekijken wat de meest logische en effectieve plaats is om zulke tokens te verspreiden.

Hoe werkt de alarmmelding als een honeytoken wordt geraadpleegd?

Nerium zorgt ervoor dat de benodigde logging beschikbaar is om te beoordelen of een aanvaller toegang probeert te verkrijgen tot een honeytoken. Met behulp van deze logbronnen kan er een melding worden gemaakt. Door deze meldingen naar de Security Information and Event Management (SIEM) te sturen, kan Nerium vervolgens continu reageren op de meldingen, 24 uur per dag, 7 dagen per week.

Aanvallers detecteren met honeytokens?

1. Aanmaken van de honeytoken

2. Het schrijven van een detectie

3. Onderzoeken bij een melding

4. 24/7 ingrijpen wanneer nodig

Hulp nodig of meer weten over honeytokens?

F.A.Q