Honeytoken là gì? Làm sao để phát hiện việc tội phạm mạng ăn cắp dữ liệu?

Bất kỳ doanh nghiệp nào lưu trữ thông tin cá nhân đều là mục tiêu tiềm năng của tin tặc. Chúng sử dụng nhiều kỹ thuật để truy cập mạng an toàn và được thúc đẩy bởi thực tế là bất kỳ thông tin cá nhân nào bị đánh cắp đều có thể được bán hoặc giữ để đòi tiền chuộc.

Tất cả các doanh nghiệp chịu trách nhiệm thực hiện các biện pháp để ngăn chặn điều này bằng cách làm cho hệ thống của họ khó truy cập nhất có thể. Tuy nhiên, một tùy chọn mà nhiều doanh nghiệp bỏ qua là việc sử dụng Honeytoken, có thể được sử dụng để cung cấp cảnh báo bất cứ khi nào có sự xâm nhập.

Vậy Honeytoken là gì và doanh nghiệp của bạn có nên sử dụng chúng không?

Honeytoken là gì?

Honeytoken là những mẩu thông tin giả mạo được thêm vào các hệ thống bảo mật, do đó, khi kẻ xâm nhập lấy chúng, điều này sẽ kích hoạt cảnh báo.

Honeytoken chủ yếu được sử dụng để chỉ ra rằng một cuộc xâm nhập đang xảy ra, nhưng một số Honeytoken cũng được thiết kế để cung cấp thông tin về những kẻ xâm nhập và có thể tiết lộ danh tính của chúng.

Sự khác biệt giữa Honeytoken và Honeypot là gì?

Honeytoken và honeypot đều dựa trên cùng một ý tưởng. Bằng cách thêm asset giả vào hệ thống, có thể được cảnh báo về những kẻ xâm nhập và tìm hiểu thêm về chúng. Sự khác biệt là, trong khi honeytoken là những mẩu thông tin giả mạo, thì honeypot là hệ thống giả mạo.

Trong khi một honeytoken có thể ở dạng một file riêng lẻ, thì một honeypot có thể ở dạng toàn bộ máy chủ. Honeypot phức tạp hơn đáng kể và có thể được sử dụng để đánh lạc hướng những kẻ xâm nhập ở mức độ lớn hơn.

Các loại Honeytoken

Có nhiều loại honeytoken khác nhau. Tùy thuộc vào loại bạn sử dụng, bạn có thể tìm hiểu các thông tin khác nhau về kẻ xâm nhập.

Địa chỉ email

Để sử dụng địa chỉ email giả làm honeytoken, chỉ cần tạo một tài khoản email mới và lưu trữ ở nơi mà kẻ xâm nhập có thể truy cập. Địa chỉ email giả mạo có thể được thêm vào các mail server hợp pháp và thiết bị cá nhân. Với điều kiện tài khoản email chỉ được lưu trữ ở một vị trí đó, nếu nhận được bất kỳ email nào gửi đến tài khoản đó, bạn sẽ biết rằng đã có sự xâm nhập.

Bản ghi cơ sở dữ liệu

Các bản ghi giả mạo có thể được thêm vào cơ sở dữ liệu để nếu kẻ xâm nhập truy cập vào cơ sở dữ liệu, chúng sẽ đánh cắp những bản ghi này. Điều này có thể hữu ích vì nó cung cấp cho kẻ xâm nhập thông tin sai lệch, khiến chúng mất tập trung vào dữ liệu có giá trị hoặc phát hiện hành vi xâm nhập nếu kẻ xấu tham chiếu đến thông tin sai lệch.

Các file thực thi

File thực thi là lựa chọn lý tưởng để sử dụng làm honeytoken vì nó có thể được thiết lập để tiết lộ thông tin về bất kỳ ai chạy file đó. Các file thực thi có thể được thêm vào máy chủ hoặc thiết bị cá nhân và được ngụy trang dưới dạng dữ liệu có giá trị. Nếu xảy ra xâm nhập và kẻ tấn công đánh cắp file và chạy file đó trên thiết bị của chúng, thì bạn có thể biết địa chỉ IP và thông tin hệ thống của kẻ đó.

Web Beacon

Web Beacon là một liên kết trong file đến một hình ảnh nhỏ. Giống như một file thực thi, Web Beacon có thể được thiết kế để tiết lộ thông tin về người dùng bất cứ khi nào nó được truy cập. Web Beacon có thể được sử dụng làm honeytoken bằng cách thêm chúng vào các file có giá trị. Khi file được mở, Web Beacon sẽ phát thông tin về người dùng.

Cần lưu ý rằng hiệu quả của cả Web Beacon và file thực thi đều phụ thuộc vào kẻ tấn công sử dụng hệ thống có cổng mở.

Cookie

Cookie là các gói dữ liệu được những trang web sử dụng để ghi lại thông tin về khách truy cập. Cookie có thể được thêm vào các khu vực bảo mật của trang web và được sử dụng để xác định tin tặc giống như cách chúng được sử dụng để xác định bất kỳ người dùng nào khác. Thông tin được thu thập có thể bao gồm những gì tin tặc cố gắng truy cập và tần suất họ làm như vậy.

Identifier

Identifier là một thành phần độc nhất được thêm vào file. Nếu bạn đang gửi nội dung nào đó cho nhiều nhóm người và bạn nghi ngờ rằng một trong số họ sẽ làm rò rỉ nội dung đó, bạn có thể thêm Identifier cho từng người để cho biết người nhận là ai. Bằng cách thêm Identifier, bạn sẽ biết ngay kẻ rò rỉ là ai.

AWS key

AWS key là key dành cho Amazon Web Services, được các doanh nghiệp sử dụng rộng rãi; chúng thường cung cấp quyền truy cập vào thông tin quan trọng, khiến chúng trở nên rất phổ biến đối với tin tặc. Các AWS key rất lý tưởng để sử dụng làm mật mã vì bất kỳ nỗ lực sử dụng nào cũng được tự động ghi lại. AWS key có thể được thêm vào máy chủ và trong tài liệu.

Liên kết nhúng

Các liên kết nhúng rất lý tưởng để sử dụng làm honeytoken vì chúng có thể được thiết lập để gửi thông tin khi chúng được nhấp vào. Bằng cách thêm một liên kết nhúng vào file mà kẻ tấn công có thể tương tác, bạn có thể được cảnh báo cả khi liên kết được nhấp vào và có khả năng là do ai thực hiện.

Đặt Honeytoken ở đâu?

Bởi vì honeytoken nhỏ và không tốn kém, đồng thời có rất nhiều loại khác nhau nên chúng có thể được thêm vào hầu hết mọi hệ thống. Một doanh nghiệp quan tâm đến việc sử dụng honeytoken nên lập danh sách tất cả các hệ thống an toàn và thêm một honeytoken phù hợp cho từng hệ thống.

Honeytoken có thể được sử dụng trên máy chủ, cơ sở dữ liệu và thiết bị cá nhân. Sau khi thêm honeytoken quanh mạng, điều quan trọng là tất cả chúng đều được ghi lại và ít nhất một honeytoken chịu trách nhiệm xử lý bất kỳ cảnh báo nào.

Cách phản ứng với Honeytoken được kích hoạt

Khi một honeytoken được kích hoạt, điều này có nghĩa là đã xảy ra xâm nhập. Hành động được thực hiện rõ ràng là rất khác nhau tùy thuộc vào nơi xảy ra sự xâm nhập và cách kẻ xâm nhập giành được quyền truy cập. Các hành động phổ biến bao gồm thay đổi mật khẩu và cố gắng tìm hiểu những gì khác mà kẻ xâm nhập có thể đã truy cập.

Để sử dụng honeytoken một cách hiệu quả, phản ứng thích hợp nên được quyết định trước. Điều này có nghĩa là tất cả các honeytoken phải được kèm theo một kế hoạch ứng phó sự cố.