מהן טכנולוגיות הטעיה ומתי משתמשים בהן?
ממה בדיוק מגנות טכנולוגיות ההטעיה ומה הן יכולות למנוע? למה כדאי להשתמש בהן ומדוע דווקא עכשיו? גיא חורש מבינת מנסה לענות
טכנולוגיית הטעיה היא פרקטיקה של הגנה באבטחת סייבר, שמטרתה לרמות תוקפים על ידי הפצת אוסף מלכודות ופיתיונות ברחבי שכבות תשתיות הארגון – תקשורת, מחשוב, אינטרנט של הדברים וכו'…, שנועדו לחקות נכסים אמיתיים למטרת הטעיית תוקפים. הטכנולוגיה הזו כוללת יכולת זיהוי מוקדם של פעילות חשודה ושרשרת תקיפה, ומספקת לצוותי האבטחה יתרונות ויכולות תגובה מוקדמת.
החשיבות של טכנולוגיית הטעיה
בשנים האחרונות אנחנו עדים לשימוש ב-וקטורי תקיפה ותחכום מורכבים מבעבר. ארגונים בימינו חייבים להיות מסוגלים לזהות פעילות חשודה מוקדם יותר בשרשרת ההתקפה ולהגיב בהתאם.
טכנולוגיית הטעיה מספקת לצוותי האבטחה כמה טקטיקות ויתרונות הנובעים מכך כדי לעזור: צמצום זמן שהיית התוקפים ברשת הארגון, קיצור הזמן הממוצע לאיתור מתקפה ואיומים, הפחתת התראות שווא השוחקות את מפעילי ה-NOC הארגוני ומתן אפשרות להפקת מדדים ונהלים.
בזיהוי ותגובה לאירועי סייבר, הזמן וההקשר הם גורמים קריטיים להצלחה. פתרונות הגנה על נקודות קצה יוציאו התראה רק לאחר הפגיעה בנכס ופתרונות דוגמת SIEM מנתחים לוגים – ולא תמיד יכולים לספק פרטים חשובים עבור אנשי אבטחת המידע, כגון אופן וקטור התקיפה והיכן בדיוק נמצא התוקף. הדבר מקשה על זמן תגובה מהיר של צוותי אבטחת המידע – דבר המאפשר לתוקפים לחדור ולשהות ברשתות לעיתים במשך חודשים, תוך שהם מוציאים החוצה נתונים ומדלגים בין נכס אחד לאחר. אמנם, מערכות היוריסטיקה עשויות לאתר תוקפים, אך לעתים קרובות הן יוצרות התראות רבות, שגורמות לפספס התראות קריטיות.
בשונה מטכנולוגיות אחרות, טכנולוגיית הטעיה שוקלת את נקודת המבט והשיטה של התוקף האנושי לניצול וניווט ברשתות, לזיהוי נתונים ולהחלפתם. ההטעיה תשתלב בטכנולוגיות הקיימות בארגון כדי לספק נראות חדשה ברשתות הפנימיות, וכן כדי לשתף התראות בעלות הסתברות גבוהה ומודיעין איומים עם התשתית הקיימת.
יישום טכנולוגי
טכנולוגיית הטעיה נועדה ליצור מלכודות ופיתיונות המעורבים בין משאבי IT קיימים, ובתוך כך כדי לספק שכבת הגנה במטרה לעצור תוקפים שחדרו לרשת.
הפיתיונות הם נכסי IT או אמולציות של נכסי IT המבצעים הדמיה של מכשירים אלה. פיתיונות שמשתמשים באמולציות יכולים לחקות מכשור שונה, כגון מכשור רפואי, מכשור אינטרנט של הדברים, כספומטים, מערכות קמעונאיות, מתגים ונתבים.
מטרת התוקפים עם חדירתם לרשת היא הקמת דלת אחורית, שתשמש להוצאה של חומר מהארגון. במקביל, הם יבקשו לנוע לרוחב (Lateral movement) דרך הרשתות הפנימיות וה-VLANs. הפיתיונות נועדו לסמן לתוקפים מטרה אטרקטיבית – כזו ש-"משתלם" להם לתקוף. אינטראקציה עם אחד מאותם פיתיונות תפעיל התראה. התראות אלה הן בעלות סבירות גבוהה מאוד, וכמעט תמיד חופפות למתקפה מתמשכת.
ראוי לציין שבשנה החולפת נחשפנו למתקפות רבות שהתמקדו במכשירי IoT. אלה בדרך כלל לא נסרקים לעומק באמצעות כלי הגנה קונבנציונליים, ולכן מהווים יעד ראשוני וקל לתוקפים. כאמור, טכנולוגיית הטעיה יכולה לזהות תוקפים שעוברים לרוחב הרשת בתוך מכשירים אלה.
ההונאה נועדה כדי לפתות את התוקף לפעול מול הפיתיון, ובכך לאפשר לאנשי אבטחת המידע לקבל ניתוח סטטי ודינמי של תוכנות זדוניות שהוא מנסה להזריק לנכס, כמו גם זיהוי של נקודות קצה חשודות שכבר הוחרמו על ידו.
מערכות הטעיה מודרניות כוללות אוטומציה של פעולות, שבתורן כוללות יכולות ניתוח זיכרון אוטומטי של נקודות קצה חשודות, ובידוד אוטומטי של נקודת הקצה החשודה במקרה של אירוע.
הכותב הוא מהנדס פריסייל בבינת תקשורת.
תגובות
(0)