Skip to main content

Обнаружение на периметре.

Целями первичных атак являются узлы DMZ облачной инфраструктуры. Главная цель — попасть в закрытую сеть (Internal Network на карте сети). Для определения векторов атаки злоумышленник проводит поиск информации по открытым источникам, далее пытается эксплуатировать известные уязвимости, которые обеспечат первоначальный доступ в сеть. 

Своевременное обнаружение факта разведки поможет быстрее среагировать на следующие действия злоумышленника.

Honeytoken — это ложная информация, которая размещается в системе или на сайте компании для привлечения внимания и определения факта НСД. Может быть в виде фиктивных учетных записей, файлов или документов, которые содержат ложную информацию. Часто являются частью honeypot-систем. Размещение включает в себя несколько шагов:

  • Создание Honeytoken в зависимости от эмулируемых данных (например, поддомен организации).
  • Honeytoken размещается на ресурсе внешнего периметра организации (в случае с OSINT), например, поддельные учетные данные, используемые для удаленного доступа к высокочувствительным ресурсам, намеренно размещаются в обсуждении на форуме.
  • Систему управления Honeytoken связывают с системой обнаружения вторжений (IDS) или платформой управления информационной безопасностью и событиями безопасности (SIEM).
  • После срабатывания оповещения вступает в силу план реагирования на инциденты организации.
  • Данные, собранные в результате анализа события срабатывания обнаружения, затем могут быть использованы для принятия мер безопасности. Информация, полученная в результате использования Honeytoken, дает представление о частях сети, подвергающихся наибольшему риску, а также о типах инструментов, необходимых для защиты этих областей. 

 

 

Back to top