Bilgisayar korsanlığı genellikle içine bakmadan bir çantayı karıştırmaya benzer. Bu senin çantansa, nereye bakacağını ve nesnelerin nasıl hissettirdiğini bilirsin. Siz saniyeler içinde uzanıp bir kalem kaparken, başka biri göz kalemini kapabilir.
Dahası, aramalarında bir kargaşaya neden olabilirler. Çantayı sizden daha uzun süre delecekler ve çıkardıkları ses onları duyma şansınızı artırıyor. Yapmadıysanız, çantanızdaki düzensizlik size birisinin eşyalarınızı karıştırdığını söyler. Aldatma teknolojisi bu şekilde çalışır.
Aldatma Teknolojisi Nedir?
Aldatma teknolojisi, mavi ekiplerin saldırganları değerli güvenlik varlıklarından uzaklaştırmak için kullandığı taktikler, araçlar ve tuzak varlıkları ifade eder. Bir bakışta, tuzağın yeri ve özellikleri meşru görünüyor. Aslında, tuzak, bir saldırganın onu en başta etkileşime girecek kadar değerli bulması için yeterince çekici olmalıdır.
Saldırganın bir güvenlik ortamındaki tuzaklarla etkileşimi, savunuculara bir saldırının ardındaki insan unsuru hakkında fikir veren veriler üretir. Etkileşim, savunucuların bir saldırganın ne istediğini ve bunu nasıl elde etmeyi planladıklarını öğrenmelerine yardımcı olabilir.
Mavi Takımlar Neden Aldatma Teknolojisini Kullanıyor?
Hiçbir teknoloji yenilmez değildir, bu nedenle güvenlik ekipleri varsayılan olarak bir ihlal varsayar. Siber güvenliğin çoğu, hangi varlıkların veya kullanıcıların güvenliğinin ihlal edildiğini ve bunların nasıl kurtarılacağını bulma meselesidir. Bunu yapmak için mavi takım operatörleri, korudukları güvenlik ortamının kapsamını ve o ortamdaki varlıkları bilmelidir. Aldatma teknolojisi böyle bir koruyucu önlemdir.
Unutmayın, aldatma teknolojisinin amacı, saldırganların tuzaklarla etkileşime girmesini sağlamak ve onları değerli varlıklardan uzaklaştırmaktır. Neden? Her şey zamana sığar. Siber güvenlikte zaman değerlidir ve ne saldırganın ne de savunucunun yeterli zamanı yoktur. Bir tuzakla etkileşime geçmek, saldırganın zamanını boşa harcar ve savunana bir tehdide yanıt vermesi için daha fazla zaman verir.
Daha spesifik olarak, bir saldırgan etkileşime girdiği tuzak varlığın gerçek anlaşma olduğunu düşünüyorsa, açıkta kalmanın bir anlamı yoktur. Çalınan verileri sızdırırlar ve (genellikle) ayrılırlar. Öte yandan, anlayışlı bir saldırgan varlığın sahte olduğunu hemen fark ederse, ortaya çıkarıldığını anlar ve ağda uzun süre kalamaz. Her iki durumda da, saldırgan zaman kaybeder ve güvenlik ekibi uyarı alır ve tehditlere yanıt vermek için daha fazla zaman kazanır.
Aldatma Teknolojisi Nasıl Çalışır?
Aldatma teknolojisinin çoğu otomatiktir. Yem varlık genellikle bilgisayar korsanları için bir değeri olan veriler: veritabanları, kimlik bilgileri, sunucular ve dosyalar. Bu varlıklar tıpkı gerçek varlıklar gibi görünür ve işlev görür, hatta bazen gerçek varlıklarla birlikte çalışır.
Temel fark, onların sahte olmalarıdır. Örneğin, aldatıcı veritabanları, bir aldatıcı sunucuya bağlı sahte yönetici kullanıcı adları ve parolalar içerebilir. Bu, bir sahte sunucuda - hatta gerçek bir sunucuda - bir çift kullanıcı adı ve parola içeren etkinliklerin engellendiği anlamına gelir. Benzer şekilde, sahte kimlik bilgileri, bilgisayar korsanını temel olarak bir korumalı alana yönlendiren sahte belirteçler, karmalar veya Kerberos biletleri içerir.
Ayrıca, güvenlik ekiplerini şüpheliye karşı uyarmak için hileler düzenleniyor. Örneğin, bir saldırgan bir sahte sunucuda oturum açtığında, etkinlik güvenlik operasyonları merkezindeki (SOC) mavi ekip operatörlerini uyarır. Bu arada sistem, saldırganın hangi dosyalara eriştiği gibi etkinliklerini kaydetmeye devam eder (örn. kimlik bilgileri çalma saldırıları) ve saldırıyı nasıl gerçekleştirdiklerini (ör. yanal hareket Ve ortadaki adam saldırıları).
Sabah Gördüğüme Sevindim; Ağacın Altında Uzanmış Düşmanım
İyi yapılandırılmış bir aldatma sistemi, saldırganların güvenlik varlıklarınıza verebileceği zararı en aza indirebilir ve hatta onları tamamen durdurabilir. Ve çoğu otomatik olduğu için, o ağacı gece gündüz sulamanız ve güneşlenmeniz gerekmez. Bunu konuşlandırabilir ve SOC kaynaklarını daha uygulamalı bir yaklaşım gerektiren güvenlik önlemlerine yönlendirebilirsiniz.
