Digitaal struikeldraad

Kennisartikelen

Leestijd:

Detectie

Groeien

Tijdens een digitale inbraak zoeken de meeste aanvallers naar de snelste en makkelijkste manier om jouw digitale infrastructuur te doorkruisen en compromitteren. Met misleiding-gebaseerde detectie speel je hierop in en plaats je valstrikken – zoals honeytokens, honeyaccounts en honeypots – om de inbreker op heterdaad te betrappen.

Doelgroep

Ben jij verantwoordelijk voor – of sterk betrokken bij – het inrichten van detectie voor jouw organisatie? Heeft jouw organisatie detectie in de basis op orde en wil je jouw zicht op incidenten verbeteren door gebruik te maken van digitale misleiding? Lees dit artikel om hier de eerste stappen in te zetten.

Misleiding-gebaseerde detectie

Tijdens een digitale inbraak zoeken de meeste aanvallers naar de snelste en makkelijkste manier om jouw digitale infrastructuur te doorkruisen en compromitteren. Ze maken graag gebruik van verkeerd geconfigureerde omgevingen, slecht afgeschermde bestanden, buitgemaakte credentials en kwetsbare systemen. Jouw digitale weerbaarheid draait om het weghouden van aanvallers bij deze zaken. Maar zullen we het eens omdraaien en deze zaken juist inzetten zodat een aanvaller zichzelf verraadt?

Met misleiding-gebaseerde detectie plaats je valstrikken in jouw digitale omgeving: realistische nep-assets (decoys) die interactie met een aanvaller uitlokken. Denk aan slecht-beveiligde admin-accounts (honeyaccounts), eenvoudig toegankelijke, gevoelige bestanden (honeytokens) of kwetsbare systemen (honeypots). Zodra iemand met deze decoys interacteert, verstuurt deze een alert. De decoys zijn geen onderdeel van jouw reguliere bedrijfsvoering en interactie geeft jou dus een sterke indicatie van verdacht gedrag.

Misleiding-gebaseerde detectie is waardevolle aanvulling op standaard signature-based/anomaly-based detectieoplossingen. Misleidingstechnieken zijn gerichter in te zetten en maken gebruik van de nieuwsgierigheid van aanvallers. Detectie is alleen van waarde als een organisatie ook beschikt over capaciteit om op alerts te reageren.

Toepassingen van misleiding in cyber security

Er zijn veel verschillende toepassingen van misleiding voor het verhogen van jouw digitale weerbaarheid, zoals:

Het plaatsen van honeywords, zoals nep-e-mailadressen, in datasets om datalekken te identificeren.
Het vertragen van automatische ransomware-aanvallen door deze te laten interacteren met nep-bestandssystemen.
Het bestuderen van aanvallers voor het verzamelen van cyber-threat intelligence.
Het vroegtijdig en betrouwbaar detecteren van cyberaanvallen.

Elk van deze toepassingen kent uitdagingen en benodigdheden. Zo vergt het verzamelen van cyber-threat intelligence door misleiding een complexe, realistische nep-omgeving (honeypot) om aanvallers langdurig voor de gek te houden. Het detecteren van aanvallerspatronen met misleidingstechnieken is, in verhouding, een stuk laagdrempeliger en kostenefficiënter.

Meer dan honeypots

Misleiding is geen nieuw concept in de cyber security. Al in de jaren 90 werd er volop geëxperimenteerd met honeypots: van low-interaction honeypots – die enkel reageren op netwerkverkeer – tot high-interaction honeypots die zich richten op realistisch (netwerk-gedrag). De term “honeypot” werd gekozen om te benadrukken dat de misleiding onweerstaanbaar moet zijn voor een aanvaller (zoals honing voor een beer).

Voor veel professionals is misleiding nog altijd synoniem met (enkel) honeypots. Dit is zonde, want misleiding is in de afgelopen tien jaar uitgegroeid tot een set technologieën en tactieken die veel van de beperkingen van traditionele honeypots verhelpen en complementeren. De opkomst van honeytokens en -accounts, automatische decoy-generatie en beheerstools maken het mogelijk om misleiding op brede schaal in te zetten en alle facetten van een digitale aanval aan te pakken.

Leeswijzer

Als je meer wilt weten over waar je op-misleiding-gebaseerde-detectie voor kunt gebruiken en hoe je daar zelf eerste stappen in kunt zetten, lees dan het artikel ‘Aan de slag met misleiding voor detectie’.

Heb je al een goed beeld wat misleiding voor detectie inhoudt en wil je weten hoe je dit gericht inzet, lees dan onze verdiepend artikel op dit onderwerp. Daarnaast kun je je verdiepen in de drie hoofdvormen van op-misleiding-gebaseerde detectie: honeypots, honeyaccounts en honeytokens. In deze artikelen gaan we dieper in hoe je deze drie vormen effectief in kunt zetten in jouw organisatie voor het versterken van jouw detectiecapaciteit.

In samenwerking met

Architecten, adviseurs, specialisten en onderzoekers op het gebied van misleiding en misleiding-gebaseerde detectie van DeepBlue Security, DTACT, Fortinet, Gartner, GriffinGuard, PwC NL, SecurityHive, Thinkst Canary en TU Delft.