Hoe zet je honeytokens gericht in voor detectie?

Wat zijn honeytokens?

Honeytokens zijn nepinformatie en -data die je plaats op jouw informatiesystemen. Denk aan nep-documenten, nep-applicaties of nep-folders. Honeytokens lijken op het eerste oog op echte gegevens of bestanden, maar bevatten een stukje code of een monitor dat een alert uitstuurt wanneer iemand hiermee interacteert (bijvoorbeeld als een aanvaller een honey-bestand opent). Verschillende cybersecurityproducten bevatten de mogelijkheid om honey-tokens aan te maken. Ook zijn er meerdere vormen van honeytokens (gratis en opensource) online te verkrijgen.

Een aanvaller maakt gebruik van verschillende tactieken en technieken zodra deze toegang heeft verkregen tot jouw netwerk. In onderstaand document vind je een overzicht van deze tactieken en technieken en hoe je hierop kan inspelen met honeytokens. Download deze mapping om honeytokens effectief te zetten voor detectiedoeleinden. 

Lees daarnaast ook ons artikel over gerichte digitale misleiding voor aanvullende handvatten.

Lokken

Een aanvaller in jouw netwerk zal tijdens zijn verkennings- en verzamelingsactiviteiten op zoek gaan naar verschillende soorten informatie: van logbestanden en authenticatiemiddelen tot bedrijfsgevoelige informatie. De verschillende soorten honeytokens stellen jou in staat om hierop in te spelen. Overweeg waar aanvallers naar op zoek zijn, creëer honeytokens en verspreid deze passend over jouw systemen. Denk hierbij aan:

• Het type informatie waar een aanvaller naar op zoek is. Een ontevreden medewerker die informatie wil lekken zal bijvoorbeeld op zoek gaan naar documenten met een reputatie-beschadigend karakter (‘afkopen-milieudelicten-2026.pdf’). Andere aanvallers zullen op zoek gaan naar bijvoorbeeld toegang tot online repositories (door middel van honeycertificaten), folders waar zij belangrijke informatie kunnen vinden, of systeeminformatie. De plaats waar je het token verspreidt moet passen bij het type informatie dat je verspreidt. 
• Het beheer van je tokens. Het is relatief eenvoudig om honeytokens te ontwikkelen en deze te verspreiden. Lastiger is het om grip te hebben en te houden op deze tokens. Slecht beheerde tokens zijn minder effectief en kunnen bovendien vals-positieven opleveren. Documenteer daarom welke tokens zijn ingezet, waar deze zijn geplaatst en wat de usecase ervan is. Met een goed opgezette honeytokens krijg je zicht op wanneer en waar een aanvaller actief is in jouw netwerk.

Met high-interaction honeypots is het daarnaast mogelijk om honeytokens te verstoppen in gesimuleerd netwerkverkeer (Network Sniffing, Adversary-in-the-middle). Let er wel op dat dit doorgaans maatwerk is en relatief complexer is om in te richten en te beheren. 

Detectie

Honeytokens sturen pas een alert uit wanneer de aanvaller hier direct mee interacteert, zoals het openen van een bestand. Het verplaatsen van een honeytoken triggert geen alert. Het is goed om hier rekening mee te houden. Een aanvaller zal doorgaans data eerst exfiltreren alvorens deze te bekijken. Een honeytoken alert kan daarmee aangeven dat jouw informatie al gestolen is, maar te laat komen om dit te voorkomen. 

Om (pogingen) tot exfiltratie wel te kunnen detecteren kan je honeytokens combineren met jouw bestaande detectie-tooling, zoals EDR/XDR of DLP oplossingen. Veel van dergelijke tools bieden de mogelijkheid om zelf detectieregels in te stellen. Denk aan een detectieregel die een alert uitstuurt als een honeytoken verplaatst of verwijderd wordt. Door honeytokens te combineren met andere detectie-oplossingen kun je aanvallers gericht en in een vroeg stadium detecteren, nog voordat deze tokens geëxfiltreerd zijn. 

Ook zonder gebruik te maken van aanvullende tooling is het mogelijk om aanvallers vroegtijdig te detecteren met honeytokens. Denk hierbij aan:

• Nep-folders (honeytokens) op jouw opslagsystemen. Zodra een aanvaller op verkenningstocht gaat naar gevoelige informatie, dan zal deze noodzakelijkerwijs jouw bestandsbeheersystemen moeten afspeuren. Als de aanvaller daarbij een honeytoken-folder opent, dan zal deze direct een alert uitsturen. Zeker tegen geautomatiseerde aanvallen, die breed jouw systemen zullen afspeuren, heeft dit meerwaarde.
• Bestanden of data die een aanvaller gebruiken kunnen als onderdeel van het verruimen van toegang tot jouw netwerk. Denk aan API-keys, -scripts of logbestanden.

De effectieve inzet van honeytokens

Vanwege de brede werking van honeytokens is er geen one-size-fits-all advies. Honeytokens kunnen relatief eenvoudig in je omgeving worden geconfigureerd. Evenals voor honeyaccounts geldt voor honeytokens dat er veel leveranciers zijn die deze kant en klaar aanbieden. De opties zijn tegelijkertijd zo groot dat het verstandig is goed na te gaan welke tokens mogelijk in jouw omgeving als lokmiddel kunnen worden ingezet. 

• Mogelijk nuttige toepassingen voor honeytokens zijn: logbestanden, toegangssleutels (bijv. voor Cloudomgevingen), een mappenstructuur;
• Speel in op populaire toepassingen die interessant zijn voor aanvallers zoals AWS API-keys, een DLL- of EXE-bestand, PDF-document. 
• Denk na over de toepassing na data-exfiltratie. Veel aanvallers kiezen er voor om bestanden niet op de gecompromitteerde systemen te openen, maar deze pas na exfiltratie te bestuderen. Denk daarom na op welke wijze je alerts wil genereren en welke oplossing daar het beste bij past (denk aan DLP-systemen). 
• Heb oog voor het beheer van honeytokens. Honeytokens zijn eenvoudig te plaatsen, maar lastiger te beheren. Zorg daarom voor een inventaris van tokens en andere honey-toepassingen zodat helder is welke je gebruikt, waar je ze hebt ingericht en welke usescases daar voor detectie bij passen. 
• Actualiseer en update honeytokens regelmatig zodat deze effectief blijven in jouw systemen.  

In samenwerking met

Architecten, adviseurs, specialisten en onderzoekers op het gebied van misleiding en misleiding-gebaseerde detectie van DeepBlue Security, DTACT, Fortinet, Gartner, GriffinGuard, PwC NL, SecurityHive, Thinkst Canary en TU Delft.