Vài tuần trước, phiên bản thứ 32 của RSA, một trong những hội nghị an ninh mạng lớn nhất thế giới, đã kết thúc tại San Francisco. Trong số những điểm nổi bật, Kevin Mandia, Giám đốc điều hành của Mandiant tại Google Cloud, đã trình bày một hồi tưởng về tình trạng an ninh mạng. Trong bài phát biểu quan trọng của mình, Mandia đã tuyên bố:
“Có những bước rõ ràng mà các tổ chức có thể thực hiện ngoài các biện pháp bảo vệ và công cụ bảo mật thông thường để tăng cường khả năng phòng thủ và tăng cơ hội phát hiện, ngăn chặn hoặc giảm thiểu cuộc tấn công […] Honeypotshoặc tài khoản giả cố tình không bị người dùng có thẩm quyền xử lý, có hiệu quả trong việc giúp các tổ chức phát hiện các hoạt động xâm nhập hoặc độc hại mà các sản phẩm bảo mật không thể ngăn chặn“.
“Xây dựng honeypots” là một trong bảy lời khuyên của ông để giúp các tổ chức tránh một số cuộc tấn công có thể yêu cầu sự tham gia của Mandiant hoặc các công ty ứng phó sự cố khác.
Xin nhắc lại, honeypots là hệ thống mồi nhử được thiết lập để thu hút những kẻ tấn công và chuyển hướng sự chú ý của chúng khỏi các mục tiêu thực tế. Chúng thường được sử dụng như một cơ chế bảo mật để phát hiện, làm chệch hướng hoặc nghiên cứu các nỗ lực của những kẻ tấn công nhằm giành quyền truy cập trái phép vào mạng. Khi những kẻ tấn công tương tác với một honeypot, hệ thống có thể thu thập thông tin về cuộc tấn công và các chiến thuật, kỹ thuật và thủ tục (TTP) của kẻ tấn công.
Trong thời đại kỹ thuật số, nơi vi phạm dữ liệu ngày càng phổ biến mặc dù ngân sách được phân bổ cho bảo mật hàng năm ngày càng tăng, Mandia chỉ ra rằng điều quan trọng là phải thực hiện một cách tiếp cận chủ động để hạn chế tác động của vi phạm dữ liệu. Do đó, cần phải lật ngược thế cờ trước những kẻ tấn công và mối quan tâm mới đối với honeypots.
Mồi câu cá là gì đối với lưới đánh cá
Mặc dù honeypots là một giải pháp hiệu quả để theo dõi những kẻ tấn công và ngăn chặn hành vi trộm cắp dữ liệu, nhưng chúng vẫn chưa được áp dụng rộng rãi do những khó khăn trong thiết lập và bảo trì. Để thu hút những kẻ tấn công, một honeypot cần phải có vẻ hợp pháp và tách biệt khỏi mạng sản xuất thực, khiến chúng trở nên khó thiết lập và mở rộng quy mô đối với nhóm xanh đang tìm cách phát triển khả năng phát hiện xâm nhập.
Nhưng đó không phải là tất cả. Trong thế giới ngày nay, chuỗi cung ứng phần mềm rất phức tạp và được tạo thành từ nhiều thành phần của bên thứ ba như công cụ SaaS, API và thư viện thường được lấy từ các nhà cung cấp và nhà cung cấp khác nhau. Các thành phần được thêm vào ở mọi cấp độ của ngăn xếp xây dựng phần mềm, thách thức khái niệm về chu vi “an toàn” cần được bảo vệ. Luồng di chuyển giữa những gì được kiểm soát nội bộ và những gì không thể đánh bại mục đích của honeypots: trong thế giới do devops dẫn đầu này, các hệ thống quản lý mã nguồn và quy trình tích hợp liên tục là miếng mồi ngon thực sự cho tin tặc, điều mà các honeypots truyền thống không thể bắt chước được.
Để đảm bảo tính bảo mật và tính toàn vẹn của chuỗi cung ứng phần mềm của họ, các tổ chức cần có các phương pháp tiếp cận mới, chẳng hạn như mã thông báo mật, đối với hũ mật cũng giống như mồi câu đối với lưới đánh cá: chúng yêu cầu nguồn lực tối thiểu nhưng có hiệu quả cao trong việc phát hiện các cuộc tấn công.
mồi nhử mật ong
Honeytokens, một tập hợp con của honeypots, được thiết kế để trông giống như một bí mật hoặc thông tin xác thực hợp pháp. Khi kẻ tấn công sử dụng mã thông báo mật, cảnh báo sẽ được kích hoạt ngay lập tức. Điều này cho phép những người bảo vệ thực hiện hành động nhanh chóng dựa trên các chỉ số thỏa hiệp, chẳng hạn như địa chỉ IP (để phân biệt nguồn gốc bên trong với bên ngoài), dấu thời gian, tác nhân người dùng, nguồn và nhật ký của tất cả các hành động được thực hiện trên honeytoken và các hệ thống liền kề.
Với honeytokens, mồi nhử là chứng chỉ. Khi một hệ thống bị xâm phạm, tin tặc thường tìm kiếm các mục tiêu dễ di chuyển ngang, leo thang đặc quyền hoặc đánh cắp dữ liệu. Trong bối cảnh này, thông tin đăng nhập có lập trình như khóa API đám mây là mục tiêu lý tưởng để quét vì chúng có mẫu dễ nhận biết và thường chứa thông tin hữu ích cho kẻ tấn công. Do đó, chúng là mục tiêu chính để kẻ tấn công tìm kiếm và khai thác trong quá trình vi phạm. Do đó, chúng cũng là mồi nhử dễ dàng nhất để những người bảo vệ phát tán: chúng có thể được lưu trữ trên tài sản đám mây, máy chủ nội bộ, công cụ SaaS của bên thứ ba, cũng như máy trạm hoặc tệp.
Trung bình, phải mất 327 ngày để xác định vi phạm dữ liệu. Bằng cách phân tán mã thông báo mật ở nhiều địa điểm, các nhóm bảo mật có thể phát hiện các hành vi vi phạm trong vòng vài phút, nâng cao tính bảo mật của đường ống phân phối phần mềm trước các hành vi xâm nhập tiềm ẩn. Các sự đơn giản của honeytokens là một lợi thế đáng kể loại bỏ sự cần thiết phải phát triển toàn bộ hệ thống lừa dối. Các tổ chức có thể dễ dàng tạo, triển khai và quản lý mã thông báo mật trên quy mô doanh nghiệp, bảo mật đồng thời hàng nghìn kho lưu trữ mã.
Tương lai của phát hiện xâm nhập
Lĩnh vực phát hiện xâm nhập đã nằm trong tầm ngắm quá lâu trong thế giới DevOps. Trên thực tế, chuỗi cung ứng phần mềm là mục tiêu ưu tiên mới của những kẻ tấn công, những kẻ đã nhận ra rằng môi trường phát triển và xây dựng được bảo vệ kém hơn nhiều so với môi trường sản xuất. Làm cho công nghệ honeypot dễ tiếp cận hơn là rất quan trọng, cũng như giúp dễ dàng triển khai công nghệ này trên quy mô lớn bằng cách sử dụng tự động hóa.
GitGuardian, một nền tảng bảo mật mã, gần đây đã ra mắt khả năng Honeytoken để hoàn thành sứ mệnh này. Là công ty hàng đầu trong việc phát hiện và khắc phục bí mật, công ty có vị trí đặc biệt để biến một vấn đề, những bí mật ngổn ngang, thành một lợi thế phòng thủ. Trong một thời gian dài, nền tảng này đã nhấn mạnh tầm quan trọng của việc chia sẻ trách nhiệm bảo mật giữa các nhà phát triển và nhà phân tích AppSec. Giờ đây, mục tiêu là “chuyển sang trái” khi phát hiện xâm nhập bằng cách cho phép nhiều người khác tạo thông tin xác thực mồi nhử và đặt chúng ở những vị trí chiến lược trong ngăn xếp phát triển phần mềm. Điều này sẽ được thực hiện bằng cách cung cấp cho các nhà phát triển một công cụ cho phép họ tạo ra các mật mã và đặt chúng vào kho lưu trữ mã và chuỗi cung ứng phần mềm.
Mô-đun Honeytoken cũng tự động phát hiện rò rỉ mã trên GitHub: khi người dùng đặt mã thông báo mật ong vào mã của họ, GitGuardian có thể xác định xem chúng có bị rò rỉ trên GitHub công khai hay không và chúng đã bị rò rỉ ở đâu, giúp giảm đáng kể tác động của các vi phạm như những vi phạm được tiết lộ bởi Twitter, LastPass, Okta, Slack và những người khác.
Phần kết luận
Khi ngành công nghiệp phần mềm tiếp tục phát triển, điều cần thiết là làm cho bảo mật dễ tiếp cận hơn với đại chúng. Honeytokens cung cấp một giải pháp chủ động và đơn giản để phát hiện các hành vi xâm nhập vào chuỗi cung ứng phần mềm càng sớm càng tốt. Họ có thể giúp các công ty thuộc mọi quy mô bảo mật hệ thống của họ, bất kể mức độ phức tạp của ngăn xếp hoặc công cụ họ đang sử dụng: hệ thống Quản lý kiểm soát nguồn (SCM), đường ống Triển khai liên tục tích hợp liên tục (CI/CD) và cơ quan đăng ký tạo tác phần mềm, trong số người khác.
Với cách tiếp cận không cần thiết lập và dễ sử dụng, GitGuardian đang tích hợp công nghệ này để giúp các tổ chức tạo, triển khai và quản lý mã thông báo mật trên quy mô doanh nghiệp lớn hơn, giảm đáng kể tác động của các vi phạm dữ liệu tiềm ẩn.
Tương lai của mã thông báo mật có vẻ tươi sáng và đó là lý do tại sao không có gì ngạc nhiên khi thấy Kevin Mandia ca ngợi lợi ích của mã thông báo mật cho các công ty an ninh mạng lớn nhất tại RSA năm nay.
