Обнаружение доступа к ханипотам с помощью Varonis

Защита данных

Ханипот (от англ. honeypot — наживка) — это ловушка, которую создает в сети команда защиты (Blue Team) для поимки потенциальных злоумышленников, которые пытаются украсть данные или получить права доступа. Ханипот может представлять собой папку с недостоверными данными, привлекающими внимание злоумышленников, либо учетную запись пользователя с более высокими правами, чем у текущей учетной записи хакера. Любая попытка доступа к ханипоту представляет собой потенциальную угрозу и должна вызывать тревогу.
Хотя ханипоты являются эффективным средством выявления злоумышленников, они также могут привлечь внимание легитимных и слишком любопытных пользователей. Поэтому важно использовать ханипоты вместе с другими средствами обнаружения.

С помощью Varonis вы можете настроить оповещения, которые будут срабатывать при каких-либо действиях с вашим ханипотом, предупреждая команду реагирования на инциденты о том, что кто-то шпионит за сетью. Продуманный и эффективный журнал регистрации событий Varonis поможет быстро выяснить, является ли доступ к ханипоту безобидным или опасным, и при необходимости быстро предпринять меры для защиты от компрометации настоящих конфиденциальных данных.

В этом блоге вы узнаете, как настроить оповещения Varonis о доступе к ханипоту и отследить злоумышленника с помощью аналитических данных Varonis.

Создание ханипота с оповещением в реальном времени

DatAlert обеспечивает платформу кибербезопасности Varonis функциями для обнаружения киберугроз. Помимо расширенной аналитики поведения пользователей и встроенных моделей угроз, DatAlert позволяет создавать собственные оповещения.

Для начала нужно создать сам ханипот. В этот раз для наших целей мы будем использовать ханипот с низким уровнем взаимодействия, который представляет собой файл с привлекающими внимание хакеров данными, размещенный в незащищенной папке.

Далее вам нужно создать свое оповещение для приманки.
Для этого войдите в DatAdvantage и выберите в меню пункт Tools («Инструменты»), а затем DatAlert, чтобы открыть диалоговое окно конфигурации DatAlert.

Нажмите на зеленую кнопку «+», чтобы открыть диалоговое окно для добавления нового оповещения.

Во вкладке General («Общие») введите название нового правила и выберите Severity («Степень угрозы»), которая в случае ханипота должна быть 4 – Warning («4 – оповещение»).

В раскрывающемся списке Alert Category («Категория оповещений») выберите категорию оповещений; в данном примере выбрано Lateral Movement («Перемещение по сети»). Также выберите тип ресурса (Resource type), в котором находится ваш ханипот. Остальные параметры можно оставить по умолчанию.

Во вкладке Who («Кто») не нужно указывать ничего, поскольку нам нужно получать оповещение при доступе к ханипоту любого пользователя.
Выберите сервер и каталог ханипота во вкладке Where («Где»).

Во вкладке What («Что») выберите события, связанные с доступом к файлу и папке.

Затем перейдите во вкладку Alert Method («Способ оповещения») и настройте инструкции для реакции на срабатывание этого оповещения. Вы можете выбрать отправку писем на электронную почту, оповещение в системе SIEM либо запуск сценария PowerShell. Мы используем сценарии для блокировки учетных записей зараженных пользователей и последующего выключения компьютеров для их устранения из сети.
После нажатия кнопки Apply («Применить») остается лишь ждать, пока кто-нибудь попадет в расставленную вами ловушку.

Расследование инцидента

Если кто-то попадется в вашу ловушку, вы можете использовать веб-интерфейс Varonis для воссоздания полной картины перемещения злоумышленника по вашей сети. Обычные пользователи могут попасть в вашу ловушку из простого человеческого любопытства. Они будут вызывать ложные срабатывания. Внимательное изучение оповещений поможет отсеять такие случаи.

В веб-интерфейсе установите фильтр активности для пользователя, попавшего в ловушку.

Обладая большим количеством аналитических данных, вы легко сможете проследить все шаги пользователей. Эти аналитические помогут вам отреагировать на кибератаку.

Усиливаем безопасность благодаря поведенческому анализу

Ханипоты — полезный тактический инструмент, но их проблема заключается в отсутствии адаптивности, поэтому в вопросе обнаружения таргетированных атак не стоит полагаться исключительно на них. Динамические модели угроз, основанные на анализе поведения, подобные тем, что поставляются в комплекте с DatAlert, гораздо эффективнее обнаруживают скрытные атаки и имеют меньшее число ложных срабатываний.
Вместо создания искусственных ловушек-ханипотов DatAlert способен определять, когда пользователи получают доступ к реальным данным необычным и подозрительным способом. Например, если системный администратор читает почту генерального директора и потом помечает сообщения как непрочитанные, или когда учетная запись службы получает доступ к конфиденциальным документам Microsoft Office, а затем впервые подключается к интернету – все это не останется незамеченным.
Запросите демонстрацию Varonis, чтобы собственными глазами увидеть наш уникальный подход к кибербезопасности.

 

Бесплатный аудит рисков кибербезопасности

Узнайте об уязвимостях вашей ИТ-инфраструктуры - мы проведем бесплатный аудит рисков и подготовим для вас отчет. Это займет около 90 минут вашего времени и никак не отразится на бизнес-процессах компании.