O que são tokens de mel?

Introdução aos tokens de mel

À medida que as empresas atuais tentam sair na frente dos cibercriminosos e monitorar ataques maliciosos, elas precisam ficar por dentro das novas ferramentas e estratégias de segurança. Além do conjunto de técnicas que costuma ser empregado, os métodos de fraude têm desempenhado um importante papel, o que muita vezes envolve a utilização de iscas e armadilhas para enganar os invasores. No entanto, essas técnicas tradicionais costumam gerar mais complexidade operacional e de implantação, aumentar a exposição a riscos e desacelerar a identificação de ameaças.

Uma alternativa eficiente e mais segura aos métodos tradicionais de fraude é o token de mel. Esse recurso possibilita a detecção rápida de atividades maliciosas e, muitas vezes, funcionam como um sistema de alerta precoce para a equipe de segurança.

Neste post, vamos mostrar como os tokens de mel funcionam, incluindo práticas recomendadas de implementação e como escolher a opção certa no seu arsenal de outras ferramentas de segurança.

Definição de tokens de mel

Os tokens de mel são recursos digitais criados com a finalidade de atrair invasores e de indicar usos não autorizados. Eles não têm nenhum propósito real dentro dos seus sistemas. No entanto, quando são usados, eles disparam um alerta que indica acesso possivelmente não autorizado.

Os tokens de mel têm diversos formatos, incluindo:

• Documentos: arquivos criados para parecer que contêm informações confidenciais (como dados financeiros e propriedade intelectual) e que disparam um alerta quando abertos.
• Registros de banco de dados: registros fictícios em um banco de dados com valor aparente (como informações de clientes, dados corporativos e credenciais de funcionários) que indicam uma invasão quando acessados.
• Credenciais: nomes de usuário, endereços de e-mail e senhas fictícios que podem ser colocados estrategicamente em arquivos de configuração e aplicações para indicar possíveis atividades maliciosas quando usados.
• Tokens: chaves de API ou tokens de acesso que indicam possíveis atividades maliciosas quando usados.

O objetivo principal de um token de mel é detectar o acesso e uso não autorizados dos recursos. Aliada a um mecanismo de alerta, essa detecção acelera a resposta a incidentes.

Tokens de mel e potes de mel

Os tokens de mel e os potes de mel podem ser parecidos, mas eles têm diferenças significativas. O pote de mel é um sistema de isca criado para atrair invasores cibernéticos. Ele imita um sistema real (como um servidor, aplicação ou rede), incluindo vulnerabilidades aparentes que são monitoradas de perto por uma equipe de segurança. À medida que um ator malicioso interage com um pote de mel, a equipe de segurança consegue analisar e entender as técnicas de ataque usadas. Com base nesses insights, ela pode preparar medidas de proteção.

Ao contrário dos potes de mel, os tokens de mel são apenas dados que servem para atrair invasores. O token é colocado dentro de um conjunto de dados ou sistema, e sua única função legítima é indicar acessos não autorizados, incluindo o envio de alertas sobre possíveis ataques para a equipe de segurança. Além de possibilitar a detecção precoce de atividades maliciosas, os tokens de mel ajudam as equipes de segurança a entenderem melhor os vetores e padrões de ataque no sistema. Ao atrair adversários e analisar as trajetórias de ataque deles, as organizações têm informações melhores para estabelecer medidas de proteção e aplicar políticas que fortalecem a postura de segurança.

Como os tokens de mel funcionam

Os tokens de mel aproveitam a curiosidade e o desejo que um invasor tem de acessar recursos valiosos. Como parecem ativos valiosos e legítimos, eles atraem o interesse de atores maliciosos. Enquanto os invasores acreditam ter descoberto algo valioso, eles na verdade acionaram uma armadilha que envia um alerta para a equipe de segurança.

Para garantir o uso efetivo dos tokens de mel, a organização precisa se concentrar em uma estratégia de implantação, detecção e resposta.

Implantação do token de mel

A implementação estratégica de tokens de mel em aplicações, sistemas e redes serve para imitar recursos autênticos que atraem o interesse dos invasores. Como a primeira etapa da implantação, a organização precisa identificar os ativos de alto risco e valor que podem ser alvos de invasores. Isso inclui bancos de dados que contêm informações confidenciais de clientes ou pastas em um servidor que incluem uma suposta propriedade intelectual.

Depois de identificar os alvos em potencial, você precisa colocar os tokens de mel junto aos ativos reais ou integrar esses recursos a aplicações e sistemas. Por exemplo, você pode criar documentos com nomes e conteúdo similares a um documento confidencial genuíno ou inserir credenciais que parecem verdadeiras (mas são falsas) em arquivos de configuração.

Com a implementação cuidadosa dos tokens de mel, você garante que eles se misturem aos recursos legítimos, aumentando as chances de interação de um invasor.

Detecção de tokens de mel

O uso de tokens de mel só é efetivo se eles dispararem alertas quando acessados ou utilizados. Como os tokens de mel são criados para serem acessados somente por usuários não autorizados, qualquer atividade relacionada a esse recurso é considerada suspeita. Isso significa que os sistemas de detecção e alerta não vão apresentar falsos positivos. Você pode configurar os sistemas de detecção de invasões (IDS) e as ferramentas de gerenciamento e correlação de eventos de segurança (SIEM) para rastrear o uso dos tokens de mel e gerar alertas.

Resposta a incidentes

Quando um token de mel é acionado, a equipe de segurança pode executar o plano de resposta a incidentes. Esse processo inclui coletar informações sobre o invasor (como o endereço IP dele), rastrear os padrões de acesso e determinar a extensão do comprometimento nos sistemas da organização. Além disso, a equipe de segurança pode bloquear qualquer recurso adjacente e possivelmente comprometido.

Embora o objetivo principal do token de mel seja a detecção rápida de invasões, a equipe de segurança ainda pode coletar informações valiosas que vão ajudar a fortalecer a postura geral de segurança da organização.

Práticas recomendadas para implementar tokens de mel

Ao implementar tokens de mel, considere as práticas recomendadas a seguir:

Escolha o tipo certo de token de mel

Determine os tipos de token de mel mais relevantes para os ativos da sua organização e possíveis ameaças. Por exemplo, se sua organização enfrenta um risco maior de acesso não autorizado ao banco de dados, vale a pena usar registros fictícios com valores aparentes. Tenha como foco primeiro as ameaças de maior prioridade e depois escolha o token de mel que ajuda a detectar atividades maliciosas nessas áreas.

Faça a implementação adequada dos tokens de mel

Os tokens de mel devem ser colocados em locais que são possíveis alvos de invasores. O objetivo da implementação estratégica é criar dificuldades para que o invasor não consiga diferenciar os ativos reais e falsos. Isso envolve colocar os tokens junto a identidades, dados e recursos reais.

Integre os tokens de mel à infraestrutura de segurança atual

Como a detecção é essencial para a efetividade dos tokens de mel, as organizações precisam integrar o uso desse recurso às ferramentas e infraestrutura de segurança atuais. As organizações que têm um parceiro de cibersegurança devem utilizar ferramentas como a proteção de identidade (IDP) para possibilitar o monitoramento dos acessos aos tokens de mel e o envio de alertas.

Faça a atualização e manutenção frequentes dos tokens de mel

Estabeleça um plano para a análise e atualização periódicas dos tokens de mel. Isso preserva a efetividade e a relevância deles. Ao alterar o conteúdo dos documentos, credenciais e tokens fictícios, as organizações podem alinhar seus tokens de mel às práticas de segurança atuais e às mudanças na empresa. Os tokens de mel devem ser devidamente documentados pela equipe de segurança. Além disso, a organização precisa considerar que o acesso ao token de mel também pode vir de uma fonte interna, como os funcionários. Isso não deve ser ignorado porque pode indicar comportamento malicioso por parte dos funcionários ou revelar que um adversário usou credenciais válidas para conseguir acesso.

Conclusão

Considerando as ferramentas que as equipes de segurança usam na cibersegurança moderna, os tokens de mel estão se tornando mais comuns. Eles são uma forte alternativa às técnicas tradicionais de fraude, já que são leves, fáceis de manter e fornecem informações imediatas sobre atividades maliciosas. Quando implementados estrategicamente, os tokens de mel possibilitam a detecção precoce de intrusões. Aliados às ferramentas de proteção atuais da organização, os tokens de mel se tornam um ativo inestimável no conjunto de ferramentas da equipe de segurança.

Capacidades de token de mel no Falcon Next-Gen Identity Security

O CrowdStrike Falcon® Next-Gen Identity Security oferece capacidades avançadas de token de mel para aprimorar a segurança. Os usuários podem criar contas fictícias (seguindo nossas recomendações) como iscas para possíveis invasores. Qualquer interação com esses tokens de mel vai acionar um alerta sofisticado. As equipes de segurança recebem informações detalhadas sobre o caminho do ataque e as técnicas utilizadas pelos invasores. Ao trabalhar com o Microsoft Active Directory (AD), os usuários do CrowdStrike Falcon® Next-Gen Identity Security podem definir determinadas contas como tokens de mel no AD sem precisar de mais configurações ou recursos. Os usuários também aproveitam controles rigorosos para monitorar essas contas com políticas de aplicação integradas. Assim, as organizações podem assumir riscos calculados com mais segurança.