- info@sec4good.cz
- V Olšinách 2300/75, 100 00 Praha 10
Intenzita kybernetických útoků se neustále stupňuje a v poslední době je navíc znásobena zneužitím AI na straně útočníků (např. nedávný Claude Code útok). O to více je obtížné je neustále sledovat vyvíjející se kybernetické prostředí a včas reagovat na nově nalezené zranitelnosti a hrozby. Karty jednoduše nejsou rozdány férově. Aby obránci zajistili bezpečnost systému, musí být důslední a vše dotáhnout do nejmenšího detailu, kdežto útočníkovi stačí jediná příležitost.
Deception technology a obecně odvětví active defense se snaží vrátit moc do rukou obránců. Jedná se o prostředky, jejichž cílem je aktivitu útočníka detekovat co nejdříve, ideálně už ve fázi reconnaissance (Cyber Kill Chain). Útočníkovu pozornost se snaží přesměrovat od skutečných chráněných aktiv na připravená falešná aktiva. Její unikátní výhodou je, že není vázána na konkrétní zranitelnosti či hrozby, ale soustředí se přímo na typické postupy a techniky útočníků. Na rozdíl od klasických forem obrany proti kybernetickým útokům tak zvládne detekovat i útočníky zneužívající zero-day zranitelnosti.
Jedním z takových nástrojů je Labyrinth, plnohodnotná deception technology platforma. Je snadno nasaditelná a její konfigurace je intuitivní. Labyrinth ve Vaší síti vytvoří několik virtuálních cílů, které označuje jako points. Ty předstírají zranitelnost službu – může se jednat o cokoliv od HTTP serveru, přes SSH server, až po koncovou stanici. Navíc do nich integruje známé zranitelnosti (např. path traversal), aby u útočníků vzbudil zájem. Jakmile však útočník začne s některou z takových služeb interagovat, spustí sken portů nebo třeba brute-force útok na hesla, vygeneruje Labyrinth během několika málo sekund upozornění, čímž aktivuje incident response tým.
Kromě toho dokáže Labyrint kooperovat s produkty, které už používáte. Na naší instanci jsme si vyzkoušeli integraci s Microsoft Teams, dále pak existuje možnost napojení na SIEM (např. QRadar nebo Splunk), Fortinet firewall a mnoho dalších.
Zajímavá komponenta je Seeder agent. Ten umožňuje rozmístit návnady i na skutečná aktiva ve Vaší síti. Třeba takový soubor ssh_backup.csv, který se jeví jako záloha přihlašovacích údajů k SSH serveru, určitě vzbudí zájem útočníka. O to víc pak jakmile zjistí, že se s jejich použitím skutečně dokáže na (falešný) SSH server přihlásit.
V ten moment už o něm ale ví incident response tým a připravuje opatření, nebo byl skrze integraci na Fortinet firewall zablokován. Ve svém webovém rozhraní poskytuje Labyrinth detailní přehled o chování útočníka. Zobrazuje všechna důležitá metadata včetně příkazů, které se útočník pokoušel na virtuálním cíli spustit. Všechny informace následně zobrazuje v interaktivní mapě, kde je na základě souvislostí propojuje – v našem případě bychom zde našli spojení skutečného aktiva, na které jsme připravili skrze Seeder falešné přihlašovací údaje pro uživatele dstrnad, virtuální cíl, který byl útočníkem napaden, a událost, která na základě útoku vznikla.
Nasazení deception technology platformy je důležitým preventivním krokem a slouží jako účinná obrana proti kybernetickým útokům, zejména pak těm, které zneužívají dosud neznámé zranitelnosti. Labyrinth v tomto ohledu poskytuje kvalitní řešení, které lze velmi snadno přizpůsobit potřebám konkrétního prostředí. Už za pár hodin jsme byli schopni Labyrinth nakonfigurovat tak, aby návnady odpovídaly našim schématům pojmenovávání virtuálních strojů či uživatelů. Útočníkovi tak v cestě přibývá další překážka, která mu znesnadňuje průnik do Vašich systémů, zatímco obránci do rukou dostávají mocný nástroj na jejich detekci.
