Een crimineel om de tuin leiden is van alle tijden. Op digitaal gebied zijn honeypots al decennialang succesvol ingezet om cybergevaren te detecteren met een vals doelwit in de IT-omgeving. Inmiddels weten kwaadwillenden dit weleens te omzeilen. Het Franse cybersecuritybedrijf TEHTRIS komt daarom met ‘nomadische’ honeypots, die criminelen keer op keer kunnen bedriegen.
Honeypots zijn vaak in het nieuws wanneer er een weer een crimineel netwerk ontmaskerd is. Zo konden twee security-onderzoekers onlangs 100 uur lang meekijken met hackers via een remote desktop-sessie. De aanvallers dachten dat ze een groot bedrijfsnetwerk hadden gepenetreerd. Zo kregen de security-experts enorm veel te weten over de handelswijzen van de hackers in kwestie. Het duo constateerde dat deze methodiek ook zeer nuttig kan zijn voor rechercheteams.
In het verleden zijn er al eens variaties geweest van het honeypot-concept. Virtuele honeypots zijn de meest eenvoudige om te creëren, waarbij een TCP/IP-adres van een legitiem apparaat veelal gesimuleerd wordt. Ook is het mogelijk om een fysiek apparaat na te bootsen die volledig gericht is op het misleiden van een cybercrimineel. Zodra men dit valse doelwit aanvalt, kan een security-team achterhalen wie de boosdoeners zijn en waar de data naartoe gaat. Althans, dat is de bedoeling.
Een probleem van conventionele honeypots is dat ze na ontdekking door een crimineel ongewijzigd blijven binnen het netwerk. Dit geeft een cybercrimegroep de kans om onderling te communiceren dat het hier om een vals doelwit gaat waarna een schadelijke aanval eenvoudiger te bereiken is.
Van statisch naar dynamisch
Een nomadische honeypot zou volgens TEHTRIS dit probleem op moeten lossen: het verandert automatisch weer van locatie zodat een crimineel nooit vast kan stellen waar deze zich bevindt. is een voortvloeisel van het concept Automated Moving Target Defense (AMTD), dat al door Gartner geprezen is. TEHTRIS licht uit dat een kwart van alle cloudapplicaties tegen 2025 waarschijnlijk gebruik zullen maken van deze dynamische vorm van verdediging. Criminelen kunnen zich in principe niet laten informeren over een dergelijke security-oplossing. Om die reden lijkt er dus een belangrijkere rol voor misleiding in de strijd tegen cybercrime in het verschiet.
“Cybercriminelen zijn beter georganiseerd en gemotiveerder dan ooit. Daarom is het cruciaal om collectief te handelen en een aanpasbare, effectieve verdediging te implementeren,” stelt medeoprichter en CTO Laurent Oudot. “Met deze nieuwe generatie honeypots voorziet TEHTRIS de gemeenschap van geavanceerde cyberinformatie en bevestigt het zijn positie als pionier op het gebied van detectie van cyberbedreigingen.”
Voorbij detection & response
TEHTRIS wil echter groter denken: het komt met 1300 nomadische honeypots die gesitueerd zijn in 50 landen. Dit vormt samen een “dynamisch lokmiddel”, zoals men het verwoordt. De honeypots zijn bedoeld om elke vorm van schadelijke activiteit op het web te detecteren en zouden ze vervolgens identificeren en neutraliseren. Ze ontvangen continu een nieuw IP-adres en maximaliseren daarmee de levensduur van het verdedigingsmechanisme. In feite moet je als crimineel bij de achterliggende infrastructuur zien te komen, wil je af zijn van deze lijn der verdediging. Het idee is echter natuurlijk dat een hacker zo lang mogelijk geen weet heeft dat het hier om een fopmiddel gaat.
Deze innovatie is volgens het bedrijf eveneens een uiting van de veranderende security-opstelling die bedrijven zoeken. In plaats van altijd reageren op dreigingen met alle haast die daarbij komt kijken, tracht men zoveel mogelijk proactiviteit in te bouwen.
Die proactiviteit trekt TEHTRIS nog verder door. Men vergelijkt de analytische mogelijkheden van de nieuwe innovatie met een wereldwijde weersvoorspelling: het netwerk van honeypots zou vanwege de grote schaal kunnen zien in welke regio’s bepaalde soorten dreigingen spelen, zoals een orkaan die zich boven warm water vormt. Middels een trendrapport laat het weten hoeveel criminelen online actief zijn en waar.
Het bedrijf deelt de bevindingen van het nomadische honeypot-netwerk met security-instellingen als ANSSI en de Cyber Threat Alliance. Op het eigen XDR-platform biedt TEHTRIS nog meer inzichten. Daarnaast kunnen organisaties zelf nog een extra valstrik plaatsen in hun lokale netwerk met TEHTRIS Deceptive Response, dat realtime waarschuwingen geeft als er gevaren op het spoor zijn. In de blogs van het bedrijf is te lezen wat hun bevindingen zijn.
Lees ook: “Nieuwe vorm van malware steelt data via remote desktop-clients”
1 dag geleden
