Inilah Alasan Mengapa Memerlukan Cybersecurity Honeypots
Analis cybersecurity telah mencatat bahwa trafik serangan terhadap bisnis kecil dan menengah telah mengalami peningkatan sepanjang tahun 2019, mencapai tingkat yang luar biasa tinggi dibandingkan dengan trafik serangan Telnet dan SSH. Tidak jelas siapa yang menyebabkan kenaikan tersebut karena tidak ada file yang diunggah, hanya koneksi dari beberapa negara yang dapat diidentifikasi sebagai penyebab utama.
Bagaimana caranya kami dapat mengetahui hal ini? Sama halnya seperti cara kami dapat mengetahui sebagian besar cyber threat global, teknik yang digunakan, pemilihan waktu, dan tools yang digunakan, bahkan gagasan tentang siapa mereka - Honeypots.
Honeypot merupakan sumber daya sistem informasi yang nilainya terletak pada penggunaan ilegal atau tanpa otorisasi atas sumber daya tersebut, artinya ia akan terbukti bernilai ketika seorang hacker mencoba berinteraksi dengannya. Sumber daya honeypot biasa disamarkan sebagai server jaringan, ia terlihat dan terasa seperti server tetapi sebenarnya merupakan perangkap yang digunakan untuk memancing penyusup yang tidak memiliki otorisasi.
Bagaimana analis menemukan EternalRocks? Hal tersebut bisa terjadi karena adanya honeypot.
Sebuah permainan kreatif “kucing dan tikus” yang meletakkan perangkap cerdik. Musuh yang datang mencoba mengelabui perangkap atau mengenali sesuatu yang mencurigakan dan menghindarinya, atau dalam beberapa kasus, merusaknya. Hal ini ditanggapi oleh seorang peneliti dengan menulis tweet untuk menghibur banyak orang, "Bagi Anda yang mengetahui honeypot saya adalah sebuah ‘honeypot’ (wadah madu), bisakah Anda berhenti menaruh gambar beruang (madu) Pooh di atasnya?.
Silakan mengecek sumber daya HoneyDB untuk mengetahui analisis real-time mengenai penyerang, yang dibuat oleh honeypot dengan mengumpulkan data dari sensor honeypot yang telah diletakkan di dalam internet secara global.
Hal yang unik dan aneh dalam dunia monitoring dan intelijen jaringan, banyak sekali justifikasi yang digunakan oleh organisasi kecil maupun besar. Tool dan teknik seringkali diabaikan dalam Standar Keamanan Informasi utama, dianggap tidak perlu dimasukkan ke dalam peraturan standar tata kelola yang paling populer seperti SANS/NIST/PCI/DSS/ISO.
Klien kami jarang meminta atau mempersyaratkan sistem honeypot dalam RFP. bagi saya hal ini membingungkan, mengingat betapa penting dan berharganya honeypot. Apakah ada teknik cyber lain yang dapat memberikan tingkat kepercayaan bagi CISO bahwa jaringan tidak mengalami breach, serta dapat memberikan rincian informasi host atau port yang digunakan dalam serangan, khususnya untuk jaringan yang terbuka / belum matang?
Umumnya, pekerjaan ini adalah bidang tugas tim SIEM yang membutuhkan waktu berbulan-bulan untuk menyelesaikan pengembangan use case. Artikel ini berupaya untuk meluruskan dan menghentikan kesalahpahaman terhadap honeypot. Di bawah ini saya telah mencantumkan beberapa contoh honeypot yang memiliki kredibilitas dan layak dimasukkan ke dalam sistem cyber defense siapapun baik yang berukuran besar atau kecil.
Berbasis Host: enis honeypot yang paling sederhana dan paling terkenal memiliki tantangan untuk menyatu dengan infrastruktur yang ada, tidak terlalu panas untuk terlihat tetapi juga tidak terlalu dingin untuk tidak diperhatikan. Nama host dan sistem operasi harus sesuai dengan konvensi yang ada, dilengkapi dengan sedikit sentuhan umpan yang menarik perhatian penyerang untuk menjelajahi sistem lebih lanjut.
Jenis umpan seperti apa yang digunakan sepenuhnya tergantung pada organisasi Anda. Selain itu, permintaan otentikasi harus merespons dengan cara yang persis sama dengan host lain di jaringan, tetapi dengan dilengkapi monitoring tambahan yang berfungsi untuk membuat peringatan jika terdeteksi aktivitas seperti upaya login dari luar.
Proyek open-source bernama Artillery yang dikeluarkan oleh Binary Defense adalah salah satu opsi untuk membantu mengonfigurasi dan memonitor honeypot stand-alone di dalam sistem Linux atau Windows. Ini dapat digunakan bersamaan dengan bermacam-macam program honeypot dengan interaksi rendah atau menengah yang mensimulasikan sistem atau layanan. Misalnya, Cowrie mensimulasikan layanan ssh yang memungkinkan otentikasi oleh penyerang dan memantau aktivitas penyerang dengan honeypot yang menghasilkan pencatatan dan peringatan yang terperinci.
Berbasis Kredensial: Jika kita berasumsi musuh berada dalam jaringan, peringatan tentang adanya aktivitas beberapa teknik lateral umum menjadi sangat penting. Jadi memperluas konsep honeypot menjadi honey hash dapat memberikan bantuan. Honey hash adalah penyisipan kredensial palsu ke dalam memori sistem yang sedang berjalan. Keberadaan honey hash sama sekali tidak diketahui oleh sistem dan user, kecuali jika penyerang menggunakan alat seperti Mimikatz untuk mencuri kredensial dan menggunakannya kembali di dalam environment. Jika penyerang mencoba menggunakan kredensial honey hash yang ditanam, peringatan sistem akan terpicu dengan adanya aktivitas tersebut sehingga investigasi dapat diluncurkan.
Untuk menjalankan honey hash, harus dibuat akun honey istimewa yang tidak akan pernah digunakan dalam proses produksi, seperti anggota grup administrator domain. Sehingga akun istimewa dapat menyediakan target yang menarik bagi penyerang. Akun tersebut harus dikonfigurasikan dengan kata sandi acak yang sangat panjang untuk mencegah paparan realistis dari tebakan kata sandi.
Secara bersamaan, sebuah use case dikonfigurasikan pada SIEM untuk memberikan peringatan untuk setiap upaya masuk menggunakan akun ini. Setelah akun istimewa diletakkan sebagai umpan, honey hash pada sistem di dalam environment dapat ditanam menggunakan skrip New-HoneyHash.ps1 dari EmpireProject. Skrip PowerShell mengambil parameter domain, nama akun, dan kata sandi akun. Kemudian menyimpan kredensial terkait dan informasi yang disediakan di dalam memori proses Local Security Authority Subsystem Service (Layanan Subsistem Otoritas Keamanan Lokal).
Dengan meletakkan akun palsu administrator domain (tetapi dengan kata sandi salah) kredensial dalam memori komputer, akan tampak sangat menggoda bagi musuh yang melakukan pencarian kata sandi di dalam memori komputer. Tumpukan kredensial yang disimpan di dalam memori dan usaha lanjutan untuk menggunakan kembali nama pengguna dan kata sandi akun akan mengakibatkan aktivitas login gagal dan peringatan dapat dikirim ke SOC untuk penyelidikan lebih lanjut. Skrip startup, yang didorong melalui kebijakan grup, untuk meletakkan honey hash pada beberapa sistem di seluruh environment dapat dibuat jika Anda ingin mengotomatisasi proses di seluruh sistem Anda.
Berbasis File: Di bagian bawah dari rantai cyber kill, dengan asumsi kasus terburuk telah terjadi, data telah berhasil dibawa ke luar organisasi, ada juga jenis honey yang dapat mendeteksi skenario semacam ini. File bisnis yang tidak memiliki fungsi bisnis sebenarnya dapat digunakan pada server produksi apa pun dan dikonfigurasikan dengan audit terperinci untuk mengingatkan setiap kali interaksi dibuka atau digunakan. File-file tersebut harus memiliki nama yang menarik tetapi tetap sesuai dengan ketentuan penamaan di dalam organisasi. Dengan menanamkan konten aktif dalam dokumen, maka ia dapat mencoba menghubungi URL atau mengungkapkan alamat IP sistem dari mana dokumen dibuka secara otomatis, sehingga dapat membuka identitas penyerang.
Aktivitas semacam itu memiliki sejumlah tantangan hukum dan logistik untuk menciptakan disinformasi yang dapat dipercaya. Salah satu contohnya adalah Canarytokens oleh Thinkst. Ketika sebuah dokumen MS Word atau PDF dibuka, ia dapat menghasilkan dan mengirim e-mail ke alamat e-mail yang telah dikonfigurasikan sebelumnya. Jika file dibuka, e-mail yang dihasilkan tidak terlihat oleh pembuka file. E-mail yang dikirim juga memuat metadata lainnya seperti alamat IP pembuka dan token spesifik yang digunakan CanaryToken. Hal itu menyediakan data yang memadai bagi tim SOC untuk melakukan penyelidikan lebih lanjut.
Berbasis Cloud: Jenis terakhir ini adalah bidang yang sedang berkembang. Untuk memahami aktivitas berbahaya dalam beban kerja cloud, saya merekomendasikan honey baits berikut ini di seluruh portofolio layanan AWS seperti SpaceCrab, HoneyBuckets, HoneyLambda, atau CanaryTokensDocker. Sementara honeypots merupakan teknologi yang relatif lama (baca lebih lanjut dalam tulisan C.Stoll berjudul 'The Cuckoos Egg: Tracking a spy through the maze of espionage’/‘Melacak mata-mata melalui labirin spionase'). Memilih salah satu, atau beberapa campuran dari set peralatan berbiaya rendah yang mudah dikonfigurasikan ini, akan menambahkan dimensi ekstra terhadap kapabilitas monitoring security dan terbukti sangat bermanfaat bagi para defender untuk lebih memahami risiko dan kemungkinan serangan langsung. Dalam konteks seperti ini, honeypots memang memiliki prospek yang sangat manis.