>
Июль 2017
Пн Вт Ср Чт Пт Сб Вс
« Май    
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Контроль утечек конфиденциальных документов в сеть.

Представим себе, что есть какаято организация. И ктото взломал ее и стащил документы. Если они будут опубликованы, то это даже плюс — в организации хотя бы узнают о взломе и смогут принять меры. Иначе у атакующих есть шанс хорошенько закрепиться и иметь доступ ко всей информации на протяжении многих лет.

Конечно, системы мониторинга, ханипоты и, может быть, даже системы DLP могут помочь выявить факт взлома. Но все это не самые простые и дешевые решения, да и эффективность под сомнением.

На последнем Black Hat Las Vegas был представлен интересный проект Canarytokens, который может элегантно решить проблему. Идея проекта очень проста: мы создаем поддельные «значимые» ресурсы (письма, документы, домены и так далее) и делаем так, чтобы при открытии любого из них атакующим на внешний ресурс отправлялся запрос со специальным токеном. Как только токен приходит, мы узнаем, что кто-то открыл документ, а значит, у нас утечка. Простейший вариант: создать вордовский документ с интересным названием типа passwords.doc с картинкой, вставленной с внешнего сайта.

Canarytokens предлагает несколько мест, куда можно подсунуть токен. Это не только всякие документы, но и кое-что более интересное. Например, можно сделать так, что ты будешь получать оповещение при обращении к определенной таблице в базе данных. Это дает шанс на раннем этапе отловить эксплуатацию SQLi.

Конечно, супер универсальное средство, заблокировать «отстук» на сетевом уровне — не проблема. С другой стороны, кто этого ожидает? А трудозатраты на то, чтобы раскидать тут и там интересности, малы.

Можно как провернуть всю схему через сайт Canarytokens, так и развернуть «систему оповещения» у себя — есть готовый контейнер Docker.

Share Button
[Всего голосов: 5    Средний: 4/5]

Вам может быть интересно также:

Last updated by at .

1 comment to Контроль утечек конфиденциальных документов в сеть.

Leave a Reply

You can use these HTML tags

<a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">