Контроль утечек конфиденциальных документов в сеть.

Представим себе, что есть какаято организация. И ктото взломал ее и стащил документы. Если они будут опубликованы, то это даже плюс — в организации хотя бы узнают о взломе и смогут принять меры. Иначе у атакующих есть шанс хорошенько закрепиться и иметь доступ ко всей информации на протяжении многих лет.

Конечно, системы мониторинга, ханипоты и, может быть, даже системы DLP могут помочь выявить факт взлома. Но все это не самые простые и дешевые решения, да и эффективность под сомнением.

На последнем Black Hat Las Vegas был представлен интересный проект Canarytokens, который может элегантно решить проблему. Идея проекта очень проста: мы создаем поддельные «значимые» ресурсы (письма, документы, домены и так далее) и делаем так, чтобы при открытии любого из них атакующим на внешний ресурс отправлялся запрос со специальным токеном. Как только токен приходит, мы узнаем, что кто-то открыл документ, а значит, у нас утечка. Простейший вариант: создать вордовский документ с интересным названием типа passwords.doc с картинкой, вставленной с внешнего сайта.

Canarytokens предлагает несколько мест, куда можно подсунуть токен. Это не только всякие документы, но и кое-что более интересное. Например, можно сделать так, что ты будешь получать оповещение при обращении к определенной таблице в базе данных. Это дает шанс на раннем этапе отловить эксплуатацию SQLi.

Конечно, супер универсальное средство, заблокировать «отстук» на сетевом уровне — не проблема. С другой стороны, кто этого ожидает? А трудозатраты на то, чтобы раскидать тут и там интересности, малы.

Можно как провернуть всю схему через сайт Canarytokens, так и развернуть «систему оповещения» у себя — есть готовый контейнер Docker.

Click to rate this post!
[Total: 6 Average: 4.2]

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

2 comments On Контроль утечек конфиденциальных документов в сеть.

Leave a reply:

Your email address will not be published.