组织可以使用蜂窝令牌收集攻击者的情报,有时也称为蜂蜜陷阱或 蜂蜜罐。蜂窝令牌是虚假或虚拟资源,可以放置在网络或系统中,以吸引攻击者的注意。它们可以是应用程序、数据集或完整的系统,它们被放置在网络中以分散网络罪犯的注意力。
此外,蜂窝令牌包含数字信息,使组织能够监控数据窃取和篡改。
组织可以使用的蜂窝令牌类型包括:
创建虚假电子邮件地址: 电子邮件是网络罪犯的一种流行攻击媒介,网络罪犯利用该媒介发起包含恶意附件和虚假网站链接的网络钓鱼攻击。企业可以通过创建虚假电子邮件地址来利用这一点,这些电子邮件地址使用编造名称,而这些电子邮件地址位于邮件服务器或公共 Web 服务器的明显位置。不应使用虚假电子邮件地址,但可以部署来吸引攻击者的网络钓鱼或垃圾邮件。任何到达虚假电子邮件地址的消息只能通过未经授权的访问组织的电子邮件地址列表、邮件服务器或 Web 服务器而发出。这些信息让组织能够深入了解攻击者如何针对他们以及他们使用的网络钓鱼攻击方法。
删除虚假数据库数据: 另一种流行的技术是将虚假数据,例如虚假记录或内容,插入现有数据库中。目的是诱使攻击者窃取虚假数据,或鼓励恶意内部人员泄露这些数据。该技术为组织提供了有关攻击者如何访问企业系统并利用其网络弱点的有用信息。
部署虚假可执行文件: 虚假 .exe 文件作为应用程序或软件程序呈现,当攻击者运行时激活“电话主页”交换机。组织接收有关攻击者的信息,例如其互联网协议 (IP) 地址和系统详细信息,通常称为“黑客入侵”。这种方法还可能对攻击者的系统造成损害,并违反网络安全和隐私法规。
嵌入 Web 信标: Web 信标包含一个指向嵌入到文件中的对象的互联网链接,该链接足够小,无法被发现。当攻击者打开包含信标的文件时,创建信标的组织会收到计算机系统及其互联网位置的详细信息。与虚假可执行文件方法一样,这种方法依赖于攻击者不针对传出流量或外部端口部署防火墙。
使用浏览器 Cookie: 组织可以设置浏览器 Cookie,作为蜂窝令牌,以避免攻击者通过防火墙阻止其端口的问题。这种方法在依赖人为错误时特别成功,如果攻击者没有清除浏览器缓存来隐藏其位置和在线活动。
设置金丝雀陷阱: 金丝雀陷阱侧重于那些放弃或出售他们不应该的数据的举报者。这种蜂蜜令牌方法使用某种形式的示踪剂或标记,这些示踪剂或标记与举报人共享的数据片段相关联。例如, 屏幕演员协会 利用这项技术揭露了泄露提交供奥斯卡考虑的电影的成员。
放置 AWS 密钥:Amazon Web Services (AWS) 云平台使用数字密钥来解锁其访问管理基础设施。 组织可以将这些密钥放置在不同的位置,例如桌面、GitHub 存储库和文本文件。它们对网络罪犯非常有价值,他们可以使用这些密钥来控制组织的基础设施或访问企业网络。但是,要了解 AWS 密钥将带入组织基础设施的距离,攻击者必须对其进行测试。这些密钥内置了日志记录机制,这意味着组织可以将它们用作蜂窝令牌来分析、监控和记录攻击者行为。