Canary – ловушка для хакеров и инсайдеров

Позволяет узнать о внешних и внутренних угрозах
#Хочу вычислить инсайдера #Хочу знать об угрозе до атаки #Забрасывать проблему деньгами – не мой подход #Поток сообщений от различных систем увеличивает риск пропустить важное #Человеческий фактор – самое слабое звено в защите

Простое и доступное решение – Сanary #КанарейкаРешает

Canary
Почему Canary
Обнаруживает злоумышленников до того, как они достигнут цели
#КанарейкаРешает


Настройка всего за 3 минуты
#КанарейкаРешает

Отсутствие накладных расходов на персонал и инфраструктуру
#КанарейкаРешает

Количество ложных срабатываний близко к нулю
#КанарейкаРешает

Сообщения удобным способом и только когда это нужно
#КанарейкаРешает

Физическое, облачное или виртуальное развертывание
#КанарейкаРешает
Как это работает
Все очень просто!
Шаг 1
Заказать, настроить и развернуть Canary в своей сети. Это могут быть аппаратные, виртуальные или облачные «птички». Они могут выглядеть для злоумышленника как типичные сетевые машины или наоборот как обычный привлекающий внимание сервер. Сделайте одну файловым сервером Windows, вторую - маршрутизатором, еще несколько - Linux-машинами с веб-сервисами или, например, с git-сервером.

#КанарейкаРешает
Шаг 2
Настраиваем способ уведомлений и ждем. «Канарейки» тихо работают, ожидая вторжения.

#КанарейкаРешает
Шаг 3
Когда злоумышленники начнут изучать вашу сеть, они наткнутся на «канареек». Пытаясь получить от них информацию, они выдадут информацию о себе (IP-адрес или даже пароль пользователя, который они получили ранее). Canary тут же сообщит вам об инциденте с этой информацией.

#КанарейкаРешает
Пользовательская консоль

Каждый пользователь получает собственную консоль управления, которая позволяет настраивать параметры, управлять своими Canary и просматривать события.

«Канарейки» постоянно отчитываются, показывая события и свой онлайн статус, но это не очередной экран, на который нужно смотреть целый день. Даже пользователи с сотнями Canary на борту получают всего несколько уведомлений в год. Когда происходит инцидент, консоль сама сообщит вам по электронной почте, SMS, через Slack, Telegram и другие мессенджеры, через webhook или через интеграцию с внутренними системами с помощью syslog.

Canary + мессенджеры

Многие пользователи крайне редко заходят в свои консоли после настройки. Вы можете получать уведомления удобным способом и вовремя, и это главное. Все больше пользователей полагаются на получение уведомлений в Slack, Microsoft Teams или Telegram.

Интеграция со Slack, Hipchat или Microsoft Teams настраивается в несколько кликов через пользовательскую консоль. Для Telegram существует специальный бот, через который вы можете настроить интеграцию и моментально получать уведомления.
Canary+Slack
«Заведите» свою птичку
Canary не беспокоит. Canary чирикает раз, но по делу.
Разве это не одна из приманок («Honeypot»), которые давно придуманы?
И да, и нет.

Honeypots – это отличная идея. Многие про нее знают, но почему-то мало кто реально ее запускает их во внутренних сетях. Причина простая: никому не нужна еще одна машина для администрирования, про которую нужно постоянно думать. На практике затраты и усилия по их настройке всегда отодвигают преимущества honeypots на задний план.

Canary все меняет. Ее можно настроить за считанные минуты (даже в сложных сетях), что дает вам все преимущества без недостатков последующего администрирования. Про нее можно буквально забыть, пока она не напомнит о себе именно тогда, когда вам это нужнее всего (угроза в сети).
Расскажите детально о том что нужно, чтобы настроить Canary?
Вам потребуется всего 5 минут для подготовки Canary к работе в сети, включая ее распаковывание (если вы предпочитаете аппаратный вариант).

Устройство имеет порт Ethernet, с помощью которого вы физически подключите его к сети. После этого вы настроите устройство в несколько кликов (выбрав сервисы для эмуляции) и подключите его к своей облачной консоли. Вы всегда можете потратить больше времени на интеграцию с SIEM или другой системой (через syslog или API), но это совершенно не является необходимым для получения уведомлений через электронную почту или Slack.

Как устройства взаимодействуют с консолью? Мне нужно настраивать firewall?
Canary устанавливаются внутри вашей сети и взаимодействуют с консолью через протокол DNS. Это означает, что единственное правило доступа, которое необходимо - доступ к внешнему DNS-серверу с поддержкой запросов. Это обычное правило и, скорее всего, оно у вас работает.
То есть Canary - это сенсоры. Используется ли машинное обучение для обнаружения аномалий?
Нет. Canary не обнаруживает аномалии (при помощи машинного обучения или иным способом), обучаясь распознавать злонамеренное поведение на ежедневной основе. Триггеры очень просты: если кто-то добирается до ваших файлов-приманок или брутфорсит ваш поддельный внутренний ssh-сервер, то у вас уже есть проблема. Canary использует обманчиво простые, но очень качественные маркеры проблем в вашей сети. Быть может в этом меньше «хайпа», но это просто работает
Я же могу сделать это самостоятельно, используя open source проекты?
Конечно всегда можно установить и настроить honeypot самому, но, на практике, мало кто это делает в корпоративной сети. Почему? Есть две причины: большинство проектов имеют ограниченную поддержку протоколов, а это означает, что вам приходится запускать несколько honeypots для нужного охвата протоколов; кроме того, мониторинг и уведомления одновременно по нескольким видам honeypots очень быстро становятся сложными в настройке и поддержке.

Canary устраняет эти проблемы: у нее множество поддерживаемых протоколов, а консоль обеспечивает мониторинг и уведомления без дополнительных усилий.
Что если злоумышленник атакует устройство или компрометирует его?
Количество способов, с котором злоумышленник может взаимодействовать с устройством, очень ограничено и почти все они – приманка. Конечно, не существует абсолютно защищенных устройств и всегда есть вероятность физического доступа. Если устройство выдаст хоть одно оповещение (а оно это скорее всего сделает в момент «контакта»), то ваша консоль запишет его и сразу уведомит об этом. То, что случится с устройством после этого, не имеет значения, поскольку в нем самом вообще не хранится ничего ценного.
Что если злоумышленник идентифицирует устройство как приманку? Не будет ли просто избегать ее?

Идентификация потребует реального взаимодействия с устройством и оно умеет обнаруживать типичные попытки распознавания (fingerprinting), о чем тут же сообщит. Даже если злоумышленник интуитивно поймет, что это приманка, вы уже будете знать о его существовании и попытках распознавать устройства.
Имею ли я какую-то защиту от того, что устройство нарушит работу сети или будет использовано для противоправных действий? И что на счет гарантии на физические устройства?
Canary предоставляется по подписке как сервис. Компания, предоставляющая сервис, несет ответственность согласно законодательства. Для украинских клиентов стороной договора является компания 10Guards. Аппаратное устройство прошло необходимую сертификацию в Украине и включено в Реестр радиоэлектронных средств НКРСИ. Неисправные устройства заменяются на новые без дополнительных затрат для клиента.
Что такое Canary tokens?
Токены - это крошечные "растяжки", которые можно расставить в сотне мест

Поиск подозрительных данных. В прошлом месяце злоумышленник скомпрометировал одного из ваших пользователей, читая чат вашей компании.

С тех пор Canary ищет ключевые слова и подозрительные данные. Вы были бы в курсе?

Позволяет быть на шаг впереди. Ваш ведущий разработчик стал мишенью и был скомпрометирован в местном Starbucks.

Вы бы заметили?

Работоспособность, которую легко проверить. Проведите эксперимент. Оставьте наши поддельные ключи AWS-API на каждом корпоративном ноутбуке. Злоумышленникам, компрометирующим ваших пользователей, придется их использовать. И как только они это сделают, выдадут себя.

География продукта
Canary создала команда Thinkst, за плечами которой многолетний опыт в исследованиях кибербезопасности. Они отлично знают, что работает, что нет, и как огромные ресурсы тратятся компаниями на защиту, не достигающую целей.

Thinkst назвали свои устройства в честь канареек, которые спасали шахтёров от отравления ядовитым газом метаном. Когда-то шахтеры не спускались в шахты без клетки с этой замечательной птицей, чувствительной к метану, и если она начинала себя беспокойно вести или же падала замертво, то тут же спешили выйти наружу.

Физические, виртуальные и облачные Canary присутствуют на всех 7 континентах. Они используются как в сетях миллиардных компаний Силиконовой долины, так и агентств ядерных исследований, от университетов Австралии до парков развлечений в США.

В Украине Canary представляет компания 10Guards.

Признание клиентов
I have to give a shout out to @ThinkstCanary for being awesome. They not only have a great product but also great people behind it.
Joe Parker
Their on-prem canary is one of the only things that caught me right away in post-exploitation without my knowing I was burned. Solid concept and product.
Vlad Ionescu
This why I've been following @ThinkstCanary closely for a while and highly recommend them. Amazing product, developed by some of the most seasoned pros in the industry. Oh, they're pretty cool guys too. ;)
Jeremiah Grossman
Hearing a lot about @ThinkstCanary lately. Have been considering giving them a call for a couple of our projects. We already work with Duo, strong reco to see them side by side from @thegrugq.
Jenn Shaw
«Заведите» свою Canary прямо сейчас!
НАШИ КОНТАКТЫ
Мы в социальных сетях:
Made on
Tilda