Canary – пастка для хакерів та інсайдерів

Дозволяє дізнатися про зовнішні та внутрішні загрози
#Хочу визначити інсайдера #Хочу дізнатися про загрозу до атаки #Засипати проблему грошима – не мій підхід #Безліч повідомлень підвищує ризик пропустити важливе #Людський фактор – найслабша ланка захисту

Просте й доступне рішення – Канарка (Canary)

Canary
Чому Canary
Виявляє зловмисників раніше, ніж вони досягнуть своєї мети
#КанаркаРулить
Налаштування лише за 3 хвилини
#КанаркаРулить
Відсутність додаткових витрат на персонал та інфраструктуру
#КанаркаРулить
Кількість помилкових спрацювань близько нуля
#КанаркаРулить
Повідомляє у зручний спосіб і тільки коли це потрібно
#КанаркаРулить
Фізичне, хмарне та віртуальне розгортання
#КанаркаРулить
Як це працює
Все дуже просто!
Крок 1
Замовити, налаштувати і розгорнути Canary у своїй мережі. Це можуть бути апаратні, віртуальні або хмарні «пташки». Вони можуть виглядати для зловмисника як типові мережеві машини або навпаки як звичайний сервер, що привертає увагу. Зробіть одну файловим сервером Windows, другу - маршрутизатором, ще кілька - Linux-машинами з веб-сервісами або, наприклад, з git-сервером.

#КанаркаРулить
Крок 2
Налаштовуємо спосіб повідомлень і чекаємо. «Канарки» тихо працюють і чекають на вторгнення.

#КанаркаРулить
Крок 3
Коли зловмисники почнуть вивчати вашу мережу, вони натраплять на «канарок». Намагаючись отримати від них інформацію, вони видадуть інформацію про себе (IP-адресу або навіть пароль користувача, який отримали раніше). Canary одразу повідомить вас про інцидент з цією інформацією

#КанаркаРулить
Консоль користувача

Кожен користувач отримує власну консоль управління, яка дозволяє налаштовувати параметри, управляти своїми Canary та переглядати події.

Канарки постійно звітують, тобто показують події та свій онлайн статус, проте це не черговий екран, на який потрібно дивитися цілий день. Навіть користувачі із сотнями Canary на борту отримують лише кілька повідомлень на рік. Коли відбувається інцидент, консоль сама повідомить вас електронною пошті, SMS, через Slack, Telegram та інші месенджери, через webhook або через інтеграцію з внутрішніми системами за допомогою syslog.

Canary + месенджери

Багато користувачів вкрай рідко заходять у свої консолі після налаштувань. Ви можете отримувати повідомлення у зручний спосіб та вчасно. І це головне. Все більше користувачів надають перевагу отриманню повідомлень у Slack, Microsoft Teams або Telegram.

Інтеграція зі Slack, Hipchat або Microsoft Teams відбувається за кілька кліків через консоль користувача. Для Telegram існує спеціальний бот, за допомогою якого ви можете налаштувати інтеграцію і миттєво отримувати повідомлення.
Canary+Slack
«Заведіть» свою пташку
Canary не турбує. Canary цвірінькає раз,
але вчасно
Хіба це не одна з приманок («Honeypot»), які вже давно використовують?
І так і ні.

Honeypots — це чудова ідея. Багатьом про неї відомо, але чомусь мало хто реально її застосовує у внутрішніх мережах. Причина проста: нікому не потрібна ще одна машина для адміністрування, про яку потрібно постійно думати. На практиці переваги honeypots завжди поступаються витратам і зусиллям з їхнього налаштування.

Canary все змінює. Її можна налаштувати за лічені хвилини (навіть у складних мережах), що надає вам всі переваги без недоліків подальшого адміністрування. Про неї можна дійсно забути, поки вона не нагадає про себе саме тоді, коли вам це точно потрібно (загроза в мережі).
Розкажіть детальніше, що потрібно для налаштування Canary?
Вам знадобиться лише 5 хвилин для підготовки Canary до роботи у мережі, враховуючи час на її розпакування (якщо ви надаєте перевагу апаратному варіанту).

Пристрій має порт Ethernet, за допомогою якого ви фізично підключаєте його до мережі. Після цього ви налаштовуєте пристрій за кілька кліків (обираєте сервіси для емуляції) і під'єднуєте його до своєї хмарної консолі. Ви завжди можете витратити більше часу на інтеграцію з SIEM або іншою системою (через syslog або API), але це не є необхідним для отримання повідомлень електронною поштою або через Slack.
Як пристрої взаємодіють із консоллю? Мені потрібно налаштовувати firewall?
Canary встановлюють всередині вашої мережі і вони взаємодіють із консоллю через протокол DNS. Це означає що єдине правило доступу, яке потрібно — доступ до зовнішнього DNS-сервера з підтримкою запитів. Це просте правило, яке, швидше за все, у вас працює.
Тобто канарки - це сенсори. Чи використовується машинне навчання для виявлення аномалій?
Ні. Canary не може виявити аномалії (з машинним навчанням чи в інший спосіб), навчаючись розпізнавати зловмисну поведінку на щоденній основі. Тригери дуже прості: якщо хтось дістається ваших файлів-приманок або брутфорсить ваш підробний внутрішній SSH-сервер, то у вас є проблема. Canary використовує оманливо прості, але дуже якісні маркери проблем у вашій мережі. Може в цьому менше «хайпа», але це просто працює.
Чи можу я зробити це самостійно, використовуючи open source проекти?
Звісно завжди можна встановити та налаштувати honeypots самостійно, але на практиці мало хто так робить у корпоративній мережі. Чому? Є дві причини: більшість проектів має обмежену підтримку протоколів, а це означає, що вам доведеться встановлювати кілька honeypots для необхідного охоплення протоколів; а моніторинг і повідомлення одночасно по кількох honeypots швидко стають складними у налаштуванні та підтримці.

Canary дає цьому раду: вона має безліч протоколів, що підтримуються, а консоль забезпечує моніторинг і повідомлення без додаткових зусиль.

А якщо зловмисник атакує пристрій або компрометує його?
Кількість способів, як зловмисник може взаємодіяти з пристроєм, дуже обмежена і майже всі вони — приманка. Звісно, не існує абсолютно захищених пристроїв і завжди є ймовірність фізичного доступу. Якщо пристрій видасть хоч одне сповіщення (а він, швидше за все, це зробить в момент «контакту»), ваша консоль запише його і відразу повідомить про це. Не має значення, що трапиться з пристроєм після цього, оскільки у ньому самому взагалі не зберігається нічого цінного.
Що як зловмисники ідентифікують пристрій? Чи не будуть вони просто уникати його?
Ідентифікація вимагає запитів до девайсу, тож ми за допомогою загальних методів розпізнаємо сліди, а потім сповіщаємо. Після цього, навіть якщо зловмисники визначили Канарку, ви вже в курсі, що вони шукають і можуть продовжити розвідку.

Ідентифікація вимагає реальної взаємодії з пристроєм, а він вміє виявляти типові спроби розпізнавання (fingerprinting), про що одразу повідомить. Навіть якщо згодом зловмисник інтуїтивно зрозуміє що це приманка, ви вже будете знати про його існування і спроби розпізнати пристрої.
Чи є якийсь захист від того, що пристрій порушить роботу мережі або його можуть використати для протиправних дій? І що на рахунок гарантії на фізичні пристрої?
Canary надається за підпискою як сервіс. Компанія, що надає сервіс, несе відповідальність згідно законодавства. Для українських клієнтів стороною договору є компанія 10Guards. Апаратний пристрій прошов необхідну сертифікацію в Україні та був включений до Реєстру радіоелектронних засобів НКРЗІ. Несправні пристрої замінюються на нові без додаткових витрат для клієнта.
Що таке Canary tokens
Токени — це крихітні «розтяжки», які можна розставити у безлічі місць

Пошук підозрілих даних
Минулого місяця зловмисник скомпрометував одного з ваших користувачів, читаючи чат вашої компанії.
Відтоді Канарка відстежує ключові слова й підозрілі дані.
А ви в курсі?

Дозволяє бути на крок попереду
Вашого провідного розробника обрано як ціль і скомпрометовано у місцевому Starbucks.
Ви б помітили?

Працездатність, яку легко перевірити
Проведіть експеримент. Залиште наші підроблені ключі AWS-API на кожному корпоративному ноутбуці. Зловмисникам, які компрометують ваших користувачів, доведеться їх використовувати. Щойно вони це зроблять, викриють себе.
Географія продукту
Canary створено командою Thinkst, за плечима якої багаторічний досвід у дослідженнях з кібербезпеки. Вони знають, як ніхто інший, що працює, що ні, і як компанії витрачають величезні ресурси на захист, що не досягає своєї мети.

Thinkst назвали свої пристрої на честь канарок, які рятували шахтарів від отруєння газом метаном. Колись шахтарі навіть не спускалися в шахти без клітки з цією надзвичайною пташкою, яка є чутливою до метану. Тож якщо вона починала поводитись неспокійно або ж непритомніла, шахтарі одразу ж поспішали вийти на поверхню.

Фізичні, віртуальні і хмарні Canary присутні на всіх 7 континентах. Вони використовуються як у мережах мільярдних компаній Силіконової долини, так і агенцій з ядерних досліджень, в університетах Австралії і в компаніях на Середньому Заході США.

В Україні Canary представляє компанія 10Guards.

Визнання клієнтів
I have to give a shout out to @ThinkstCanary for being awesome. They not only have a great product but also great people behind it.
Joe Parker
TW @joesparker
Their on-prem canary is one of the only things that caught me right away in post-exploitation without my knowing I was burned. Solid concept and product.
Vlad Ionescu
TW @ucsenoi
This why I've been following @ThinkstCanary closely for a while and highly recommend them. Amazing product, developed by some of the most seasoned pros in the industry. Oh, they're pretty cool guys too. ;)
Jeremiah Grossman
TW @jeremiahg
Hearing a lot about @ThinkstCanary lately. Have been considering giving them a call for a couple of our projects. We already work with Duo, strong reco to see them side by side from @thegrugq.
Jenn Shaw
TW @JenniferVShaw
«Заведіть» свою Canary прямо зараз!
НАШІ КОНТАКТИ
Ми у соцмережах:
Made on
Tilda