24/7 incident noodnummer:
+31 (0) 800 0699

Honeytokens

Simpel, bijna gratis en zeer effectief

Honeytokens zijn objecten of data die als digitale lokazen fungeren om aanvallers uit te lokken om deze te benaderen (opvragen, kopiëren, gebruiken etc). In essentie zijn het verleidelijke nep gegevens, bestanden of inloggegevens die bewust worden verspreid binnen een netwerk maar niet van echte waarde zijn voor de aanvallers. Zodra een aanvaller een van deze honeytokens benaderd krijgt ons security team een melding en gaan we op onderzoek uit.

Waarom honeytokens?
Contact
Nerium streeft ernaar om aanvallers zo vroeg mogelijk te detecteren in de stadiums van een aanval (cyber kill chain). Daarom implementeert Nerium meerdere maatwerk detecties op verschillende digitale lagen. Maar geen elke detectie is waterdicht en 100% veiligheid bestaat niet. Doorfactoren zoals een groot scala aan IT-systemen, versleuteld netwerk verkeer ofte weinig zichtbaarheid kan het uitdagend zijn om maatwerk detecties te schrijven.

Honeytokens zijn punt oplossingen die makkelijk te implementeren en te monitoren zijn gezien het een simpel object of set aan gegevens zijn. Neppe login gegevens zijn makkelijk ergens geplaatst en gemonitord, een detectie regel maken over verschillende manieren van misbruik van een van de accounts is uitdagender.

Voordelen? Bijna geen kosten aan verbonden, makkelijk te implementeren, moeilijk te herkennen voor een aanvaller, hoge pakkans.
Contact
Hoe ziet dat er nu uit in de praktijk?
Dit zijn een van de simpele voorbeelden, we willen natuurlijk niet alles op onze website zetten als aanvallers meelezen.
Logingegevens
Gebruikersnaam en wachtwoordgeplaatst op een SharePoint pagina of in broncode.
Nerium monitort of deze gegevens ergens voorworden gebruikt.
VIP email account
Een emailadres van een zogenaamd belangrijk persoon welke terug te vinden is in interne documenten.
Nerium monitort inkomend email verkeer op dit account.
Geheim project data
Een folder en bestanden op een openshare over een zogenaamd geheim project.
Nerium monitort of deze gegevens aangeraaktworden.
Hoe pakt Nerium dit aan?

1. Aanmaken van de honeytoken

Password.txt met neppe login op een open SharePoint pagina.

2. Het schrijven van een detectie

Met een specifiekedetectie gemaakt voor deze honeytoken houden we deze inloggegevens in de gaten.

3. Onderzoeken bij een melding

We onderzoeken elkemelding, wanneer het om een echte aanvaller gaat dan starten we ons incidentresponse proces.

4. 24/7 ingrijpen wanneer nodig

Bij een actieve aanvalkunnen we de aanvaller stoppen voordat de data gestolen of versleuteld is.

Hulp nodig of meer weten over honeytokens?

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Canary tokens vs honeytokens?

Antwoord

Wat zijn honeypots dan?

Antwoord

Nog een andere vraag

After the implementation phase is completed, Nerium will collaborate with your team to conduct a threat modeling exercise. During this exercise, we will identify the risks that are specifically related to your organisation. Subsequently, we will create custom use-cases to monitor these risks.