Canary, de next-gen Honeypot

Daan
March 5, 2021

De Canary Hacker Alert: een betrouwbare honeypot van hoge kwaliteit die binnen enkele minuten kan worden geïmplementeerd.


Hoe kun je binnen enkele minuten een device op je netwerk inzetten dat waardevolle doelen nabootst; een device waar externe aanvallers en zelfs kwaadwillende insiders hun hand naar uitreiken en hun aanwezigheid mee onthullen door het simpelweg aan te raken? Met vrijwel geen doorlopende administratie-overhead?

Dat kan met de Canary Hacker Alert. Maar wat is het precies? En hoe werkt het? In deze blog leggen we het uit.

De Canary

‘Canaries’ in cybersecurity verwijzen vaak naar het concept van de kanarie in een kolenmijn. Deze vogels gaven hier namelijk een vroeg waarschuwingssignaal wanneer er gevaar dreigde. Als de kanaries in de mijn stierven, dan was dat een aanwijzing dat de mijnwerkers onmiddellijk moesten vertrekken. Deze kanaries waren immers een stuk gevoeliger voor gevaarlijke gassen dan mensen. Dit concept van vroege detectie weerspiegelt dat van een Canary.

Een Canary is een fysiek of virtueel apparaat (denk aan hardware, VMWare Images, AWS AMI's or GCP machines) dat in staat is om bijna elk type apparaat in elke configuratie na te bootsen. Door zich bewust enigszins kwetsbaar op te stellen, werkt het op dezelfde manier als een honeypot. Canaries zijn ontworpen om de admin-gebruiker(s) te waarschuwen voor indringers en om de tijd te verkorten die nodig is om een ​​inbreuk te identificeren.

Canaries kunnen zich voordoen als Windows-bestandsservers, een Cisco-switch, Linux-webservers, NAS, werkstations en nog veel meer. Deze Canaries zitten dus in jouw netwerk net als een kanarie in een kolenmijn. Als een indringer zich op jouw netwerk bevindt, triggert de aanvaller, zodra hij contact heeft met de Canary, een waarschuwing via e-mail, sms-berichten, of bijvoorbeeld via de integratie via andere systemen zoals SIEM en Syslog.

Naast de Canary Devices zijn er de Canary Tokens. Deze tokens dienen als tripwires die vele vormen aan kunnen nemen en die je op honderden plekken kunt laten vallen. Denk aan het strategische geplaatste pdf-document genaamd ‘contactgegevens medewerkers’ waar onze eigen nieuwsgierige marketeer een waarschuwing mee activeerde. Deze tokens zijn te configureren als Word- en Excel documenten, API-sleutels, AWS-sleutels, afbeeldingen, URL’s en nog veel meer. Ook kan je een eigen document voorzien van een Token. Als een aanvaller een Canary Token-document opent, één van de tokenreferenties of API-sleutels gebruikt, of de Canary-URL bezoekt, wordt automatisch een waarschuwing geactiveerd.

Waarom een Canary?

Tijdsbesparing

Het voorkomen van inbreuken en indringers is een topprioriteit van cybersecurity professionals. Organisaties doen er echter vaak lang over om een inbreuk te detecteren. En hoe langer het duurt om de inbreuk te identificeren, hoe hoger de kosten van herstel en hoe groter het verlies. De Canary Hacker Alert verhoogt de detectie van kwaadwillende actoren in jouw netwerkomgeving aanzienlijk.

Bijna geen false positives

Zodra de Canaries in jouw netwerk zijn geconfigureerd en geïmplementeerd, is alles wat je moet doen; wachten. Jouw Canaries draaien namelijk op de achtergrond, wachtend op indringers. De Canaries proberen hiermee niet al jouw tijd in beslag te nemen of jouw energie op te zuigen. Zet je Canaries daarom in en vergeet ze. Ze zullen zwijgen totdat je ze het meest nodig hebt, met alleen een waarschuwing als het er toe doet!

Extreem gebruiksvriendelijk

Je hebt geen diepzinnige IT of cybersecurity kennis nodig voor de implementatie van de Canary, noch zeeën van tijd. Het opzetten kost namelijk enkele minuten. Dan staat jouw Canary online en is er geen onderhoud of toezicht meer nodig.

Inzicht binnen (VLAN) segmenten

Het is lastig en tijdrovend om duidelijk inzicht binnen jouw (VLAN) segmenten te krijgen.
Hackers hebben tegenwoordig meer tijd en geduld, en kunnen al wekenlang in een van jouw netwerksegmenten verstopt zitten. Als zij bijvoorbeeld via een slecht beveiligde printer zijn binnengekomen en zich niet buiten dat segment begeven, is het verschrikkelijk moeilijk om hen te ontdekken. De Canary brengt hier verandering in. Plaats Canaries in de segmenten die je wil bewaken. De hacker zal voorzichtig beginnen door eerst het binnengedrongen segment te besnuffelen, waaronder de aantrekkelijke Canary. Dit is genoeg om jou te waarschuwen van de aanwezigheid van de hacker.

Hoe werkt een Canary?

Allereerst installeer je de virtuele Canary, ook wel V-Bird genoemd. Dit kan onder meer ‘on-premise’ in jouw VLAN netwerk. Canary draait op Virtual Hyper-V en VMWare (ESXi). De Canary wordt daarnaast ondersteund door cloudomgevingen zoals Azure, AWS EC2 (Amazon Web Services) en GCP (Google Cloud Platform).

Via een centraal dashboard beheer en monitor jij nu jouw nieuwe diertje. Je vindt hier de status van jouw Canary (of Canaries) en de historie van alle alerts.

Nu plaats je de Canary op de strategische plek in jouw netwerk, extranet of cloudomgeving. Groupsecure kan advies bieden over de meest effectieve locaties waar een Canary in te zetten is, zodat je gerust kan zijn over de gevoelige en waardevolle data van jouw bedrijf.

Via het dashboard kan je de Canary configureren als een aantrekkelijk device, bijvoorbeeld als een NAS die op ietwat verouderde firmware draait. In onderstaande afbeelding worden een aantal opties weergegeven voor de Canary configuratie, en de lijst is nog langer.

Mocht er ooit een hacker het bewaakte segment binnendringen, dan zal hij ongetwijfeld geïnteresseerd raken in jouw Canary. Hij is gewoonweg te aantrekkelijk. Een slimme hacker zal eerst voorzichtig gaan snuffelen. En er daarna via fingerprinting proberen achter te komen of het daadwerkelijk een NAS met verouderde firmware is. De Canary is hierop voorbereid, en geeft de bevestiging: ik ben een inderdaad een NAS! De hacker zal dan een poging doen om in te loggen op de NAS.

De Canary slaat direct alarm via de door jouw gekozen systemen; smartphone, PC, of via andere monitoring-systemen die je al in gebruik hebt. De Canary is moeiteloos in te passen in complexe netwerken met bestaande monitoring-systemen en logging-oplossingen, waaronder SIEM en Syslog. In de alert is af te lezen via welk IP-adres de hacker opereert, welke credentials hij gebruikt heeft bij een inlogpoging, of welke files hij wellicht heeft geprobeerd te downloaden.

Ook een Canary?

GroupSecure helpt jou graag met concreet advies over waar en op welke manier een Canary geplaatst kan worden, en zo passend voor jouw netwerk is. Ook kunnen we jou helpen met het opzetten van de rapportages en het configureren van incidentmeldingen.

De Canary past goed bij onze filosofie; eenvoud en veiligheid die hand in hand gaan. We leveren graag een bijdrage aan jouw netwerkbeveiliging, met als belofte van ons: een positieve gebruikerservaring voor security professionals.

Abonneer op onze nieuwsbrief
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Klaar om jouw cybersecurity naar een hoger niveau te tillen?

Let's get started!