Afgelopen herfst zorgde het schandaal rondom het aftreden van Tory MP, Brooks Newmark, voor controverse over het gebruik van sociale media. De ongelukkige Mr Newmark, die dacht dat hij met een 21-jarige Sophie over Twitter aan het praten was, was in feite het delen van onzedelijke beelden met een mannelijke Sunday Mirror reporter.

Was hij een slachtoffer van gevangenschap of een kerel die betrapt werd op een domme manier? De jury is daar nog steeds mee bezig. Maar één ding is zeker: sociale media worden nu op verschillende manieren gebruikt.

Neem bijvoorbeeld informatiebeveiliging. Veel bedrijven controleren de netwerkactiviteit en scannen e-mails op schadelijke bijlagen. Maar aanvallen blijven door het net glijden, waarbij phishing-e-mails een van de meest voorkomende aanvalsmethoden zijn.

Phishing-zwendel lokt gebruikers naar een verdachte link of opent een bestand met een onduidelijke naam dat in een e-mail is verzonden. De gebruiker doet wat de aanvaller hoopte, opent de e-mail of klikt op de link en de kill-keten begint, waardoor een achterdeur in het bedrijfsnetwerk ontstaat. Voila, de aanvaller heeft nu toegang tot het interne netwerk en kan beginnen met het escaleren van toegangsrechten om tot zeer gevoelige gegevens te komen.

Omgekeerde psychologie

Maar wat gebeurt er als je de psychologie van deze aanval omdraait? Nu is het e-mailaccount opzettelijk gemaakt en ingesteld op uw domein, uitsluitend voor het controleren van aanvallers. De e-mail 'gebruiker' is een valse entiteit en u weet dat elke communicatie naar dat e-mailadres moet worden beschouwd als ongewenste e-mail of als een kwaadwillende aanval. In plaats van gecompromitteerd te worden, hebt u nu een malware-steekproef vastgelegd en kunt u onmiddellijk op zoek gaan naar andere exemplaren van soortgelijke inhoud die naar anderen in uw bedrijf wordt verzonden. Uw incidentdetectie- en reactiepositie verbetert enorm.

Door valse e-mailaccounts te gebruiken, is het mogelijk om een ​​bron van DIY-dreigingsinformatie te maken die in realtime kan controleren op verdachte e-mails. Maar we moeten de e-mailgebruiker een overtuigende identiteit geven die de hacker zal aanspreken.

De meeste gerichte aanvallen beginnen met een speer-phishingaanval. Dergelijke aanvallen bevatten een variërende kwaliteit van onderzoek en profilering, in dienst van de aanvaller om geschikte kandidaten te vinden om zich binnen de organisatie te richten. Facebook, Google, LinkedIn en andere media worden voor informatie gesurft en misschien wordt zelfs een beetje social engineering toegepast, waarbij de aanvaller snapt of zelfs de receptioniste belt om te bepalen welke werknemers het waard zijn om te richten. (Daarom moet u administratieve medewerkers opdragen nooit namen of contactgegevens bekend te maken).

Door sociale netwerken handmatig te seeden met regelmatig bijgewerkte profielen, is het mogelijk om onze valse personeelsleden een echte identiteit te geven. Met deze techniek kunnen we maken wat in beveiligingskringen bekend staat als 'honone'. Het idee is gebaseerd op een concept dat voor het eerst werd bedacht door Clifford Stoll in de vroege jaren 1980 en gedocumenteerd in 'The Cuckoo's Egg'. Stoll was de eerste die het hacken betrapte en documenteerde, wat leidde tot de veroordeling van hacker Markus Hess, een KGB-spion die de Amerikaanse militaire intelligentie steelde.

  • Hoe het landschap met beveiligingsdreigingen zich aan het voltrekken is voor 2015

Sappig aas

Denk bij het maken van een honingsessie aan inhoud die aantrekkelijk is voor de aanvaller. Wat doe jij? Welke intellectuele eigendom heb je? Hoe zit het met de niet-vrijgegeven bedrijfsprestatiegegevens? Klant databases? Creditcardgegevens? Maak die valse rollen relevant voor de inhoud. Nieuwe starters zijn perfect kanonnenvlees voor een spear phishing-campagne, omdat ze niet bekend zijn met interne processen, waarschijnlijk nog geen veiligheidsinducties hebben gehad en nerveus zijn om iets te zeggen of te worden ontslagen als ze iets raars doen op hun bureaublad.

Medewerkers met toegang tot andere bronnen, mogelijk met verhoogde privileges, maar die misschien niet verdacht zijn of zich bewust zijn van aanvallen, maken ook ideale valse identiteiten. Hoe meer echte connecties ze hebben, hoe plaseribeler ze zijn als echte mensen. Daarom is het waarschijnlijker dat ze de ontvangers zijn van gerichte malware en des te nuttiger de bedreigingsinformatie die we ontvangen.

Het bijhouden van verschillende sociale-mediaprofielen en het laten lijken van echte profielen kan een belasting zijn. Twitter-bots zouden de ideale manier zijn om hun Twitter-profielen te vullen met inhoud die vers lijkt, maar het is altijd een risico: als het te geautomatiseerd is, wordt het duidelijk dat het profiel nep is.

Dus dat is waar een interessant artikel dat vorig jaar verscheen, kan helpen. De auteurs van een algoritme genoemd Bot of niet? hebben een tool vrijgegeven die probeert vast te stellen of een Twitter-handle echt is. Door de tool te gebruiken om uit te werken of de botcontent die we gebruiken om een ​​profiel te vullen, detecteerbaar is of niet, kunnen we bepalen of het voor een bonafide medewerker doorgaat.

Publieke dienst

Met deze honingynet wordt het dan mogelijk om te controleren op vergelijkbare patronen in maillogs. Het is zelfs mogelijk om de malware reverse-engineeren en erachter te komen waar de verbinding naar teruggaat. Vraag een voorbeeld- en bestemmings-IP-adres op en upload het naar een site zoals VirusTotal of iets dergelijks en u kunt net voorkomen dat iemand anders ook in gevaar komt.

Dus is sociale media verstrikt ethisch? Ik denk dat dat afhangt van het motief en wat de façade van plan is te bewijzen. Als het honingynet een aanval op het bedrijf voorkomt, een mogelijke uitbuiting publiek maakt en hackers schrikt, lijkt het me ethisch en raadzaam. En ik ben er vrij zeker van dat Clifford Stoll het goed zou keuren.

  • Ken Munro is Senior Partner bij Pen Test Partners LLP