Detecting presence of threat actors with honey tokens

Abstract

Nykyaikainen yhteiskunta on aiempaa enemmän riippuvainen tietokoneista ja tietoverkoista. Samalla myös kyberturvallisuuspoikkeamia ja tietovuotoja tapahtuu aiempaa enemmän. Niiden estämiseksi tarvitaan tiukempaa tietoturvan tasoa ja parempia menetelmiä. Yhteiskunnan kriittiset palvelut, kuten esimerkiksi pankit, sairaalat, teleoperaattorit ja voimalaitokset ovat kaikki mahdollisia kyberhyökkäyksen kohteita. Niitä voitaisiin häiritä tai pahimmassa tapauksessa estää niiden toiminta, joten infrastruktuuri pitää koventaa niin, ettei sen hakkerointi olisi mahdollista. Mutta selllaisia tietoturvahaavoja (nollapäivähaavat) vastaan ei voi puolustautua, joiden ei tiedetä olevan olemassa. Hyökkäyksen jo tapahduttua voidaan se kuitenkin havaita käyttämällä ns. hunajatokeneita, joista tulevaan automaattiseen hälytykseen ajoissa reagoimalla voidaan estää hyökkäyksen eteneminen, ennen kuin suurempaa vahinkoa on ehtinyt syntyä. Hunajatokeneiden käyttöä helpottamaan voidaan käyttää ohjelmistokehystä (engl. framework), joka automatisoi tokenien luomisen ja asennuksen, sekä hälytysmekanismin asennuksen. Tämä työ keskittyy analy soimaan olemassaolevia hunajatokeniohjelmistoja. Hypoteettisen ohjelmistokehyksen toteutuksesta on kerrottu yleisellä tasolla. Hunajatokeniohjelmistokehys suunnitellaan käyttämällä jo olemassaolevia keksintöjä, tutkimusta ja käytännön toteutuksia. Hunajatokenin elämänkaarta (luonti, asennus, laukaisu, hälytys) analysoidaan. Ongelmia, haasteita ja mahdollisuuksia pohditaan elämänkaaren eri vaiheissa.

The modern society is becoming increasingly reliant on networked computer infrastructure. At the same time, cyber security incidents are happening more frequently than before. This necessitates higher levels of security and more effective countermeasures. For example, critical services, such as banks, hospitals, telecommunication service providers, and power plants, can all be potentially disrupted and shut down by a cyberattack. This infrastructure must be hardened against hacking attempts. But no amount of hardening can protect against unknown (zero-day) vulnerabilities. As a last line of defense, so called “honey tokens” can be used to detect an attack and send an automated alert. This would allow defenders to stop the attack before it has spread too far. To make use of different kinds of honey tokens easy and convenient, a framework could be set up to automate the creation, deployment, and alerting setup of the tokens. This thesis focuses on analyzing existing honey token frameworks. A hypothetical implementation is summarized only in general terms. A honey token framework is designed by building on existing ideas, research and practical implementations. The life cycle of a honey token (creation, deployment, triggering and alerting) is analyzed. Problems, solutions and related challenges are considered for each step.