Microsoft создает ханипоты, чтобы заманивать и изучать киберпреступников

На недавней конференции BSides Exeter, Microsoft объявила о разработке инновационных ханипотов, имитирующих реальные тенанты в Azure, с целью привлечения и анализа действий киберпреступников. Эти ловушки помогают собирать важные данные о методах, которые используют хакеры, улучшая защиту от вредоносных операций.

Росс Бевингтон, который возглавляет отдел безопасности в Microsoft и называет себя «руководителем отдела обмана», рассказал о предыдущем опыте компании с использованием интерактивного ханипота на приватной платформе code.microsoft.com. Теперь команда Бевингтона создает сложные симулированные среды с созданными доменами и активностью тысяч учетных записей для привлечения атак.

В рамках своей стратегии, Microsoft активно взаимодействует с фишинговыми сайтами, которые обнаруживает Defender, размещая на них учетные данные ханипотов без двухфакторной аутентификации для увеличения их привлекательности для атак. Когда злоумышленники попадают в ловушку (что происходит в около 5% случаев), система начинает детальное логирование их действий.

Данная система позволяет Microsoft отслеживать IP-адреса, браузеры, местоположение пользователей, их поведение, использование VPN и VPS, а также технические детали фишинговых атак. Компания также применяет методику замедления времени отклика в поддельных учетных записях, что позволяет задерживать хакеров до 30 дней, эффективно тратя их время.

Собранные данные анализируются для установления связей между атаками и финансовыми или государственными структурами, хотя точное соотнесение IP-адресов к известным угрозам возможно только в 10% случаев.