Представим себе, что есть какая-то организация. И кто-то взломал ее и стащил документы. Если они будут опубликованы, то это даже плюс — в организации хотя бы узнают о взломе и смогут принять меры. Иначе у атакующих есть шанс хорошенько закрепиться и иметь доступ ко всей информации на протяжении многих лет.
Конечно, системы мониторинга, ханипоты и, может быть, даже системы DLP могут помочь выявить факт взлома. Но все это не самые простые и дешевые решения, да и эффективность под сомнением.
На последнем Black Hat Las Vegas был представлен интересный проект Canarytokens, который может элегантно решить проблему. Идея проекта очень проста: мы создаем поддельные «значимые» ресурсы (письма, документы, домены и так далее) и делаем так, чтобы при открытии любого из них атакующим на внешний ресурс отправлялся запрос со специальным токеном. Как только токен приходит, мы узнаем, что кто-то открыл документ, а значит, у нас утечка. Простейший вариант: создать вордовский документ с интересным названием типа passwords.doc с картинкой, вставленной с внешнего сайта.
Canarytokens предлагает несколько мест, куда можно подсунуть токен. Это не только всякие документы, но и кое-что более интересное. Например, можно сделать так, что ты будешь получать оповещение при обращении к определенной таблице в базе данных. Это дает шанс на раннем этапе отловить эксплуатацию SQLi.
Конечно, суперуниверсальное средство, заблокировать «отстук» на сетевом уровне — не проблема. С другой стороны, кто этого ожидает? А трудозатраты на то, чтобы раскидать тут и там интересности, малы.
Можно как провернуть всю схему через сайт Canarytokens, так и развернуть «систему оповещения» у себя — есть готовый контейнер Docker.