¿Qué es la tecnología del engaño?
Es una categoría de defensas de ciberseguridad sencillo y seguro que localizan amenazas anticipadamente con bajos falsos positivos y un impacto mínimo en el rendimiento de la red. Esta tecnología crea activos que funcionan como ganchos, como pueden ser, dominios, bases de datos, servidores, archivos, credenciales, etc… que se extienden en su red junto a los activos reales para actuar como cebo para los ciberdelincuentes.
Los atacantes que penetran en su red no tienen forma de distinguir lo verdadero de lo falso, así que, en el momento en que interactúan con un cebo, se activan las alarmas, sus sistemas empiezan a recopilar información sobre las acciones y la intención del atacante. A posteriori, esta información, se utilizará para generar alertas que reduzcan el tiempo de permanencia y aceleren la respuesta a los incidentes.
Por mucha defensa perimetral con la que contemos, siempre cabe una posibilidad de infiltrarse en la red. La deception technology evitará pérdidas de tiempo investigando activos, y una vez detectada su presencia, se obtiene un indicador temprano de su comportamiento, del que se puede obtener información para usar contra ellos.
¿Cuáles son las ventajas de la Deception Technology?
En general, la mayor ventaja del engaño es que el éxito en el atacante en lugar del defensor. Una vez que la red esté plagada de trampas, los atacantes necesitan realizar un ataque perfecto, ya que a un mínimo error, pierden.
Estas son las 5 ventajas más significativas.
1. Localización de amenazas
Hay dos extremos:
- La detección basada en firmas, que es muy exacta y precisa, pero que se centra en amenazas concretas
- El análisis de comportamiento, que cubren una amplia variedad de amenazas, pero son propensos a los falsos positivos
Las alertas de engaño son lo mejor de ambos sistemas: alta precisión con amplia cobertura de amenazas.
2. Conciencia sobre los riesgos empresariales
La mayor parte de los controles de seguridad no tienen en cuenta los peligros a los que pueden someter a su empresa. El engaño, sin embargo, se puede alinear intrínsecamente con ellos.
3. Mayor cobertura
Puede detectar amenazas en el perímetro, en los puntos finales, en la red, en el Active Directory y en todas las capas de la aplicación, así como cubrir entornos a menudo descuidados como SCADA/ICS, IoT y la nube.También cubre toda la cadena de muerte, desde el reconocimiento previo al ataque hasta la explotación, el ajuste de privilegios, el movimiento lateral y la pérdida de datos.
4. Muy pocos falsos positivos
Los falsos positivos pueden dejar exhausto a cualquier equipo de seguridad. El engaño produce intrínsecamente muy pocos: nadie, salvo un atacante, debería tener motivos para interactuar con un señuelo. Más allá de eso, las alertas proporcionan contexto acerca de la intención de un atacante.
La tecnología del engaño establece una línea de base de actividad cero (por lo que cualquier actividad justifica la investigación) y proporciona indicadores detallados de compromiso.
5. Respuesta orquestada
La respuesta orquestada/automatizada es más útil cuando el evento desencadenante es 100 % seguro Incluso entonces, estas alertas no suelen necesitar orquestación porque los productos que las generan ya se encargan de la reparación (por ejemplo, la cuarentena del antivirus).
Las alertas de engaño son altamente ciertas y contextuales, por lo que puede orquestar escenarios más complejos (por ejemplo, que las credenciales de engaño redirijan a un entorno de señuelo y se bloqueen en el entorno real) o dirigirse a aplicaciones específicas (por ejemplo, una cuenta que accede a un servidor bancario SWIFT señuelo se bloquea en el servidor SWIFT real).
Desafíos de la tecnología de detección antigua
Las herramientas de detección heredadas, como los cortafuegos y la detección de puntos finales, cada una diseñada para un tipo específico de seguridad (red, aplicación, punto final, dispositivos IoT, etc.), suelen funcionar de forma independiente. Esto plantea varios problemas:
- Alertas de baja fidelidad porque estas herramientas solo pueden ver su división de la infraestructura de seguridad sin contexto.
- Mayor tiempo de investigación, ya que los analistas de seguridad deben alternar entre múltiples herramientas para descubrir la secuencia del ataque y el alcance de los daños.
- Altas tasas de falsos positivos que causan fatiga de alerta
Además, muchas tecnologías de detección existentes son mucho mejores contra el malware que contra los ataques dirigidos por personas, ya sean amenazas externas o internas. Los actores maliciosos avanzados, mucho más sofisticados que los hackers más pequeños, son expertos en imitar los comportamientos de los usuarios legítimos para no ser detectados. Sin embargo, cuando se enfrentan a plataformas de engaño, estos actores quedan al descubierto en cuanto interactúan con un señuelo.
Deception Technology cambia las reglas del juego
Por el contrario, la tecnología de engaño utiliza técnicas de defensa activa para convertir su red en un entorno desfavorable para los atacantes.Al igual que los honeypots, la deception technology actual llena su red con recursos falsos que parecen activos de producción, pero a los que ningún usuario legítimo necesita acceder. Después, aprovecha las alertas basadas en el engaño para detectar actividades maliciosas, generar datos sobre amenazas, detener el movimiento lateral y orquestar la respuesta y la contención de las amenazas, todo ello sin supervisión.
Las plataformas de engaño actuales siguen un modelo de detección proactivo y que origina pocos falsos positivos. Los análisis profundos apuntan al propósito humano detrás de un ataque, se adaptan a las nuevas amenazas antes de que ocurran y ofrecen orquestación y automatización de las acciones de respuesta.
Dado que las defensas mediante el engaño no dependen de firmas , pueden cubrir cualquier vector de ataque y detectar virtualmente cualquier ataque, incluidas las amenazas persistentes avanzadas, las amenazas de día cero, el reconocimiento, el movimiento lateral, los ataques sin archivos, la ingeniería social, los ataques de intermediarios y el ransomware, todo en tiempo real.
Una vez identificado a un atacante en la red, puede manipular el entorno de engaño en tiempo real basándose en su conocimiento del ataque. Algunas de las situaciones son estas:
- Manipular al atacante generando o eliminando activos engañosos.
- Generar tráfico de red, alertas o mensajes de error para fomentar un comportamiento específico de los atacantes.
- Implementar herramientas de secuestro de sesión para nublar o distorsionar la percepción del entorno por parte de los atacantes.
- Crear situaciones que obliguen a un atacante a divulgar información sobre quién es y de dónde proviene para eludir obstáculos percibidos
Casos de uso
Hay tres categorías generales de casos de uso:
- Defensa mediante engaño en el perímetro: por lo general, no es posible supervisar todo el tráfico entrante en busca de posibles amenazas. Configurar activos engañosos orientados al público puede simplificar este problema y proporcionarle información procesable sobre quién se dirige a usted.
- Defensa mediante engaño en la red: dejar cebos en lugares que un atacante podría analizar, pero al que los usuarios legítimos nunca necesitarían acceder, puede identificar un ataque en curso.
- Defensa mediante engaño en puntos finales: los cebos en puntos finales le parecen a un atacante activos valiosos listos para la exfiltración. Supervisar estos activos puede detectar comportamientos sospechosos, así como comportamientos que serían la norma en la red, pero que no tienen lugar legítimo en un punto final en particular en un momento determinado.
¿Necesita tu empresa esta tecnología?
La tecnología de engaño es principalmente útil para organizaciones con funciones de seguridad altamente maduras. Sin embargo, las organizaciones medianas y pequeñas también pueden obtener grandes beneficios de esta tecnología.
Las grandes organizaciones con funciones de seguridad bien desarrolladas utilizan esta tecnología para optimizar sus capacidades de detección de amenazas, creación de inteligencia sobre amenazas internas y respuesta.
Estas organizaciones buscan detectar amenazas más avanzadas con el engaño y aprovechar el reducido número de alertas de falsos positivos para la búsqueda proactiva de amenazas o la respuesta integrada a través de sus tecnologías de cumplimiento existentes.
Defensa activa con el marco MITRE Engage
MITRE Engage es un marco de confianza del sector para discutir y planificar las actividades de compromiso, engaño y negación del adversario basadas en su comportamiento en el mundo real. La matriz de MITRE sirve como guía objetiva y de vanguardia sobre cómo su organización puede desplegar mejor las tácticas de engaño y compromiso del adversario como parte de su estrategia general de seguridad de confianza cero.
Las tecnologías de negación, engaño y compromiso del adversario no sustituyen a sus actuales operaciones de SOC. Estas tecnologías trabajan conjuntamente con sus defensas actuales.