Tecnología de engaño
La tecnología de engaño o Deception Technology, comúnmente conocida como engaño cibernético, es una categoría de herramientas y técnicas de seguridad diseñadas para detectar y desviar el movimiento lateral de un atacante una vez que está dentro de la red. La tecnología de engaño permite a los defensores identificar una amplia variedad de métodos de ataque sin depender de firmas conocidas o coincidencia de patrones.
La tecnología es conocida por emitir alertas confiables porque cualquier interacción con tecnología engañosa es, por definición, "no autorizada". Además de ocultar la superficie de ataque y dificultar que los atacantes miren a su alrededor sin ser detectados, la tecnología de engaño también redirigirá al atacante a un servidor de participación que recopilará información sobre las herramientas, los métodos y los comportamientos del atacante. Las integraciones de terceros se pueden utilizar para automatizar las acciones de respuesta adecuadas, incluido el aislamiento, el bloqueo y la búsqueda de amenazas.
Gartner predice que para 2022, el 25% de todos los proyectos de detección y respuesta de amenazas incluirán características y funciones de engaño.
Crecimiento del mercado de tecnología de engaño
La mayor adopción de la tecnología de engaño ha surgido de la necesidad de una detección de amenazas escalable, en una amplia variedad de superficies de ataque, que incluyen:
- Directorio Activo (Active Directory, AD)
- aplicaciones de software,
- nubes privadas virtuales
- Internet de las cosas (IoT)
- SCADA
- Sistemas de punto de venta (PoS)
Incumplimientos como el incidente de Solar Winds también han sacado a la luz la magnitud de la necesidad de detectar movimientos laterales y escaladas de privilegios.
Las organizaciones de estándares también están adoptando el engaño, con el Instituto Nacional de Estándares y Tecnología (NIST) agregando la tecnología a varias pautas recientes. De manera similar, el marco MITRE ATT&CK ayuda a las organizaciones a comprender cómo el engaño encaja en su pila de seguridad para descarrilar las técnicas y tácticas de ataque, específicamente en torno al descubrimiento, el movimiento lateral, la escalada de privilegios y la recopilación.
Cómo funciona el engaño
Una vez que se pensó que era solo para organizaciones grandes con equipos de seguridad maduros, las plataformas de engaño se han convertido en una solución práctica y efectiva para empresas de todos los tamaños.
Las empresas buscan el engaño cibernético para una protección integral de la superficie de ataque, una detección temprana y una mejor comprensión de sus adversarios. Las plataformas de engaño satisfacen estas necesidades a través de su escalabilidad de implementación, la facilidad de uso para los operadores y la capacidad de trabajar sin problemas con las soluciones de seguridad que ya existen.
A diferencia de las soluciones de gestión de eventos e información de seguridad (SIEM) que utilizan registros de eventos para informar lo que sucedió, el engaño informa de manera proactiva sobre lo que podría suceder. El engaño se basa en técnicas de detección frente a la dependencia de firmas o coincidencia de patrones, lo que también conduce a su eficacia.
La tecnología de engaño alertará sobre las actividades tempranas de descubrimiento, reconocimiento y escalada de privilegios. Los defensores pueden colocar señuelos y espejismos, ocultar activos de producción y desviar a los atacantes con desinformación que descarrilará su ataque. Los señuelos imitan activos de TI genuinos en toda la red y ejecutan un sistema operativo (SO) real o emulado. Los señuelos proporcionan servicios diseñados para engañar al atacante haciéndole creer que ha encontrado un sistema vulnerable. La tecnología también puede reducir la superficie de ataque al encontrar y remediar las credenciales expuestas que crean rutas de ataque.
Tras la interacción del atacante con un activo engañoso, el equipo de seguridad recibirá una alerta de alta fidelidad basada en el nivel de compromiso con la información recopilada sobre el ataque. Al obtener información sobre las herramientas, los métodos y la intención del atacante, el defensor tendrá el conocimiento necesario para detener el ataque, fortalecer las estrategias de defensa generales y nivelar el campo de juego con su oponente.
El atacante también obtendrá una imagen poco clara de la superficie de ataque, lo que lo ralentizará, lo obligará a cometer errores, gastará recursos adicionales y tendrá un impacto negativo en la economía de su ataque.
Para las empresas que realizan evaluaciones de seguridad, la tecnología de engaño juega un papel importante en la detección temprana del atacante y el registro de la actividad del ataque. Estas capacidades hacen que la tecnología de engaño sea uno de los métodos más efectivos para lidiar con el ransomware. Es particularmente hábil para detectar intrusos que intentan moverse lateralmente dentro de la red, incluso si los intrusos usan credenciales auténticas.
Implementación
La tecnología de engaño está disponible como una estructura o plataforma de engaño completo, como características dentro de una plataforma más amplia y como soluciones independientes. Las plataformas de engaño avanzadas utilizan el aprendizaje automático para una implementación y operaciones rápidas y precisas sin interrumpir otras funciones de la red. Las integraciones de la plataforma nativa con la infraestructura de seguridad existente pueden proporcionar un intercambio fluido de información sobre ataques y facilitar la automatización. Los beneficios incluyen bloqueo automatizado, aislamiento, búsqueda de amenazas, libros de jugadas repetibles que aceleran la respuesta a incidentes y la integración con las soluciones de respuesta, automatización y orquestación de seguridad (SOAR).
Las plataformas de engaño más avanzadas también proporcionarán tecnología de ocultación, que oculta y niega el acceso a los datos. En lugar de entrelazar activos engañosos entre activos de producción, la tecnología puede ocultar activos reales a la vista de un atacante. También puede devolver datos falsos al atacante para interrumpir y descarrilar más ataques. La cobertura incluye objetos, credenciales, archivos, carpetas y unidades extraíbles del AD, así como recursos compartidos en la red y en la nube. Esta función sirve como un poderoso elemento de disuasión de ransomware porque los atacantes no pueden encontrar ni tomar el control de dominio ni cifrar o robar datos en unidades a las que no pueden acceder.
Beneficios
El engaño cibernético complementa los controles de seguridad existentes al detectar actividades de descubrimiento, movimiento lateral, escalada de privilegios y recolección que otras herramientas no están diseñadas para abordar. La tecnología es altamente escalable, lo que le permite proteger una superficie de ataque en constante evolución.
Muchas de las actividades de ataque a las que el engaño proporciona visibilidad son tradicionalmente difíciles de detectar. Estos incluyen movimiento lateral, robo y reutilización de credenciales, reconocimiento de amenazas internas, actividades man-in-the-middle (MiTM) y ataques a servicios de directorio como el protocolo ligero de acceso a directorios (LDAP) o el AD.
La capacidad de engañar, dirigir y alejar al adversario de los activos críticos le niega sus objetivos y revela cómo quiere moverse a través de las redes. También tiene el beneficio de aumentar el costo del atacante, porque ahora debe descifrar lo que es real de lo que es falso y los obliga a reiniciar sus ataques.
