Qué buscar en una solución de tecnología de engaño

Comprender los elementos de la tecnología de engaño

Las plataformas de tecnología de engaño están muy lejos del concepto de los «honeypots» que surgieron por primera vez a principios de los 90. El engaño efectivo ahora cubre de extremo a extremo los terminales, la red, el Directorio Activo (DA) y la nube, lo que crea una estructura de engaño escalable en toda la empresa y que brinda detección temprana de los ataques.

Con la implementación de una solución que cubre todas las facetas de la red, las organizaciones tienen a su disposición la protección más completa. También es importante reconocer que la tenología de engaño no depende de una sola táctica; incluye varios componentes interrelacionados, incluidos señuelos auténticos a nivel de red, engaño en el punto final, tecnología de ocultamiento y técnicas de redirección de ataques:

• Engaño: Las plataformas de engaño actuales colocan recursos de engaño en la totalidad de la red para ayudar a detectar descubrimientos, robo de credenciales, movimientos laterales, escalamiento de privilegios, explotación/robo de datos y otros signos de actividades de ataque. Engañar a los atacantes para que interactúen con estos recursos de engaño le notifica al equipo de seguridad sobre un ataque de forma oportuna, lo que les permite responder rápidamente antes de que pueda agravarse.
  Estos recursos pueden incluir una amplia gama de componentes. Por ejemplo, los atacantes suelen buscar robar las credenciales de usuario almacenadas en los endpoints, lo que les permite moverse lateralmente por toda la red para incluso atacar al DA. Las plataformas de engaño actuales pueden crear credenciales falsas que no pueden diferenciarse de la reales. Además, pueden identificar y marcar inmediatamente cualquier intento de uso de estos artefactos de engaño como sospechoso. Del mismo modo, las soluciones de engaño pueden crear recursos, como archivos señuelo compartidos, que se ocultan a los usuarios y representan un objetivo atractivo para el ransomware y otros ataques automatizados. También pueden crear documentos señuelo con alertas automatizadas para marcar el acceso no autorizado y los presuntos intentos de exfiltración.
• Ocultamiento: Las soluciones de engaño actuales no dependen exclusivamente de los recursos señuelo, dado que serían enfoques limitados: también pueden ocultar archivos, carpetas, credenciales, recursos compartidos, dispositivos de almacenamiento extraíbles y otros elementos sensibles como recursos del DA. Dado que los atacantes no pueden robar ni cifrar lo que no ven, esto puede limitar la gravedad de un ataque o incluso impedir que avance. Las soluciones de engaño modernas pueden ocultar estos activos de los posibles atacantes mientras los mantienen visibles para los empleados que los necesitan, evitando cualquier pérdida de productividad, y pueden ser un potente elemento freno para el ransomware.
• Redirección: Una plataforma de engaño con todas las funciones tendrá los medios para redirigir el tráfico de ataques que intentan conectarse a los sistemas de producción para comprometerlos. Los defensores pueden detectar la actividad al inicio del ciclo de ataque y recopilar información crítica de los adversarios. Con engaño de alta interacción, los atacantes no tienen forma de saber que el señuelo con el que están interactuando no es un recurso de producción real, lo que permite a los defensores estudiar sus patrones de ataque. Los señuelos registran esta actividad para el análisis forense y el desarrollo de inteligencia de amenazas, proporcionando al defensor información valiosa para brindar protección contra futuros ataques.

Con todos estos elementos trabajando juntos, una solución de engaño completa provee datos de alerta claros y concisos a los equipos de seguridad, lo que les permite responder a los eventos de manera eficiente y eficaz. Una buena plataforma de engaño también puede integrarse con otros componentes de la arquitectura de defensa de redes, como la red, los terminales, el AD y otros sistemas de monitoreo. Las respuestas automatizadas también son posibles con integraciones nativas que pueden reducir aún más los tiempos de respuesta del equipo de seguridad al implementar medidas de defensa programadas con anterioridad cuando las actividades sospechosas cumplen con ciertas condiciones.

Qué aspectos considerar

Lamentablemente, no todas las soluciones con tecnología de engaño se crearon de la misma manera y las organizaciones deben identificar si una solución satisface sus necesidades específicas. A continuación, se presentan una serie de preguntas básicas a tener en cuenta antes de elegir una solución de deception:

• ¿Cubre la solución todos los entornos que necesitan protección? ¿Cubre entornos de nube, multinube o híbridos? ¿Qué hay de la internet de las cosas (IoT), la IoT para uso médico, el sistema de comando de incidentes (ICS) o la infraestructura de red? ¿Están protegidas las redes de los usuarios o los sitios de trabajo remotos? Es esencial saber con precisión lo que necesita la organización cuando se investiga a los posibles proveedores de engaño.
• ¿Qué tan eficaz es la solución cuando se enfrenta a diferentes tácticas? ¿Es eficaz para detectar la actividad de reconocimiento? ¿Qué pasa con las credenciales robadas, los ataques dirigidos al DA o el movimiento lateral en general? «Detección» es un término amplio y uno debe saber cuáles pueden ser las necesidades actuales y futuras antes de elegir a un proveedor.
• ¿Qué tan completa es la oferta de engaño? Asegúrese de que la solución cubre todo, desde los terminales hasta el DA y la nube, para obtener la máxima protección. Asimismo, pregunte qué tipos de señuelos están disponibles. Una solución completa ofrece idealmente señuelos de red, servidor, endpoint, aplicación, datos, base de datos, nube, tecnología de operaciones (OT), IoT y DA, pero muchas solo ofrecen algunos de ellos. Además, asegúrese de preguntar cómo se implementan estos engaños, y si son estáticos o se actualizan dinámicamente, cuánta personalización es capaz de realizar y si el aprendizaje automático puede ayudar con la preparación, la implementación y las operaciones.
• ¿Qué tan auténtico es el engaño? El engaño solo es efectivo si puede engañar al atacante. Los señuelos más auténticos ejecutan sistemas operativos reales que la organización puede personalizar para adaptarlos al entorno de producción. Pregunte a los proveedores si sus servidores crean señuelos del sistema operativo reales o utilizan otros emulados. También debería ser fácil actualizar o reconstruir el entorno tras el embate de un atacante.
• ¿Qué tan difícil es implementarlo y operarlo? Muchas organizaciones quieren que su solución de engaño sea fácil de usar y escalable. Preguntas como si una solución determinada se instala en línea o si los engaños en los terminales requieren un agente que mantener, y cuánta automatización incluye la solución, puede ayudar a evaluar cuánta experiencia y tiempo se necesitan para instalar y mantener el sistema.
• ¿Qué tan bien el servidor dedicado analiza, identifica e informa sobre los ataques? ¿Puede el sistema identificar ataques sin patrones o firmas de ataque conocidos o es confiable para buscar tácticas, técnicas y procedimientos (TTP) conocidos? Además, ¿puede recopilar información de comando y control (C&C) que ha sido comprometida por parte del atacante y mostrar esa información de forma exhaustiva y utilizable? La inteligencia de amenazas es benéfica, pero solo si el equipo de seguridad puede utilizarla. Otra característica interesante que se ve en las plataformas modernas son las asignaciones a MITRE ATT&CK, que pueden ser útiles para comprender rápidamente las tácticas y técnicas de los atacantes.
• ¿Cómo encaja la solución de engaño en el marco MITRE Engage? El marco MITRE Engage se centra en las áreas de negación, engaño y «confrontación» con el adversario. ¿Qué tanta cobertura tiene la solución de engaño con las actividades descritas en Engage para realmente hacer frente y engañar al adversario? Si una solución de engaño no se ajusta bien a las recomendaciones de MITRE, evítela. Soluciones que solo dependen del engaño de la red difícilmente responderán a las necesidades actuales. Recuerde que un atacante no cae en una trampa en automático: intentará explotar el punto final, y si la tecnología no cuenta con diversos mecanismos para engañar y enganchar al adversario no será efectiva para su organización.

Haga que el engaño forme parte de la estrategia de defensa activa

La tecnología de engaño es crucial para cualquier organización, ya que proporciona los medios para aprovechar una defensa activa y mejorar la seguridad general de la red tomando una postura diferente. El engaño puede mejorar la eficiencia y el tiempo de reacción del equipo de seguridad, a la vez que reduce el tiempo de permanencia del atacante y aumenta la capacidad de recopilar información crítica del adversario.

Lamentablemente, las soluciones de engaño pueden variar ampliamente en cuanto a su eficacia, y las organizaciones necesitan hacer las preguntas adecuadas y buscar las respuestas correctas. Esta lista debería proporcionar a las organizaciones actuales una perspectiva valiosa para evaluar y analizar a los proveedores de tecnología de engaño, lo que garantiza que la solución que elijan pueda satisfacer sus necesidades específicas.

Sobre la autora: Carolyn Crandall es directora de Promoción de Seguridad y directora ejecutiva de Mercadotecnia de Attivo Networks.