Por Carolyn Crandall, Directora de Promoción de Seguridad y Directora Ejecutiva de Mercadotecnia de Attivo Networks
En el actual entorno de amenazas, que evoluciona a gran velocidad, las defensas perimetrales ya no son suficientes para mantener a raya a los atacantes. Los firewalls y el software de punto final siguen teniendo un papel necesario en la ciberseguridad, pero las organizaciones necesitan herramientas adicionales para detectar y detener a los atacantes una vez que han logrado entrado en la red. Lamentablemente, es imposible prevenir el 100% de los ataques, lo que significa que las organizaciones de hoy deben asumir que su red ya ha sido atacada y que tienen que defenderse.
La “Deception Technology” o tecnología de engaño es un componente crítico de Defensa Activa, que se centra en la detección al interior de la red, ampliando la visibilidad, ocultando información confidencial y crítica, y alejando a los atacantes de los activos de producción. Sin embargo, a pesar de la enorme ventaja que ofrece dicho concepto a los encargados de la defensa, muchas organizaciones siguen sin entender cómo funciona dicha tecnología o qué deberían buscar en una solución de deception. Este artículo busca brindar a los lectores más detalles sobre la deception technology y ayudarles a comprender mejor lo que distingue a las soluciones específicas.
Comprender los elementos de la Tecnología de Engaño
Las plataformas de deception technology están muy lejos del concepto de los “honeypots” que surgieron por primera vez a principios de los 90s. El engaño efectivo ahora cubre de extremo a extremo los endpoints, la red, el Directorio Activo (DA) y la nube, lo que crea una estructura de engaño escalable en toda la empresa, y que brinda detección temprana de los ataques. Con la implementación de una solución que cubre todas las facetas de la red, las organizaciones tienen a su disposición la protección más completa. También es importante reconocer que la tenología de engaño no depende de una sola táctica; incluye varios componentes interrelacionados, incluidos señuelos auténticos a nivel de red, engaño en el punto final, tecnología de ocultamiento y técnicas de redirección de ataques:
- Engaño: Las plataformas de deception actuales colocan recursos de deception en la totalidad de la red para ayudar a detectar descubrimientos, el robo de credenciales, el movimiento lateral, el escalamiento de privilegios, la explotación/robo de datos y otros signos de actividades de ataque. Engañar a los atacantes para que interactúen con estos recursos de engaño le notifica al equipo de seguridad sobre un ataque de forma oportuna, lo que les permite responder rápidamente antes de que pueda agravarse.
Estos recursos pueden incluir una amplia gama de componentes. Por ejemplo, los atacantes suelen buscar robar las credenciales de usuario almacenadas en los endpoints, lo que les permite moverse lateralmente por toda la red para incluso atacar al DA. Las plataformas de deception actuales pueden crear credenciales falsas que no pueden diferenciarse de la reales. La plataforma puede identificar y marcar inmediatamente cualquier intento de uso de estos artefactos de engaño como sospechoso. Del mismo modo, las soluciones de engaño pueden crear recursos como archivos señuelo compartidos que se ocultan a los usuarios que representan un objetivo atractivo para el ransomware y otros ataques automatizados. También pueden crear documentos señuelo con alertas automatizadas para marcar el acceso no autorizado y los presuntos intentos de exfiltración.
- Ocultamiento: las soluciones de deception actuales no dependen exclusivamente de los recursos señuelo dado que serían enfoques limitados, también pueden ocultar archivos, carpetas, credenciales, recursos compartidos, dispositivos de almacenamiento extraíbles y otros elementos sensibles como recursos del DA. Dado que los atacantes no pueden robar ni cifrar lo que no ven, esto puede limitar la gravedad de un ataque o incluso impedir que avance. Las soluciones de deception modernas pueden ocultar estos activos de los posibles atacantes mientras los mantienen visibles para los empleados que los necesitan, evitando cualquier pérdida de productividad, y pueden ser un potente elemento freno para el ransomware.
- Redirección: Una plataforma de deception con todas las funciones tendrá los medios para redirigir el tráfico de ataques que intenta conectarse a los sistemas de producción para comprometerlos. Los defensores pueden detectar la actividad al inicio del ciclo de ataque y recopilar información crítica de los adversarios. Con engaño de alta interacción, los atacantes no tienen forma de saber que el señuelo con el que están interactuando no es un recurso de producción real, lo que permite a los defensores estudiar sus patrones de ataque. Los señuelos registran esta actividad para el análisis forense y el desarrollo de inteligencia de amenazas, proporcionando al defensor información valiosa para brindar protección contra futuros ataques.
Con todos estos elementos trabajando juntos, una solución de deception completa provee datos de alerta claros y concisos a los equipos de seguridad, lo que les permite responder a los eventos de manera eficiente y eficaz. Una buena plataforma de deception también puede integrarse con otros componentes de la arquitectura de defensa de redes, como la red, el endpoint, el AD, y otros sistemas de monitoreo. Las respuestas automatizadas también son posibles con integraciones nativas que pueden reducir aún más los tiempos de respuesta del equipo de seguridad al implementar medidas de defensa programadas con anterioridad cuando las actividades sospechosas cumplen con ciertas condiciones.
Qué aspectos considerar
Lamentablemente, no todas las soluciones de deception technology se crearon de la misma manera y las organizaciones deben identificar si una solución satisface sus necesidades específicas. A continuación se presentan una serie de preguntas básicas a tener en cuenta antes de elegir una solución de deception:
- ¿Cubre la solución todos los entornos que necesitan protección? ¿Cubre la solución los entornos de nube, multinube o híbridos? ¿Qué hay de la Internet de las Cosas (IoT), de la IoT para uso médico, del sistema de comando de incidentes (ICS) o de la infraestructura de red? ¿Están protegidas las redes de los usuarios o los sitios de trabajo remotos? Es esencial saber con precisión lo que necesita la organización cuando se investiga a los posibles proveedores de deception.
- ¿Qué tan eficaz es la solución cuando se enfrenta a diferentes tácticas? ¿Es eficaz para detectar la actividad de reconocimiento? ¿Qué pasa con las credenciales robadas, los ataques dirigidos al DA o el movimiento lateral en general? “Detección” es un término amplio y uno debe saber cuáles pueden ser las necesidades actuales y futuras antes de elegir a un proveedor.
- ¿Qué tan completa es la oferta de deception? Asegúrese de que la solución cubre todo, desde el endpoint hasta el DA y la nube, para obtener la máxima protección. Asimismo, pregunte qué tipos de señuelos de deception están disponibles. Una solución completa ofrece idealmente señuelos de red, servidor, endpoint, aplicación, datos, base de datos, nube, tecnología de operaciones (OT), IoT y DA, pero muchas solo ofrecen algunos de ellos. Además, asegúrese de preguntar cómo se implementan estos deceptions y si son estáticos o si se actualizan dinámicamente, cuánta personalización es capaz de realizar y si el machine learning puede ayudar con la preparación, la implementación y las operaciones.
- ¿Qué tan auténtico es el deception? Deception solo es efectivo si puede engañar al atacante. Los señuelos más auténticos ejecutan sistemas operativos reales que la organización puede personalizar para adaptarlos al entorno de producción. Pregunte a los proveedores potenciales si sus servidores crean señuelos del sistema operativo reales o utilizan otros emulados. También debería ser fácil actualizar o reconstruir el entorno tras el embate de un atacante.
- ¿Qué tan difícil es implementarla y operarla? Muchas organizaciones quieren que su solución de deception sea fácil de usar y escalable. Responder preguntas como si una solución determinada se instala en línea o si los deceptions en los endpoints requieren un agente que mantener, y cuánta automatización incluye la solución, puede ayudar a evaluar cuánta experiencia y tiempo se necesitan para instalar y mantener el sistema.
- ¿Qué tan bien el servidor dedicado analiza, identifica e informa sobre los ataques? ¿Puede el sistema identificar ataques sin patrones o firmas de ataque conocidos o es confiable para buscar tácticas, técnicas y procedimientos (TTP) conocidos? Además, ¿puede recopilar información mando y el control (C&C) ha sido comprometido por parte del atacante y mostrar esa información de forma exhaustiva y utilizable? La inteligencia de amenazas es benéfica, pero solo si el equipo de seguridad puede utilizarla. Otra característica interesante que se ve en las plataformas modernas son las asignaciones a MITRE ATT&CK, que pueden ser útiles para comprender rápidamente las tácticas y técnicas de los atacantes.
- ¿Cómo encaja la solución de deception en el marco MITRE Engage? El marco MITRE Engage se centra en las áreas de negación, engaño y “confrontación” con el adversario. ¿Qué tanta cobertura tiene la solución de Deception con las actividades descritas en Engage para realmente hacer frente y engañar al adversario? Si una solución de deception no se ajusta bien a las recomendaciones de MITRE, evítela. Soluciones que solo dependen del engaño de la red, difícilmente responderán a las necesidades actuales. Recuerde que un atacante no cae en una trampa en automático, este intentará explotar el punto final y si la tecnología no cuenta con diversos mecanismos para engañar y enganchar al adversario no será efectivo para su organización.
Haga que el deception forme parte de la estrategia de Active Defense
La deception technology es crucial para cualquier organización, ya que proporciona los medios para aprovechar la Defensa Activa y mejorar la seguridad general de la red tomando una postura diferente. Deception puede mejorar la eficiencia y el tiempo de reacción del equipo de seguridad, a la vez que reduce el tiempo de permanencia del atacante y aumenta la capacidad de recopilar información crítica del adversario. Lamentablemente, las soluciones de deception pueden variar ampliamente en cuanto a su eficacia, y las organizaciones necesitan hacer las preguntas adecuadas y buscar las respuestas correctas. Esta lista debería proporcionar a las organizaciones actuales una perspectiva valiosa para evaluar y analizar a los proveedores de deception technology, lo que garantiza que la solución que elijan pueda satisfacer sus necesidades específicas.