Los delincuentes cibernéticos han engañado con éxito a los usuarios finales durante décadas. Ahora es una oportunidad para darles un sabor a su propia medicina.
"Aunque usar el engaño en cualquier acción es detestable, no obstante, al emprender la guerra es digno de alabanza y le da fama: el que vence al enemigo por engaño es alabado tanto como el que los conquista por la fuerza". - Maquiavelo, Discursos sobre Tito Livio
Uno de mis primeros recuerdos de la infancia es ser llamado al frente en un espectáculo de magia. El compé esmoquin estaba jugando con tazas y mostradores y tuve que adivinar bajo qué taza terminaría el contador. Todos sabían cómo se desarrollaría este juego, excepto yo. Lo vi girar las copas a gran velocidad, fácilmente al ritmo de donde creía que estaba el mostrador. Cuando finalmente se detuvo y me pidió que identificara la taza que cubría el mostrador, señalé con absoluta certeza el de la izquierda. Mi desilusión fue palpable cuando reveló que el mostrador estaba debajo de otra taza. Recuerdo hasta hoy la sensación de haber sido engañado. Engañado.
Avance rápidamente más años de lo que me importa nombrar, y aunque no he perdonado al mago en cuestión, he llegado a ver el engaño de manera diferente, especialmente en el contexto de la ciberseguridad. Como una extensión perfectamente legítima de los cibercontroles probados y comprobados, Deception como disciplina ofrece un valor increíble para los equipos de seguridad. Permíteme explicarte.
Nos incumbe a todos nosotros en este campo reconocer una cosa; que los atacantes ocasionalmente pasan. Décadas de investigación de seguridad e inversión han traído muchos beneficios a las organizaciones modernas, incluida la capacidad de hacer negocios en un entorno en el que los delincuentes utilizan la automatización y la inteligencia de campo para obtener el máximo efecto. Con 111 mil millones de líneas de código de software generadas el año pasado, las superficies de ataque están proliferando y es un testimonio de la fortaleza del ecosistema de proveedores y clientes que la gran mayoría de las amenazas se detienen antes de que se conviertan en infracciones. Sin embargo, es un pragmatismo singularmente del siglo veintiuno en materia de ciberseguridad el reconocer que los atacantes pueden encontrar, y lo hacen, medios para apoyar sus campañas. Es en este punto que el engaño se vuelve crítico.
Una vez que un hacker ha penetrado en una red, el juego ha terminado. El atacante sabe que han logrado algo de gran valor potencial y que buscarán formas de moverse lateralmente hacia objetivos de mayor valor dentro del entorno. Esto significará que realizará un reconocimiento sigiloso desde el punto final comprometido. Ahora, imagine una red de pistas muy convincentes pero altamente falsas que quedan en las máquinas de los clientes y diseñadas para alentar la interacción de los actores de amenazas que han penetrado con éxito las defensas de una organización.
Al recopilar información sobre convenciones de direcciones IP, convenciones de nombres y otros dispositivos de interés en el segmento local, el atacante piensa que puede comenzar a identificar los sistemas potenciales a los que puede recurrir. Puede buscar recursos compartidos de red, sesiones RDP almacenadas en caché, cachés de navegador, credenciales almacenadas en la memoria para obtener más pistas sobre identidades que podrían apoyar su campaña u otras máquinas que podrían permitirle pivotar más en el estado y acercarse a los objetivos de alto valor.
Tradicionalmente, todas estas actividades pasarían desapercibidas para las soluciones de seguridad y el atacante volaría bajo el radar con relativa impunidad, utilizando tácticas de desviación de dirección como ataques DDOS para distraer a los equipos de seguridad de las pocas alertas que estaba generando. De esta manera, el camino a los activos de alto valor no se verá obstaculizado, como lo demuestra el hecho de que las violaciones aún demoran cientos de días en ser descubiertas, a menudo después de que el ataque se haya completado. Sin embargo, con Deception en su lugar mientras interactúa con estas piezas de cebo, el atacante genera alertas de alta fidelidad, traicionando su posición y su intención en la red.
El engaño ha sido una táctica legítima en la guerra durante miles de años. El arte de la guerra , citado tan fuertemente en nuestra industria, pone gran énfasis en él. Guillermo el Conquistador usó 'retiros fingidos' como una táctica durante la Batalla de Hastings, y una orden forjada de retirarse aseguró la captura de un enclave estratégico clave durante las Cruzadas. Los delincuentes cibernéticos han engañado con éxito a los usuarios finales durante décadas. WannaCry es uno de los ejemplos más recientes de esto.
El engaño como contra-táctica en la seguridad cibernética ofrece algo único. Alertas de alta confianza Al establecer una malla de activos de reconocimiento falsos, creas algo con lo que ningún usuario o sistema legítimo debería interactuar. La ocultación de artefactos engañosos de usuarios reales minimiza los falsos positivos y aumenta la confianza de que los intentos de interactuar con estos pedazos de cebo son juego sucio. Al otorgar alta confiabilidad a las alertas entrantes de la solución Deception, los equipos de SOC pueden actuar estas alertas como una prioridad, entendiendo que representan una actividad nefasta real en el entorno.
Con este enfoque en las alertas de alta fidelidad recibidas de la infraestructura Deception, los operativos de seguridad tienen un mecanismo de detección avanzado en el que existe una amenaza interna o un atacante real establecido en la red. Al activar estas alertas, pueden identificar rápidamente puntos finales comprometidos e invocar procesos de respuesta a incidentes para contener y poner en cuarentena el punto final y comprender cómo se produjo la infracción en primer lugar.
La solución de protección Endpoint, líder en la industria de Symantec, SEP14 ha integrado las capacidades de engaño. Esto significa que se puede alentar a los atacantes que buscan comprometer una infraestructura y moverse lateralmente en la búsqueda de objetivos de mayor valor a interactuar con la información de reconocimiento falso y revelar su posición en la red.
team comercializa todo el portafolio de productos de Symantec bajo 4 pilares:
- Protección de la Información.
- Protección a los usuarios.
- Protección Web.
- Protección de mensajería
Te invitamos a conocer más de nuestras solciones de seguridad Digital aquí
Nos interesa tu opinión, dejános saber tus comentarios, con gusto nos pondremos en contacto contigo
