Por Carolyn Crandall, Directora de Promoción de Seguridad y Directora Ejecutiva de Mercadotecnia de Attivo Networks
En
el actual entorno de amenazas, que evoluciona a gran velocidad, las
defensas perimetrales ya no son suficientes para mantener a raya a los
atacantes. Los firewalls y el software de punto final siguen teniendo un
papel necesario en la ciberseguridad, pero las organizaciones necesitan
herramientas adicionales para detectar y detener a los atacantes una
vez que han logrado entrado en la red. Lamentablemente, es imposible
prevenir el 100% de los ataques, lo que significa que las organizaciones
de hoy deben asumir que su red ya ha sido atacada y que tienen que
defenderse.
La “Deception Technology”
o tecnología de engaño es un componente crítico de Defensa Activa, que
se centra en la detección al interior de la red, ampliando la
visibilidad, ocultando información confidencial y crítica, y alejando a
los atacantes de los activos de producción. Sin embargo, a pesar de la
enorme ventaja que ofrece dicho concepto a los encargados de la defensa,
muchas organizaciones siguen sin entender cómo funciona dicha
tecnología o qué deberían buscar en una solución de deception. Este artículo busca brindar a los lectores más detalles sobre la deception technology y ayudarles a comprender mejor lo que distingue a las soluciones específicas.
Comprender los elementos de la Tecnología de Engaño
Las plataformas de deception technology
están muy lejos del concepto de los “honeypots” que surgieron por
primera vez a principios de los 90s. El engaño efectivo ahora cubre de
extremo a extremo los endpoints, la red, el Directorio Activo
(DA) y la nube, lo que crea una estructura de engaño escalable en toda
la empresa, y que brinda detección temprana de los ataques. Con la
implementación de una solución que cubre todas las facetas de la red,
las organizaciones tienen a su disposición la protección más completa.
También es importante reconocer que la tenología de engaño no depende de
una sola táctica; incluye varios componentes interrelacionados,
incluidos señuelos auténticos a nivel de red, engaño en el punto final,
tecnología de ocultamiento y técnicas de redirección de ataques:
- Engaño: Las plataformas de deception actuales colocan recursos de deception
en la totalidad de la red para ayudar a detectar descubrimientos, el
robo de credenciales, el movimiento lateral, el escalamiento de
privilegios, la explotación/robo de datos y otros signos de actividades
de ataque. Engañar a los atacantes para que interactúen con estos
recursos de engaño le notifica al equipo de seguridad sobre un ataque de
forma oportuna, lo que les permite responder rápidamente antes de que
pueda agravarse.
- Ocultamiento: las soluciones de deception
actuales no dependen exclusivamente de los recursos señuelo dado que
serían enfoques limitados, también pueden ocultar archivos, carpetas,
credenciales, recursos compartidos, dispositivos de almacenamiento
extraíbles y otros elementos sensibles como recursos del DA. Dado que
los atacantes no pueden robar ni cifrar lo que no ven, esto puede
limitar la gravedad de un ataque o incluso impedir que avance. Las
soluciones de deception modernas pueden ocultar estos activos de
los posibles atacantes mientras los mantienen visibles para los
empleados que los necesitan, evitando cualquier pérdida de
productividad, y pueden ser un potente elemento freno para el ransomware.
- Redirección: Una plataforma de deception
con todas las funciones tendrá los medios para redirigir el tráfico de
ataques que intenta conectarse a los sistemas de producción para
comprometerlos. Los defensores pueden detectar la actividad al inicio
del ciclo de ataque y recopilar información crítica de los adversarios.
Con engaño de alta interacción, los atacantes no tienen forma de saber
que el señuelo con el que están interactuando no es un recurso de
producción real, lo que permite a los defensores estudiar sus patrones
de ataque. Los señuelos registran esta actividad para el análisis
forense y el desarrollo de inteligencia de amenazas, proporcionando al
defensor información valiosa para brindar protección contra futuros
ataques.
Qué aspectos considerar
Lamentablemente, no todas las soluciones de deception technology se crearon de la misma manera y las organizaciones deben identificar si una solución satisface sus necesidades específicas. A continuación se presentan una serie de preguntas básicas a tener en cuenta antes de elegir una solución de deception:
- ¿Cubre la solución todos los entornos que necesitan protección? ¿Cubre
la solución los entornos de nube, multinube o híbridos? ¿Qué hay de la
Internet de las Cosas (IoT), de la IoT para uso médico, del sistema de
comando de incidentes (ICS) o de la infraestructura de red? ¿Están
protegidas las redes de los usuarios o los sitios de trabajo remotos? Es
esencial saber con precisión lo que necesita la organización cuando se
investiga a los posibles proveedores de deception.
- ¿Qué tan eficaz es la solución cuando se enfrenta a diferentes tácticas? ¿Es
eficaz para detectar la actividad de reconocimiento? ¿Qué pasa con las
credenciales robadas, los ataques dirigidos al DA o el movimiento
lateral en general? “Detección” es un término amplio y uno debe saber
cuáles pueden ser las necesidades actuales y futuras antes de elegir a
un proveedor.
- ¿Qué tan completa es la oferta de deception? Asegúrese
de que la solución cubre todo, desde el endpoint hasta el DA y la nube,
para obtener la máxima protección. Asimismo, pregunte qué tipos de
señuelos de deception están disponibles. Una solución completa
ofrece idealmente señuelos de red, servidor, endpoint, aplicación,
datos, base de datos, nube, tecnología de operaciones (OT), IoT y DA,
pero muchas solo ofrecen algunos de ellos. Además, asegúrese de
preguntar cómo se implementan estos deceptions y si son estáticos
o si se actualizan dinámicamente, cuánta personalización es capaz de
realizar y si el machine learning puede ayudar con la preparación, la
implementación y las operaciones.
- ¿Qué tan auténtico es el deception? Deception solo
es efectivo si puede engañar al atacante. Los señuelos más auténticos
ejecutan sistemas operativos reales que la organización puede
personalizar para adaptarlos al entorno de producción. Pregunte a los
proveedores potenciales si sus servidores crean señuelos del sistema
operativo reales o utilizan otros emulados. También debería ser fácil
actualizar o reconstruir el entorno tras el embate de un atacante.
- ¿Qué tan difícil es implementarla y operarla? Muchas organizaciones quieren que su solución de deception sea fácil de usar y escalable. Responder preguntas como si una solución determinada se instala en línea o si los deceptions
en los endpoints requieren un agente que mantener, y cuánta
automatización incluye la solución, puede ayudar a evaluar cuánta
experiencia y tiempo se necesitan para instalar y mantener el sistema.
- ¿Qué tan bien el servidor dedicado analiza, identifica e informa sobre los ataques? ¿Puede
el sistema identificar ataques sin patrones o firmas de ataque
conocidos o es confiable para buscar tácticas, técnicas y procedimientos
(TTP) conocidos? Además, ¿puede recopilar información mando y el
control (C&C) ha sido comprometido por parte del atacante y mostrar
esa información de forma exhaustiva y utilizable? La inteligencia de
amenazas es benéfica, pero solo si el equipo de seguridad puede
utilizarla. Otra característica interesante que se ve en las plataformas
modernas son las asignaciones a MITRE ATT&CK, que pueden ser útiles
para comprender rápidamente las tácticas y técnicas de los atacantes.
- ¿Cómo encaja la solución de deception en el marco MITRE Engage? El
marco MITRE Engage se centra en las áreas de negación, engaño y
“confrontación” con el adversario. ¿Qué tanta cobertura tiene la
solución de Deception con las actividades descritas en Engage para
realmente hacer frente y engañar al adversario? Si una solución de deception
no se ajusta bien a las recomendaciones de MITRE, evítela. Soluciones
que solo dependen del engaño de la red, difícilmente responderán a las
necesidades actuales. Recuerde que un atacante no cae en una trampa en
automático, este intentará explotar el punto final y si la tecnología no
cuenta con diversos mecanismos para engañar y enganchar al adversario
no será efectivo para su organización.
La deception technology es crucial para cualquier organización, ya que proporciona los medios para aprovechar la Defensa Activa y mejorar la seguridad general de la red tomando una postura diferente. Deception puede mejorar la eficiencia y el tiempo de reacción del equipo de seguridad, a la vez que reduce el tiempo de permanencia del atacante y aumenta la capacidad de recopilar información crítica del adversario. Lamentablemente, las soluciones de deception pueden variar ampliamente en cuanto a su eficacia, y las organizaciones necesitan hacer las preguntas adecuadas y buscar las respuestas correctas. Esta lista debería proporcionar a las organizaciones actuales una perspectiva valiosa para evaluar y analizar a los proveedores de deception technology, lo que garantiza que la solución que elijan pueda satisfacer sus necesidades específicas.
No hay comentarios:
Publicar un comentario