Il principio di come l’inganno possa essere un’importante tecnologia difensiva è abbastanza semplice. Nel peggiore dei casi, in cui un utente malintenzionato aggira in qualche modo i controlli di sicurezza perimetrali e viola con successo la tua rete, vengono piantate risorse esca per attirare l’aggressore a esporre la sua presenza. In genere viene utilizzato un campo minato di host esca accattivanti, file, reti, ecc. Che rivelano l’attaccante quando vi si accede. La tecnologia di inganno espande le capacità di rilevamento e fornisce un ulteriore livello di difesa contro gli attacchi informatici.
Sebbene sappiamo che la tecnologia dell’inganno fornisce protezioni preziose e necessarie, purtroppo fino ad oggi è stata utilizzata principalmente da grandi che hanno le sia le competenze per comprendere l’innovazione tecnologica di questa tecnologia e quindi i vantaggi di sicurezza che introduce, sia le risorse economiche per utilizzare tale tecnologia. Le organizzazioni più piccole, con budget di sicurezza molto ridotti e team di sicurezza più piccoli, in genere non possono permettersi il “lusso” della tecnologia dell’inganno. Questa tecnologia, infatti, si divide in:
End-point Deception
Network Deception
La prima è innovativa anche nei suoi bassi costi di licenza, bassi tempi di deploy e basse risorse che utilizza (si veda www.deceptivebytes.com oppure qui). Essa è in grado anche di riconoscere tecniche di “defense evasion” che ormai tutti i ransomware evoluti possiedono al loro interno.
La seconda è sempre stata considerata “un lusso” per i suoi costi economici. Ora, invece, cominciano ad essere disponibili le nuove generazioni di Network Deception tool che la rendono adatta anche per i budget delle PMI. Ad esempio una soluzione israeliana innovativa di cyber-security fornisce insieme alla tecnologia XDR anche la Endpoint Detection and Response (EDR), il Network Traffic Analysis (NTA) e l’User and Entity Behavior Analysis (UEBA). Questi strumenti permettono di configurare facilmente un’ampia gamma di controlli in un unico pannello e distribuirli in tutto l’ambiente in pochi minuti. Gli avvisi vengono visualizzati proprio come qualsiasi altro avviso e possono attivare azioni di risposta automatiche per contrastare immediatamente l’attaccante.
Le tecnologie di Network Deception utilizzano vari tipi di esche nell’ambiente per tentare gli aggressori in tutte le fasi di un attacco (file di dati, credenziali e connessioni di rete), fino ad accedere a varie risorse e, così facendo, rivelano la loro presenza ed intenzioni malevole. L’estrema accuratezza di entrambi i tipi di Deception permette di annullare i falsi positivi. Ecco di seguito i 3 pilastri degli innovativi strumenti di Network Deception:
File ingannevole
L’obiettivo principale di un malintenzionato è quello di rubare dati sensibili – proprietà intellettuale, informazioni di identificazione personale, piani aziendali, ecc. La tecnologia Deception crea file di dati e collegamenti – simili a quelli che gli aggressori cercano nell’organizzazione di destinazione – attraverso end-point e server nell’ambiente. Quando un utente malintenzionato apre un file di dati esca, viene attivato un avviso con diverse info correlate: dettagli sul tipo di esca attivato, l’indirizzo IP dell’aggressore, l’indirizzo IP della vittima, il nome host e il nome del file. Alcuni tipi di file esca possono essere: documenti Office, File desktop remoto/RDP, connessioni Open Database Connectivity (ODBC), file di testo.
Utente ingannevole
Offre la possibilità di configurare utenti falsi su più end-point. Quando gli aggressori trovano le credenziali esca e tentano di accedere con uno degli utenti esca, un alert viene creato.
Rete ingannevole
Mostra gli host esca all’interno del tuo ambiente di rete e monitora l’accesso a questi host. Le esche vengono collocate in luoghi attraenti che un utente malintenzionato potrebbe esplorare per identificare gli obiettivi e far apparire come sistemi preziosi con cui gli utenti legittimi interagiscono per svolgere le loro attività.