Una vista desde el inside de un engaño


La tecnología de detección de amenazas de hoy en día no es para los pusilánimes. ¿Las herramientas de engaño modernas realmente frustran a los adversarios y están listas para el SOC empresarial?

(Imagen de Oleg a través de Adobe Stock)

(Imagen de Oleg a través de Adobe Inventory)

«Me rindo.» Esas son las palabras que le gustaría que dijera cualquier atacante que intente entrar en sus sistemas. «No quiero volver a pasar por esto nunca más». Aun mejor.

La probadora de penetración y creadora de contenido de seguridad Alissa Knight se encontró diciendo esas mismas palabras recientemente cuando se enfrentó a la tecnología de engaño del proveedor de detección de amenazas Illusive. (También destacado: «Que te jodan, ¿cómo es posible que esto no funcione?» «Este es un espectáculo de mierda». Y «Esto simplemente apesta»).

La compañía alienta a los probadores de lápiz y los equipos rojos a probarlo Hasta ahora, la tecnología de engaño de Illusive se ha enfrentado a las hondas y flechas de más de 130 equipos rojos, incluido el de Knight, que fue encargado por Illusive y grabó la prueba. (Ella hará un seguimiento a finales de este mes).

«Entré en esto muy arrogante», dice Knight, en una entrevista con Dark Looking through. «Sabes, &#39La única razón por la que nunca han perdido a un equipo rojo fue porque no fui yo&#39. … Estaba pensando, &#39Oh, esto es solo lápiz labial en un cerdo. Esto es solo, ya sabes, un honeypot con money de riesgo&#39. ¿Verdad? Pero estaba equivocado «.

Detección y alteración
Las tecnologías de engaño de hoy en día son más que simples trampas de miel. Empresas como Attivo Networks, Smokescreen, Acalvio, TrapX e Illusive utilizan tácticas de engaño que son dinámicas, en lugar de pasivas. En lugar de simplemente tender una trampa y esperar que un atacante caiga, detectan amenazas y responden activamente.

En el caso de Illusive, cuando la herramienta detecta cierta actividad sospechosa, como un intento de movimiento lateral, por ejemplo, el motor de engaño se activa y envía al atacante a un mundo de fantasía.

Molesta a los atacantes. Mucho.
«Es como The Matrix», dice Knight. «Empiezas a preguntarte qué es actual y qué no».

¿Las credenciales que había cosechado? Falsificaciones. ¿Ese administrador de dominio? Un administrador de dominio por nada. Esa purple en la que había estado girando durante horas era completamente sintética, salpicada de migajas de pan sintético de falsedad. Señuelo tras señuelo, que conducen a ninguna parte.

«No podía confiar en mi propia toma de decisiones. No podía confiar en mis propias herramientas», dice Knight. Incluso saber que se enfrentaba a una herramienta de engaño de amenazas no ayudó ella dice que sintió que la estaba «siguiendo».

«He hecho más de 100 pruebas de penetración en mis 20 años de carrera y siempre he podido pasar. Y en este caso no llegué a ninguna parte, y fue lo más frustrante».

Para la gente del lado ilusorio, por supuesto, es una experiencia mucho más relajante y agradable.

«Me encanta», dice el fundador y director ejecutivo de Illusive, Ofer israelí. «Siempre es muy divertido. Estamos felices de hacerlo. Demuestra el valor».

Israel señala además que la tecnología ilusoria genera automáticamente engaños que son únicos para cada entorno y cada máquina. Esto, dice, hace que sea más difícil para los atacantes romper la tecnología de seguridad.

«Si un atacante se vuelve ilusorio, lo pone en su laboratorio, (y) se prepara para (un ataque), sus engaños son aplicables a su laboratorio», dice israelí, «y cuando ataca el entorno actual al día siguiente, esos engaños son se verá totalmente diferente «.

Genere menos falsos positivos
Si bien engañar a los atacantes es divertido, Israel dice que detectar amenazas es el objetivo importante.

«Lo que realmente tenemos que hacer por nuestro cliente es proporcionar una mejor detección de amenazas. ¿Verdad? No importa que lo hagamos mediante el engaño o que podríamos haberlo hecho mediante la magia», dice. «Y nuestra discusión realmente es … ¿puedes dormir tranquilamente por la noche sabiendo que los atacantes obtienen acceso a la pink? ¿Podrás ver su actividad una vez que estén dentro? Y comúnmente la respuesta es, &#39No. Nosotros no&#39». No lo sé con certeza &#39″, y muchas herramientas generan falsos positivos que complican aún más el problema.

Knight señala que las soluciones de engaño generan pocos falsos positivos.

«Dime cuando haya un caso en el que alguien legítimamente estar usando credenciales sintéticas o interactuando con un anfitrión sintético «, dice.» No puedo imaginarme no levantarme de la cama para recibir una alerta «de tal tecnología.

¿Todos adultos?
Los productos de engaño todavía no son adecuados para todas las empresas. Israel admite que lo ilusorio no es para pequeñas empresas, sino para organizaciones con 500 empleados o más.

Sin embargo, la tecnología no es solo un juguete para ingenieros. Se está convirtiendo en una herramienta más eficaz para el centro de operaciones de seguridad empresarial. Las integraciones con otros elementos básicos de SOC como EDR y SIEM, SOAR y UEBA se han vuelto comunes. Las empresas de engaños se asocian con MSSP, integradores de sistemas y proveedores de nube, y ofrecen engaños para entornos de nube.

Como dice Knight, hay muchos métodos diferentes que los atacantes pueden usar para comprometer un objetivo, pero hay una cosa que todos tienen en común.

«Lo mismo en todos los adversarios está cambiando», dice. «Eso es lo único que nunca cambiará».

El engaño, dice, hace que pivotar dentro de un entorno sea más desafiante.

«Nunca había visto nada como esto», dice, «para interrumpir la toma de decisiones del adversario».

Sara Peters es editora senior de Dark Reading y anteriormente editora en jefe de Enterprise Efficiency. Antes de eso, fue editora senior del Laptop Safety Institute, escribiendo y hablando sobre virtualización, administración de identidades, leyes de ciberseguridad y una miríada de … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique