¿Qué es la Deception Technology?

¿Por qué es importante la tecnología de engaño?

No importa lo buenas que sean sus defensas perimetrales, siempre hay una oportunidad de que los ciberdelincuentes se infiltren en su red. La tecnología de engaño les hará perder el tiempo explorando los activos sin valor que ha colocado mientras les hace caer en una trampa. Una vez que revelen su presencia, obtendrá un indicador temprano de su comportamiento y podrá obtener información para usar contra ellos.

Las defensas tecnológicas de engaño moderno se basan en gran medida en los principios de engaño militar empleados por Chanakya, Sun Tzu, Napoleón y Gengis Kan para conquistar continentes a través del engaño, el camuflaje y el subterfugio. En el contexto de la ciberseguridad, los defensores usan señuelos y trampas para engañar a los atacantes y que estos crean que tienen una posición en la red y se revelen.

Ventajas de la tecnología de engaño

En general, la mayor ventaja del engaño es que hace recaer la carga del éxito en el atacante en lugar de en el defensor. Una vez que haya poblado su red con señuelos, los adversarios necesitan realizar un ataque impecable, sin caer en un solo activo falso, un despiste o una trampa, para tener éxito. Si cometen algún error, usted gana.

Veamos cinco ventajas del engaño que hacen que esto sea posible:

1. Detección de amenazas mejorada

Si coloca las clases de detección en una escala de precisión, hay dos extremos:

• Detección basada en firmas, que es muy precisa pero es muy específica a la amenaza en cuestión
• Análisis/heurística de comportamiento, con amplia cobertura de amenazas, pero propenso a generar falsos positivos

Las alertas de engaño son lo mejor de ambos mundos: muy precisas con una amplia cobertura de amenazas.

2.Conciencia de riesgo empresarial

La mayoría de los controles de seguridad no tienen en cuenta los riesgos empresariales actuales: su antivirus no sabe que su empresa está atravesando un proceso de fusión. El engaño, sin embargo, se puede alinear intrínsecamente con ellos. Por ejemplo, si está lanzando un nuevo producto, puede crear medidas de engaño en lo referente a ese lanzamiento, alineando los controles de seguridad estrechamente con las áreas donde percibe el riesgo.

3. Mayor cobertura

El engaño se puede aplicar ampliamente en toda su organización, incluidos los entornos que a menudo son puntos ciegos. El engaño puede detectar amenazas en el perímetro, en los terminales, en la red, en el directorio activo y en todas las capas de la aplicación, así como cubrir entornos a menudo descuidados como SCADA/ICS, IoT y la nube.

A diferencia de las soluciones puntuales, el engaño también cubre toda la cadena de destrucción, desde el reconocimiento previo al ataque hasta la explotación, la ampliación de privilegios, el movimiento lateral y la pérdida de datos.

4. Número extremadamente bajo de falsos positivos

Los falsos positivos pueden dejar exhausto a cualquier equipo de seguridad. El engaño produce intrínsecamente muy pocos: nadie, salvo un atacante, debería tener motivos para interactuar con un señuelo. Más allá de eso, las alertas proporcionan contexto acerca de la intención de un atacante.

La mayoría de los análisis de comportamiento utilizan el aprendizaje automático para señalar anomalías desde una base de referencia, lo que tiende a crear falsos positivos. El engaño establece una línea de base de actividad cero (por lo que cualquier actividad justifica una investigación) y proporciona indicadores detallados de compromiso.

5. Respuesta orquestada

La respuesta orquestada/automatizada es más útil cuando el evento desencadenante es 100 % seguro. Incluso entonces, dichas alertas generalmente no necesitan orquestación porque los productos que las generan ya se encargan de la corrección (por ejemplo, cuarentena antivirus).

Las alertas de engaño son altamente ciertas y contextuales, por lo que puede orquestar escenarios más complejos (por ejemplo, que las credenciales de engaño redirijan a un entorno de señuelo y se bloqueen en el entorno real) o dirigirse a aplicaciones específicas (por ejemplo, una cuenta que accede a un servidor bancario SWIFT señuelo se bloquea en el servidor SWIFT real).

Cómo funciona la tecnología de engaño

La tecnología de engaño moderna utiliza técnicas de defensa activa para hacer de su red un entorno hostil para los atacantes. Al igual que los honeypots (más sobre esto en breve), la tecnología de engaño actual puebla su red con recursos falsos que parecen activos de producción, pero a los que ningún usuario legítimo necesita acceder. Luego, aprovecha las alertas basadas en engaños para detectar actividad maliciosa, generar inteligencia sobre amenazas, detener el movimiento lateral y orquestar la respuesta y contención de amenazas, todo ello sin supervisión humana.

Las plataformas de engaño modernas siguen un modelo de detección proactivo y que origina pocos falsos positivos. Los análisis profundos apuntan al propósito humano detrás de un ataque, se adaptan a las nuevas amenazas antes de que ocurran y ofrecen orquestación y automatización de las acciones de respuesta. Dado que las defensas mediante el engaño no dependen de firmas o de la heurística para la detección, pueden cubrir cualquier vector de ataque y detectar virtualmente cualquier ataque, incluidas las amenazas persistentes avanzadas (APT), las amenazas de día cero, el reconocimiento, el movimiento lateral, los ataques sin archivos, la ingeniería social, los ataques de intermediarios y el ransomware, todo ello en tiempo real.

Una vez que haya identificado a un atacante en su red, podrá manipular el entorno de engaño en tiempo real según su conocimiento del ataque. Estas son algunas situaciones posibles:

• Manipular al atacante generando o eliminando activos engañosos.
• Generar tráfico de red, alertas o mensajes de error para fomentar un comportamiento de atacante específico.
• Implementar herramientas de secuestro de sesiones para nublar o distorsionar las percepciones del atacante sobre el entorno.
• Crear situaciones que obliguen a un atacante a revelar información sobre quiénes son y de dónde vienen para sortear los obstáculos percibidos.

El engaño va más allá de simplemente hacer que los ciberatacantes pasen por obstáculos adicionales. Aprovecha el hecho de que la mayoría de los atacantes no saben todo sobre el entorno en el que intentan infiltrarse y, por lo tanto, no pueden saber qué es real y qué es falso. Esto invierte fundamentalmente la dinámica de poder entre atacantes y defensores, dándole una perspectiva concreta sobre lo que quieren los delincuentes, por qué lo quieren y cómo planean conseguirlo.

Tecnología de engaño moderna versus Honeypots

La primera herramienta de engaño de seguridad de la información, el honeypot, apareció hace varias décadas y todavía se utiliza en la actualidad. Los Honeypots son activos desprotegidos pero supervisados diseñados para atraer atacantes que han violado una red. Una vez que se accede al honeypot, los equipos de operaciones de seguridad pueden actuar para obtener información sobre el atacante o detener el ataque.

Las tecnologías de engaño más antiguas, como los honeypots, las credenciales de miel y otras similares, son técnicas esencialmente reactivas y estáticas. Pueden quedar obsoletas rápidamente y no pueden mantenerse al día con las tácticas cambiantes de los atacantes, lo que facilita que los atacantes evadan la detección y permanezcan en la red. Los Honeypots y Honeynets accesibles a través de Internet pueden generar muchos falsos positivos si la tecnología no puede diferenciar entre actividades de análisis amplio y reconocimiento específico.

Desafíos de la tecnología de detección heredada

Los métodos de engaño cibernético se basan en la suposición de que un atacante ya ha eludido sus defensas perimetrales y ha accedido a sus redes, terminales, sistemas operativos y aplicaciones. Otros métodos de detección de amenazas están diseñados para alertar a los equipos de seguridad sobre las amenazas, pero se quedan cortos frente a los sofisticados ataques actuales.

Las herramientas de detección heredadas, como los cortafuegos y la detección de terminales, cada una diseñada para un tipo específico de seguridad (red, aplicación, terminal, dispositivos IoT, etc.), a menudo funcionan de forma aislada unas de otras. Esto presenta varios problemas:

• Alertas de baja fidelidad porque estas herramientas sólo pueden ver su porción específica de la infraestructura de seguridad sin contexto.
• Mayor tiempo de investigación, ya que los analistas de seguridad deben alternar entre múltiples herramientas para descubrir la secuencia del ataque y el alcance del daño.
• Altas tasas de falsos positivos, lo que provoca fatiga de alerta. Una encuesta de 2021 realizada por ESG encontró que el 45 % de las alertas de las aplicaciones web y las herramientas de seguridad API de los encuestados fueron falsos positivos.

Además, muchas tecnologías de detección existentes son mucho mejores contra el malware que contra los ataques dirigidos por personas, ya sean amenazas externas o internas. Los atacantes avanzados, mucho más sofisticados que los hackers más pequeños, son expertos en imitar los comportamientos de los usuarios legítimos para no ser detectados. Sin embargo, cuando se enfrentan a plataformas de engaño, estos atacantes quedan al descubierto en cuanto interactúan con un señuelo.

Casos prácticos de engaño

¿Qué tipos de amenazas puede detectar la tecnología de engaño?

Puede utilizar tecnología de engaño para detectar amenazas a lo largo de la cadena de destrucción, desde el reconocimiento hasta el robo de datos. Hay tres categorías amplias de casos de uso:

• Defensa perimetral contra engaños: generalmente no es factible supervisar todo el tráfico entrante en busca de amenazas potenciales. Configurar activos engañosos de cara al público puede simplificar este problema y brindarle información procesable sobre quién está tratando de atacarle.
• Defensa contra el engaño de la red: colocar señuelos en lugares que un atacante podría examinar, pero a los que los usuarios legítimos nunca necesitarían acceder, puede identificar un ataque en progreso.
• Defensa contra el engaño de terminales: para un atacante, los señuelos de terminales parecen activos valiosos listos para ser filtrados. La supervisión de estos activos puede detectar comportamientos sospechosos, así como comportamientos que serían la norma en la red pero que no tienen un lugar legítimo en un terminal particular en un momento determinado.

¿Su organización debería usar el engaño?

Hasta hace poco, el sector asumía ampliamente que el engaño era principalmente útil para organizaciones con funciones de ciberseguridad altamente maduras. Sin embargo, las organizaciones medianas y pequeñas también pueden obtener grandes beneficios de esta tecnología. El engaño se está convirtiendo en una capacidad habitual en empresas de todas las formas y tamaños.

Grandes organizaciones maduras

Las organizaciones de vanguardia y de gran presupuesto con funciones de seguridad bien desarrolladas utilizan el engaño para optimizar sus capacidades de detección de amenazas, creación de inteligencia sobre amenazas internas y respuesta.

Estas organizaciones buscan detectar amenazas más avanzadas con el engaño y aprovechar el reducido número de alertas de falsos positivos para la búsqueda proactiva de amenazas o la respuesta integrada a través de sus tecnologías de cumplimiento existentes. Este segmento de mercado ha liderado el camino para que el engaño se adopte más mayoritariamente.

Organizaciones del mercado mediano y más pequeñas

Los CISO del mercado mediano y los equipos de seguridad eficientes en organizaciones más pequeñas trabajan con presupuestos más pequeños, pero aún así a menudo enfrentan grandes amenazas y riesgos, como preocupaciones de cumplimiento. Es posible que estas organizaciones tengan establecida al menos una higiene de seguridad básica, pero deben poder detectar amenazas más graves. Necesitan algo que sea:

• Rápido de implementar, que ofrezca una ganancia rápida hoy
• Fácil de usar y de bajo mantenimiento, adecuado para un pequeño equipo de seguridad interno
• No es una solución puntual, ya que hay muy poco presupuesto para múltiples tecnologías
• Equipado para una amplia cobertura, incluyendo Áreas como la nube y IoT

Deception marcan todas estas casillas, lo que permite a estas organizaciones defenderse contra amenazas más avanzadas y específicas.

Zscaler: engaño con una arquitectura de confianza cero

Ninguna técnica o política de ciberseguridad es 100 % efectiva para detener a los atacantes. Para obtener la máxima protección, se necesitan varias tecnologías que trabajen conjuntamente y compartan información. La idea es minimizar su superficie de ataque y acelerar su capacidad para poner solución a los incidentes.

Una de las combinaciones más poderosas es la integración de tecnología de engaño con seguridad de confianza cero. La confianza cero supone que cada acceso o solicitud de usuario es hostil hasta que tanto la identidad del usuario como el contexto de la solicitud estén autenticados y autorizados, otorgando acceso exclusivamente a los recursos mínimos requeridos, un concepto conocido como "acceso con privilegios mínimos".

Los señuelos de engaño actúan como cables trampa en un entorno de confianza cero, detectando usuarios comprometidos o movimientos laterales a través de la red. Se realiza un seguimiento de cualquier movimiento lateral en un entorno seguro y aislado, alertándole sobre en qué tipo de activo está interesado el atacante, ralentizándolo y permitiendo que los equipos de seguridad supervisen sus tácticas, técnicas y procedimientos (TTP).

Defensa activa con el marco MITRE Engage

MITRE Engage es un marco industrial confiable para discutir y planificar actividades de participación, engaño y negación del adversario basadas en el comportamiento del adversario observado en el mundo real. La matriz de MITRE sirve como una guía objetiva y de vanguardia sobre cómo su organización puede implementar mejor tácticas de engaño y captación del adversario como parte de su estrategia general de seguridad de confianza cero.

Zscaler se enorgullece de asociarse con MITRE en el marco Engage