[27/11/2020] Hace unos años, muchas empresas de tecnología del engaño estaban en el proceso de agregar funciones avanzadas como integración en la nube, inteligencia artificial (IA) y automatización a sus plataformas para combatir amenazas cada vez más avanzadas. Era necesario mejorar las defensas porque los hábiles atacantes estaban comenzando a desenmascarar y eludir los engaños clásicos, como dejar caer migas de pan que apuntaban a activos ficticios y estáticos. Hoy en día, la tecnología del engaño nuevamente tiene la ventaja y puede desplegar un laberinto de activos de apariencia realista, pero falsos, que actúan de manera muy similar a los verdaderos.
La mejora en el esfuerzo para atraer y, en última instancia, incluso atrapar a los hackers más avanzados está siendo dirigida por varias empresas por medio de plataformas de engaño de vanguardia para esta tecnología que continúa emergente. Las siguientes son cuatro de las herramientas de engaño más avanzadas e innovadoras disponibles en la actualidad.
Acalvio Shadowplex
La plataforma Shadowplex, de Acalvio, fue diseñada desde cero para su uso en ambientes empresariales. La empresa no solo considera los dispositivos de TI típicos como computadoras, impresoras y servidores de archivos como parte de esa potencial industria. Shadowplex también puede proteger los sensores y dispositivos de la Internet de las cosas (IoT, por sus siglas en inglés), e incluso los centros de control industrial que conforman gran parte del panorama de la Tecnología Operativa (OT, por sus siglas en inglés).
En el caso de los dispositivos de IoT y OT, es fundamental tener una capa de tecnología del engaño para protegerlos porque, por sí mismos, muchos tienen una seguridad nativa limitada o nula. Esto también la convierte en una buena opción para implementar en un ambiente de atención médica, donde puede imitar cosas como las computadoras de escritorio junto con dispositivos médicos, atrayendo a los atacantes a cualquiera de ellos, según sus intereses.
Ser capaz de proteger la IoT y la OT es impresionante, pero lo notable de Shadowplex es cómo, sin utilizar demasiados recursos, maneja a escala las grandes implementaciones de engaños. El secreto es que todos los activos de engaño existen dentro de lo que llama una granja de engaños, que puede ubicarse dentro de la nube u on premises en una granja de servidores virtualizados. Para volver a conectarse a la red física se requieren una serie de sensores que actúan como el punto final de un túnel de software. Los sensores no necesitan ser potentes ni costosos. Un dispositivo de red de 50 dólares funcionará bien, o también puede estar basado en software y virtualizado. Necesita uno para cada segmento de red que está protegiendo.
¿Cómo funciona Shadowplex? Los activos virtuales para el engaño se implementan en la red que protegerán. Estos activos se pueden implementar automáticamente en función del ambiente del host, y Shadowplex elige una buena combinación de sistemas operativos, TI, OT y dispositivos IoT según corresponda. Los activos para el engaño pueden hablar entre sí y generar tráfico, pero en realidad solo interactúan dentro de la granja para el engaño, y esos resultados se imitan en el ambiente real.
Aunque técnicamente son fachadas, tan pronto como un adversario interactúa con uno, el centro de control que funciona con IA, en la granja para el engaño, activa inmediatamente y por completo el activo para el engaño. Esto ayuda a que el activo funcione como un atacante, que busca el control de una desktop, impresora o dispositivo industrial, esperaría. Mantendrá al atacante ocupado el mayor tiempo posible, mientras alerta a los equipos de seguridad sobre el ataque. Shadowplex también le presentará situaciones al atacante para que aprenda más sobre sus intenciones y tácticas, lo cual es excelente no solo para mitigar la amenaza actual, sino también para mantenerlos fuera en el futuro.
Finalmente, no se necesita ser un experto en engaños para trabajar con Shadowplex. Este programa cuenta con asistentes sorprendentemente útiles que realizarán los comandos del usuario en respuesta a preguntas y órdenes simples. Para ser una plataforma tan poderosa, tener una interfaz tan sencilla es una verdadera fortaleza.
Attivo ThreatDefend Deception and Response Platform
Attivo fue uno de los primeros desarrolladores de tecnología del engaño en agregarle capacidad de respuesta a su producto, y la compañía lo ha mejorado aún más con su nueva plataforma de respuesta y engaño, Attivo ThreatDefend. Ahora se puede implementar on premises, en la nube, en centros de datos o en redes híbridas. La compañía está desarrollando constantemente activos para el engaño basados en nuevos dispositivos, y ofrece crear engaños únicos si un cliente tiene algo exclusivo dentro de su ambiente. Todos los señuelos desplegados parecen ser activos reales que se utilizan dentro de la red.
El objetivo de la plataforma Attivo es el mismo que el de otros conjuntos de herramientas de engaño: implementar activos falsos con los que los atacantes interactuarán, pero que los usuarios reales no conocerán o no tendrán motivos para tocar. Algunos de los señuelos son un poco más públicos que otros, lo que puede ayudar a descubrir amenazas internas o empleados espías. En su mayor parte, los activos para el engaño están diseñados para atrapar a los actores de las amenazas que se muevan por una red y traten de trazar un camino más profundo, subir de nivel sus credenciales, moverse lateralmente o robar datos.
Además de generar una alerta, una vez que un atacante interactúa con uno de los activos del engaño de Attivo, la herramienta hace más que eso. También interactúa con un atacante, devolviendo el tipo de respuestas que el invasor podría esperar. Puede activar una sandbox, de modo que cualquier malware o herramienta de hacking cargada por un atacante vaya al ambiente de la sandbox. Esto no solo protege a la red, sino que también permite examinar el malware para determinar la intención y las tácticas del atacante.
La plataforma también permite a los administradores tomar varias acciones, como poner en cuarentena un sistema que está siendo utilizado como plataforma de lanzamiento por un atacante o caducar las credenciales de un usuario comprometido. Una vez que los usuarios comienzan a confiar en la plataforma, esas acciones se pueden configurar para que ocurran automáticamente una vez que se recopile información importante sobre amenazas.
La plataforma de respuesta y engaño de Attivo no solo proporciona una buena tecnología del engaño, sino que también ayuda a los defensores a poner en marcha sus capacidades de respuesta, una ventaja importante en un mundo donde los segundos cuentan.
Fidelis Deception
Administrar cualquier red empresarial es un trabajo duro. Poner una capa adicional de activos falsos o engañosos lo hace aún más difícil. Las cosas pueden ser mucho más fáciles si los usuarios emplean la plataforma Fidelis Deception, que automatiza la mayoría de los aspectos más engorrosos de las defensas basadas en el engaño.
Puede recorrer el proceso de implementación de activos para el engaño con asistentes y menús desplegables fáciles de usar, o simplemente hacer que Fidelis lo automatice todo. Hace un gran trabajo al implementar activos que coinciden con cualquier otra cosa que haya en el ambiente. Seguirá monitoreando la red a medida que evoluciona y se expande, haciendo sugerencias sobre cómo reflejar esos cambios en la red de engaño. Por ejemplo, si una empresa agrega muchas cámaras de seguridad de IoT nuevas, Fidelis lo detectará y ofrecerá implementar muchas cámaras falsas con características similares. Es totalmente compatible con casi cualquier dispositivo de IoT y muchos de los que se encuentran también en OT.
Más allá de una implementación sencilla, Fidelis también controla sus activos falsos, haciéndolos comunicarse entre sí y realizar acciones que realizaría un dispositivo normal del mismo tipo. Incluso inicia algunas tácticas sorprendentemente avanzadas, como envenenar la tabla del Protocolo de Resolución de Direcciones (ARP, por sus siglas en inglés) para que parezca que los activos engañosos son tan activos como los reales que protegen.
Finalmente, Fidelis es único ya que también genera usuarios falsos que interactúan con los activos falsos de manera realista. Un hacker que intente determinar si un activo es real verá evidencia de que hay usuarios que interactúan con él y bajará la guardia, sin saber que los propios usuarios son parte del elaborado engaño.
TrapX DeceptionGrid 7.0
La plataforma DeceptionGrid, de TrapX, sigue siendo uno de los programas de defensa mediante engaño más sólidos, especialmente en términos de la cantidad de activos realistas, pero falsos, que puede implementar. No es inusual que DeceptionGrid implemente miles y miles de activos falsos en una red que protege, aunque eso no significa necesariamente que cada uno sea un dispositivo engañoso en pleno funcionamiento.
Los activos engañosos implementados por DeceptionGrid incluyen dispositivos de red normales, tokens de engaño y trampas activas. Comenzando con la mayoría de las implementaciones, los principales activos engañosos están diseñados para que parezcan computadoras o dispositivos en pleno funcionamiento, y TrapX tiene varias plantillas diseñadas para industrias específicas como el sector financiero o salud. Puede imitar todo, desde un cajero automático hasta un dispositivo de punto de venta y casi cualquier activo de IoT. Además, DeceptionGrid puede implementar activos engañosos con sistemas operativos completos. Estos sistemas -llamados trampas FullOS- están diseñados para permitir que un atacante crea que está trabajando con un activo real, mientras monitorea completamente todo lo que está haciendo para recopilar inteligencia sobre amenazas.
Más pequeños, pero igual de importantes, son los tokens de engaño desplegados por TrapX. A diferencia de los activos engañosos completamente funcionales, los tokens son simplemente archivos ordinarios, scripts de configuración y otros tipos de señuelos que los atacantes utilizan para recopilar información sobre los sistemas y redes que intentan comprometer. No interactuarán con un atacante, pero les alertarán a los equipos de seguridad cada vez que accedan a ellos, los copien o los vean.
Las trampas activas completan el volumen de activos engañosos desplegados por DeceptionGrid. Estas trampas transmiten volúmenes de tráfico de red falsos entre sí, con indicadores y pistas que conducen al resto de la red de engaño. Es probable que cualquier atacante que esté monitoreando silenciosamente el tráfico de la red sea engañado por el flujo de red falso, lo que lo llevará directamente a un activo engañoso, aunque probablemente asuma que es seguro, ya que parece que está en uso regular y completo dentro de la red.
Si desea cubrir su red con un ejército de activos engañosos para lograr una protección total, nada puede ayudar a lograr ese objetivo mejor que TrapX DeceptionGrid. No es exactamente sutil, pero casi no hay forma de que un atacante navegue con éxito a través del complejo laberinto de diversos activos de engaño que DeceptionGrid puede implementar.
Basado en el artículo de John Breeden II (CSO) y editado por CIO Perú