En siglos anteriores a nosotros, las personas construían un castillo porque esa era la manera de defender sus activos estratégicos contra el enemigo. En cuanto este gen siga existiendo, continuaremos haciéndolo si necesitamos proteger un activo de alto perfil como es la red de nuestra organización. El trabajo del día a día del Ciso y su equipo es reducir el riesgo mientras que el principal enfoque para lograrlo es agregar más capas de seguridad y monitorearlas para detectar ciberataques.
Las organizaciones no pueden permitirse un enfoque puramente reactivo o pasivo como defensa, ya que los cibercriminales demuestran que cualquier puerta o bóveda se puede atravesar y que solo es cuestión de tiempo encontrar la manera de ingresar.
«Fake News» para protegernos
¿Qué pasaría si se usan las técnicas y tácticas de los cibercriminales contra ellos mismos mediante un enfoque de defensa activa, en lugar de un enfoque reactivo o pasivo? ¿Qué le parecería usar el enfoque de “fake news” o noticias falsas contra el actor de amenazas?
Según Wikipedia, una “fake news” es “información no verdadera presentada como noticia. Normalmente, con el propósito de dañar la reputación de una persona o entidad o de ganar dinero a través de ingresos publicitarios”. Todos vemos diariamente el poder de las noticias falsas y cómo podemos usarlas para influir en la mente de las personas y forzarlas a tomar una mala decisión. Si las noticias falsas son tan poderosas, usémoslas para influenciar a los atacantes a tomar una mala decisión y exponerlos, antes de que cause un enorme daño.
El concepto es básico y directo. Cuando damos noticias falsas y las personas las creen, las engañamos para que tomen el camino incorrecto y esta es la idea principal detrás de usar la cibertecnología del engaño, conocida como Deception, que hace que el atacante crea que logró acceso a datos restringidos y lo mantiene ocupado hasta que la amenaza se contenga.
Realmente, la idea no es nueva. Aquellos con una historia en el campo de la ciberseguridad, podrán recordar el concepto “honeypot”. Deception es una evolución de los honeypots. Históricamente, los honeypots requerían de mucha intervención manual, lo que mejoró considerablemente con la tecnología de Deception. La diferencia es que, con las funciones actuales, es posible automatizar varias cosas: desde alimentar el “señuelo” y mantenerlo actualizado y válido, hasta grabar lo que sucede y activar una respuesta de manera rápida y eficiente.
Los beneficios del enfoque de Deception:
- Dado que se coloca un sistema que no es válido y nadie debiera usarlo, si un atacante ingresa y muerde el anzuelo, puede estar seguro de que ocurrirá un ataque: la cantidad de falsos positivos y falsos negativos se reduce dramáticamente.
- Puede recopilar inteligencia sobre los métodos y técnicas de ataques, de modo que pueda ajustar sus sistemas de seguridad para bloquear el ataque más reciente y también el futuro.
- Los atacantes estarán ocupados durante los ciberataques al intentar obtener acceso a su sistema falso, por lo que sus sistemas reales permanecen seguros. Esto es aún más importante en entornos muy críticos como los sectores financieros o gubernamentales, educación o tecnología operativa (OT) y entornos de infraestructura crítica.
Lo anterior es tan evidente que incluso el marco de ciberseguridad MITRE lo dejó muy claro en las Tácticas de MITRE Shield (canalizar, recolectar, contener, detectar, interrumpir, facilitar, legitimar y probar) donde la tecnología de Deception se presenta en casos de uso para cada una de estas etapas. Mitre Shield definió técnicas de defensa activa para mejorar la detección de amenazas y ayudar al Centro de Operaciones de Seguridad (SOC) a desarrollar una estrategia de defensa proactiva. El enfoque principal es informar a los profesionales de la seguridad acerca de la actividad de los cibercriminales.
La detección de los ciberataques basada en las soluciones de Deception se diseñó para identificar atacantes en la red, independientemente del vector de ataque. A diferencia de otras formas de detección, la solución no requiere tiempo para conocer la red y es eficaz tras la implementación. Con Deception, el análisis de ataques y el análisis forense se vuelven mucho más procesables y poderosos, además las alertas de alta fidelidad permiten la automatización de las acciones de respuesta a incidentes como el bloqueo, la cuarentena y la búsqueda de amenazas.
También te puede interesar: 58 % ha sido víctima de ciberataques a diciembre de 2020.
En un mundo donde las probabilidades están muy inclinadas a favor de los cibercriminales; las soluciones de Deception nivelan el campo de juego. Principalmente, porque automatizan la creación de señuelos dinámicos que se encuentran dispersos por todo el entorno de TI. Debido a que los atacantes no pueden determinar cuáles activos son falsos y cuáles son reales, su ventaja de tiempo se reduce o se elimina por completo. Cuando un adversario no puede hacer esta distinción, los cibercriminales se ven obligados a perder el tiempo en activos falsos mientras informan inadvertidamente a un administrador de seguridad de su presencia.
Incluso si se dan cuenta del engaño, los atacantes deben actuar de inmediato con precaución mientras buscan detonantes incrustados en el entorno falso. Esto los obliga a modificar sus tácticas de los ciberataques de manera que aumentan las posibilidades de que el equipo de seguridad los detecte. Si está preparado para cambiar el tradicional juego del gato y el ratón, siga leyendo de qué manera FortiDeceptor de Fortinet puede crear un laberinto infinito que obligará al ratón a rendirse.
Imagen: Vía Freepik.
