La tecnologia di inganno, comunemente chiamata inganno informatico, è una categoria di strumenti e tecniche di sicurezza progettati per rilevare e deviare il movimento laterale di un aggressore una volta che si trova all'interno della rete. La tecnologia di inganno consente ai difensori di identificare un'ampia varietà di metodi di attacco senza fare affidamento su firme note o pattern matching.
La tecnologia è nota per l'emissione di avvisi affidabili perché qualsiasi coinvolgimento con tecnologia ingannevole è per definizione "non autorizzato". Oltre ad offuscare la superficie di attacco e rendere difficile per gli aggressori guardarsi intorno inosservati, la tecnologia di inganno reindirizzerà anche l'attaccante a un server di coinvolgimento che raccoglierà informazioni sugli strumenti, i metodi e i comportamenti dell'aggressore. Le integrazioni di terze parti possono essere utilizzate per automatizzare le azioni di risposta appropriate, inclusi l'isolamento, il blocco e la ricerca delle minacce.
Gartner prevede che entro il 2022, il 25% di tutti i progetti di rilevamento e risposta alle minacce includerà funzionalità e funzionalità di inganno.
Crescita del mercato della Deception Technology
La maggiore adozione della tecnologia di inganno è derivata dalla necessità di un rilevamento scalabile delle minacce su un'ampia varietà di superfici di attacco, tra cui:
- Active Directory (AD)
- applicazioni software,
- cloud privati virtuali
- Internet of Things (IoT)
- SCADA
- Sistemi PoS
Violazioni come l'incidente di Solar Winds hanno anche portato alla luce l'ampiezza della necessità di rilevare movimenti laterali ed escalation di privilegi.
Anche le organizzazioni di standard stanno abbracciando l'inganno, con il National Institute of Standards and Technology (NIST) che aggiunge la tecnologia a diverse linee guida recenti. Allo stesso modo, il framework MITRE ATT & CK aiuta le organizzazioni a capire come l'inganno si inserisce nel loro stack di sicurezza per far deragliare le tecniche e le tattiche di attacco, in particolare intorno alla scoperta, al movimento laterale, all'escalation dei privilegi e alla raccolta.
Come funziona l'inganno
Una volta pensato per essere solo per grandi organizzazioni con team di sicurezza maturi, le piattaforme di inganno si sono evolute in una soluzione pratica ed efficace per aziende di tutte le dimensioni.
Le aziende cercano l'inganno informatico per una protezione completa della superficie di attacco, un rilevamento precoce e una migliore comprensione dei loro avversari. Le piattaforme di inganno soddisfano queste esigenze grazie alla scalabilità di implementazione, alla facilità d'uso per gli operatori e alla capacità di lavorare senza problemi con le soluzioni di sicurezza già esistenti.
A differenza delle soluzioni SIEM (Security Information and Event Management) che utilizzano i registri degli eventi per segnalare l'accaduto, l'inganno segnala in modo proattivo ciò che potrebbe accadere. L'inganno si basa sulla rilevazione delle tecniche rispetto a una dipendenza dalle firme o dal pattern matching, il che porta anche alla sua efficacia.
La tecnologia dell'inganno avviserà sulle prime attività di scoperta, ricognizione e aumento dei privilegi. I difensori possono impostare esche e richiami, nascondere le risorse di produzione e indirizzare gli aggressori con disinformazione che farà deragliare il loro attacco. Le esche imitano le risorse IT autentiche in tutta la rete ed eseguono un sistema operativo (OS) reale o emulato. Le esche forniscono servizi progettati per indurre l'aggressore a pensare di aver trovato un sistema vulnerabile. La tecnologia può anche ridurre la superficie di attacco trovando e rimediando alle credenziali esposte che creano percorsi di attacco.
Dopo l'interazione dell'aggressore con una risorsa ingannevole, il team di sicurezza riceverà un avviso basato sul coinvolgimento ad alta fedeltà con informazioni raccolte sull'attacco. Acquisendo informazioni sugli strumenti, i metodi e le intenzioni dell'attaccante, il difensore avrà le conoscenze necessarie per arrestare l'attacco, rafforzare le strategie di difesa generali e livellare il campo di gioco con l'avversario.
L'attaccante otterrà anche un'immagine poco chiara della superficie di attacco, che lo rallenterà, lo costringerà a commettere errori, utilizzerà risorse aggiuntive e avrà un impatto negativo sull'economia del suo attacco.
Per le aziende che conducono valutazioni di sicurezza, la tecnologia di inganno svolge un ruolo importante nel rilevare tempestivamente l'aggressore e nel registrare l'attività di attacco. Queste capacità rendono la tecnologia dell'inganno uno dei metodi più efficaci per gestire il ransomware. È particolarmente abile nel rilevare intrusi che tentano di spostarsi lateralmente all'interno della rete, anche se gli intrusi utilizzano credenziali autentiche.
Implementazione
La tecnologia di inganno è disponibile come un tessuto o una piattaforma di inganno completo, come funzionalità all'interno di una piattaforma più ampia e come soluzioni indipendenti. Le piattaforme di inganno avanzate utilizzano l'apprendimento automatico per implementazioni e operazioni rapide e accurate senza interrompere altre funzioni di rete. Le integrazioni della piattaforma nativa con l'infrastruttura di sicurezza esistente possono fornire una condivisione continua delle informazioni sugli attacchi e facilitare l'automazione. I vantaggi includono blocco automatico, isolamento, ricerca delle minacce, playbook ripetibili che accelerano la risposta agli incidenti e l'integrazione con le soluzioni SOAR.
Le piattaforme di inganno più avanzate forniranno anche la tecnologia di occultamento, che nasconde e nega l'accesso ai dati. Invece di intrecciare risorse ingannevoli tra risorse di produzione, la tecnologia può nascondere risorse reali alla vista di un malintenzionato. Può anche restituire dati falsi all'attaccante per interrompere e far deragliare ulteriori attacchi. La copertura include oggetti AD, credenziali, file, cartelle e unità rimovibili, nonché condivisioni di rete e cloud. Questa funzione funge da potente deterrente ransomware perché gli aggressori non possono trovare e assumere il controllo del dominio o crittografare o rubare dati su unità a cui non possono accedere.
Benefici
L'inganno informatico completa i controlli di sicurezza esistenti rilevando attività di scoperta, spostamento laterale, escalation dei privilegi e raccolta che altri strumenti non sono progettati per affrontare. La tecnologia è altamente scalabile, il che le consente di proteggere una superficie di attacco in continua evoluzione.
Molte delle attività di attacco a cui l'inganno fornisce visibilità sono tradizionalmente difficili da rilevare. Questi includono movimenti laterali, furto e riutilizzo delle credenziali, ricognizione interna delle minacce, attività di man-in-the-middle (MiTM) e attacchi a servizi di directory come LDAP (Lightweight Directory Access Protocol) o AD.
La capacità di ingannare, dirigere e guidare l'avversario lontano dalle risorse critiche nega loro i loro obiettivi e rivela come vogliono muoversi attraverso le reti. Ha anche il vantaggio di aumentare il costo dell'attaccante, perché ora deve decifrare ciò che è reale da ciò che è falso e li costringe a ricominciare i loro attacchi.