Un informe reciente de Enterprise Management Associates (EMA) muestra que los usuarios que hacen uso de la llamada “tecnología del engaño” reportan una mejora 12 veces mayor en el número promedio de días que se tardan en detectar atacantes que operan dentro de una red empresarial (dwell time), lo que equivale a una tasa de reducción del 91% en el tiempo de permanencia y que se traduce a 5.5 días.
IDG por ejemplo, en su Estudio de prioridades de seguridad del 2019, menciona que la ciber decepción es la segunda tecnología más investigada este año en ciberseguridad por las organizaciones.
La tecnología del engaño ha estado avanzando constantemente en las arquitecturas de seguridad como un elemento crítico en función de su capacidad para detectar intrusos de manera temprana en los ciclos de vida del atacante, proporcionar información valiosa para realizar el rastreo y análisis de incidentes y su facilidad de implementación y operación por parte de organizaciones de todos los tamaños.
A este respecto, la empresa Attivo Networks reveló que la detección de amenazas internas representa el 40% de los principales casos de uso de sus clientes, lo que también ha acelerado la demanda. Además, la compañía está disipando las creencias heredadas de que la tecnología de engaño es implementada exclusivamente por grandes organizaciones.
En efecto, las organizaciones pueden ir mucho más allá de las capacidades tradicionales de tecnología de engaño y crear una capa de detección en toda la red. Porque, sin importar el método o el dispositivo en red que elija un ciberdelincuente, “éste no puede evitar la detección cuando intenta moverse lateralmente para avanzar en su ataque cuando las soluciones ThreatDefend están en uso “, afirmó Juan Carlos Vázquez, Gerente Regional para Latinoamérica de Attivo Networks.
Agregó que la mayoría de los competidores basan el enfoque en trampas estáticas (similar al concepto de honeypots) de las cuales se puede lograr evasión por los atacantes sofisticados y donde se espera que el atacante llegue a “tocar” estas para detonar una alerta, el concepto moderno debe de incluir poderosos señuelos, engaño a nivel aplicativo y de los datos y lo que es más interesante, la red productiva se debe de convertir en un campo minado hacia el atacante.
Attivo Networks opera desde su concepción en el concepto de alta interacción, es decir, emplea sistemas operativos “reales” como mecanismo de engaño. Gartner publicó en marzo de este año una investigación denominada Improve Your Threat Detection Function With Deception Technologies, donde recomienda a las entidades interesadas en desplegar arquitecturas de engaño el hacer uso de artefactos y esquemas de alta interacción para los casosdescritos en el documento y que van muy a la par del nivel de madurez de las organizaciones.
La reconocida matriz del MITRE ATT&CK describe 12 categorías de tácticas que los adversarios usan en un ataque exitoso, y la plataforma ThreatDefend está diseñada para descarrilar tácticas en 11 de ellas. La compañía también ha trabajado para alinear su arquitectura a los marcos de seguridad y ahora permite cumplimiento con 32 de las subcategorías de referencia en el Marco de Ciberseguridad NIST y 27 requisitos del ISO/IEC 2700 y 27002.
“El impulso que estamos viendo a nivel mundial es un testimonio del valor que estamos entregando a los clientes de Latinomérica a través de una detección altamente precisa, reducción del “dwell time” que es crítico para los CISOs hoy en día y la inteligencia de los ataques requerida para detectar y responder rápidamente a los incidentes. El ransomware es sólo un caso uso clásico donde los clientes pueden palpar el valor del enfoque. Imagine aislar de inmediato y de manera automatizada a través de un playbook, la fuente de un ataque de malware mediante una integración con soluciones de terceros como NAC o EDR o mediante la misma tecnología de engaño”, aseveró Vázquez.
Las innovaciones recientes a la arquitectura de detección y respuesta de Attivo Networks incluyen:
La fábrica de engaño ThreatDefend, diseñada para la detección de amenazas más completa y escalable en redes locales, en la nube, remotas y especializadas, incluidos POS, IoT e ICS/SCADA, incluidos engaños de red, punto final, sistema operativo, aplicación y datos.
Técnicas de camuflaje que crean engaños de la más alta autenticidad y credibilidad, las cuales reflejan los activos productivos mediante su tecnología patentada de alta interacción (sistemas operativos reales) y el más amplio esquema de señuelos como credenciales, unidades de red, cookies, etc. “Esto es un aspecto fundamental que diferencia a Attivo del resto de fabricantes del mercado, los cuales operan en el concepto de emulaciones estáticas”, advirtió el directivo.
Aprendizaje automático mediante “machine learning”, que abarca la implementación y las operaciones de las trampas y señuelos. Esta automatización ha sido revolucionaria en cómo el engaño se despliega y logra operaciones simples y fáciles.
ADSecure, el cual detecta activamente cualquier actividad de reconocimiento de un adversario interceptando las consultas la Active Directory, ocultando datos reales y desviando los ataques con contenido engañoso, sin instalar nada en el directorio productivo. Es una capacidad poderosa para los defensores y Blue Teams.
Una automatización de análisis de ataque, con indicadores para el analista de manera centralizada con la más poderosa visualización para identificar y correlacionar incidentes simplificando la respuesta al poner eventos, líneas de tiempo y datos de ataque en una vista accionable, a diferencia de tecnologías que no brindan contexto ni inteligencia para el analista. Adicionalmente el fabricante permite realizar un análisis forense sobre las fuentes de ataque.
ThreatOps, que incorpora “playbooks” para la automatización de respuesta a incidentes e incorporación con tecnologías de orquestación SOAR. Su tecnología utiliza más de 30 integraciones nativas disponibles para análisis automatizado, bloqueo, aislamiento, búsqueda de amenazas y orquestación.
Un ThreatPath que identifica las rutas laterales que un atacante explotaría y proporciona visibilidad para la eliminación automática de rutas y la reducción de la superficie de ataque disponible, donde se hace uso de contraseñas almacenadas sobre los usuarios productivos.
Deflect brinda la habilidad de detectar y desviar escaneos de puertos sobre los usuarios productivos a las trampas para “enganchar” a los adversarios, haciendo que cada punto final sea parte del entorno de engaño o aislar por completo a un equipo productivo que ha sufrido un compromiso.
Attivo Networks será patrocinador Premier en el próximo CSO Executive Forum 2020, organizado por CIO México y Computerworld México, que se realizará el 18 de febrero en la Ciudad de México, donde los asistentes tendrán la oportunidad de escuchar acerca del valor y aplicabilidad del uso de la Deception Technology.
