Hackear es a menudo como hurgar en una bolsa sin mirar dentro. Si es tu bolso, sabrás dónde buscar y cómo se sienten los objetos. Puede alcanzar y agarrar un bolígrafo en segundos, mientras que otra persona puede agarrar un delineador de ojos.
Además, pueden causar un alboroto en su búsqueda. Rebuscarán en la bolsa más tiempo que tú, y el ruido que hacen aumenta las posibilidades de que los escuches. Si no lo hiciste, el desorden en tu bolso te dice que alguien ha revisado tus cosas. La tecnología del engaño funciona de esta manera.
¿Qué es la tecnología de engaño?
La tecnología de engaño se refiere al conjunto de tácticas, herramientas y activos de señuelo que utilizan los equipos azules para distraer a los atacantes de valiosos activos de seguridad. De un vistazo, la ubicación y las propiedades del señuelo parecen legítimas. De hecho, el señuelo debe ser lo suficientemente atractivo para que un atacante lo considere lo suficientemente valioso como para interactuar con él en primer lugar.
La interacción de un atacante con señuelos en un entorno de seguridad genera datos que brindan a los defensores una idea del elemento humano detrás de un ataque. La interacción puede ayudar a los defensores a descubrir qué quiere un atacante y cómo planea conseguirlo.
Por qué los equipos azules usan tecnología de engaño
Ninguna tecnología es invencible, por lo que los equipos de seguridad asumen una infracción de forma predeterminada. Gran parte de la ciberseguridad se trata de averiguar qué activos o usuarios se han visto comprometidos y cómo recuperarlos. Para hacer esto, los operadores del equipo azul deben conocer el alcance del entorno de seguridad que protegen y los activos en ese entorno. La tecnología del engaño es una de esas medidas de protección.
Recuerde, el objetivo de la tecnología de engaño es hacer que los atacantes interactúen con señuelos y distraerlos de activos valiosos. ¿Por qué? Todo se reduce al tiempo. El tiempo es valioso en ciberseguridad, y ni el atacante ni el defensor tienen suficiente. Interactuar con un señuelo desperdicia el tiempo del atacante y le da al defensor más tiempo para responder a una amenaza.
Más específicamente, si un atacante cree que el activo señuelo con el que interactuó es real, entonces no tiene sentido permanecer al descubierto. Exfiltran los datos robados y (generalmente) se van. Por otro lado, si un atacante inteligente se da cuenta rápidamente de que el activo es falso, sabrá que lo han descubierto y que no puede permanecer mucho tiempo en la red. De cualquier manera, el atacante pierde tiempo y el equipo de seguridad recibe un aviso y más tiempo para responder a las amenazas.
Cómo funciona la tecnología de engaño
Gran parte de la tecnología de engaño está automatizada. El activo señuelo suele ser datos de algún valor para los piratas informáticos: bases de datos, credenciales, servidores y archivos. Estos activos se ven y funcionan como los reales, a veces incluso funcionan junto con activos reales.
La principal diferencia es que son trapos. Por ejemplo, las bases de datos señuelo pueden contener nombres de usuario y contraseñas administrativos falsos vinculados a un servidor señuelo. Esto significa que las actividades que involucran un par de nombre de usuario y contraseña en un servidor de señuelo, o incluso en un servidor real, se bloquean. Del mismo modo, las credenciales de señuelo contienen tokens falsos, hash o vales de Kerberos que redirigen al hacker, básicamente, a un entorno limitado.
Además, los trapos están preparados para alertar a los equipos de seguridad sobre el sospechoso. Cuando un atacante inicia sesión en un servidor señuelo, por ejemplo, la actividad advierte a los operadores del equipo azul en el centro de operaciones de seguridad (SOC). Mientras tanto, el sistema continúa registrando las actividades del atacante, como a qué archivos accedió (por ejemplo, en ataques de robo de credenciales) y cómo ejecutaron el ataque (por ejemplo, movimiento lateral y ataques de hombre en el medio).
Por la mañana me alegro de ver; Mi enemigo extendido bajo el árbol
Un sistema de engaño bien configurado puede minimizar el daño que los atacantes pueden causar en sus activos de seguridad o incluso detenerlos por completo. Y debido a que gran parte está automatizado, no es necesario que riegue y asolee ese árbol día y noche. Puede implementarlo y dirigir los recursos SOC a las medidas de seguridad que requieren un enfoque más práctico.
