Focus Cyber Security - Deception Technology, cos'è e come funziona!

  • 5 dicembre 2017
Focus Cyber Security - Deception Technology, cos'è e come funziona!

L'inganno è stato parte integrante della guerra, della politica e degli affari per secoli, quindi forse non sorprende che l'inganno sia diventato una parte importante della battaglia per la sicurezza informatica del XXI secolo.

"Il successo in battaglia segue la via dell'inganno", ha scritto Sun Tzu in "L'arte della guerra", e i criminali informatici hanno certamente preso a cuore questo consiglio. Dal bonifico bancario per elaborare truffe di phishing alle campagne di spearphishing, i cattivi sono stati veloci a seguire la filosofia del raggiro di Sun Tzu.

Ora una nuova generazione di startup di sicurezza sta utilizzando tecniche di inganno come un modo per confondere e imbrogliare gli aggressori - e stanno “seguendo” Sun Tsu in tutta la loro tecnologia.

Secondo Sun Tzu, se un nemico ha una visione scorretta del campo di battaglia, può essere manipolato in situazioni gestibili e questo vale anche per la sicurezza informatica. Se un attaccante spende tempo ed energia in un falso server, il difensore non solo sta proteggendo beni preziosi, ma sta anche imparando a conoscere gli obiettivi, gli strumenti, le tattiche e le procedure dell'aggressore.

Questo esempio illustra la premessa alla base degli strumenti e delle tecnologie dell'inganno.

L' idea è quella di mascherare veri e propri asset ad alto valore in un mare di superfici d'attacco finte. Così facendo, gli aggressori vengono disorientati.

 Che cos' è la "tecnologia dell'inganno"?

Secondo Gartner gli aggressori devono "fidarsi" dell'ambiente in cui inseriscono il loro malware o delle applicazioni e dei servizi web che attaccano via Internet. Si intrufola nel perimetro dell'impresa, cercando un modo all' interno per propagarsi. Potrebbero ingannare un utente a fare clic su un collegamento dannoso, aprire un allegato infetto o fornire credenziali e password. Una volta entrati, si sentono liberi di vagare mentre rubano informazioni riservate o tentare una truffa finanziaria.

L' inganno sfrutta la loro fiducia e spinge l'attaccante verso gli allarmi e può anche essere usato per allontanare un aggressore da beni sensibili e concentrare i propri sforzi su beni falsi, bruciando il proprio tempo e l'investimento dell'aggressore.

Come funziona la "tecnologia dell'inganno"?

Immaginatevi, ad esempio, l'antica città di Troia dietro le sue mura. I Greci fingono di ritirarsi e lasciano un grande cavallo alle porte. I troiani lo fanno entrare. All'interno del cavallo, i greci sentono i troiani festeggiare e alla fine cadere in un sonno provocato dall'alcool. I Greci allora escono cautamente dal cavallo, pronti ad uccidere le guardie e ad aprire i cancelli per lasciare che il loro esercito possa entrare. Invece, si trovano all'interno di un ambiente ben protetto. Sono presi in trappola. I Troiani poi apronoleggermente le porte per permettere all'esercito greco di avanzare. Quando questi lo fanno, i cancelli però sono bloccati e le frecce piovono sul nemico esposto. Risultato: una versione completamente diversa dell'"Iliade" di Omero. Tale vittoria su un aggressore nascosto è uno degli obiettivi degli strumenti di inganno.

Piattaforme di inganno distribuite (DDP) sono soluzioni che creano sistemi falsi (spesso veri e propri sistemi operativi, ma utilizzati come macchine sacrificali), esche (come mappe di drive falsi e cronologie di browser) e honeytokens (credenziali falsificate) su sistemi di utenti finali reali per attrarre e fuorviare l'aggressore a falsificare le risorse al fine di migliorare il rilevamento e ritardare le loro azioni mentre attaccano quelle risorse ingannevoli.

Le funzioni fondamentali di tali sistemi includono: Gestione centralizzata delle esche endpoint reali degli utenti e degli host di endpoint ingannevoli (server e host di workstation); la capacità di gestire servizi ingannevoli, applicazioni web; la capacità di amministrare esche endpoint e honeytokens per attirare l'aggressore; e la capacità di amministrare e distribuire dati ingannevoli (documenti di testo, tabelle di database e file) in host fasulli.

TrapX Security suddivide i diversi elementi ingannevoli in categorie in base a dove sono distribuiti. Le esche sono posizionate su endpoint per attirare l'attenzione dei potenziali attaccanti. Ciò che l'azienda chiama "Decoys di media interazione" sono quelli che si trovano sul livello di rete. Per "decoys ad alta interazione" si intendono quelli che operano all'interno di applicazioni o dati memorizzati per indirizzare erroneamente criminali informatici.

Le soluzioni di deception devono andare oltre il semplice impiego di un "vaso di miele". Devono essere autentici, automatizzati, scalabili e intelligenti. Perché? Gli inganni facilmente identificabili non sono di alcun aiuto, quindi l'autenticità è fondamentale. Inoltre, il personale addetto alla sicurezza IT è spesso troppo occupato per gestire le trappole individualmente, quindi il sistema dovrebbe automaticamente distribuire e gestire i giusti inganni. È qui che entrano in gioco l'intelligenza e l'apprendimento automatico.

Inganno in profondità

Proprio come il mantra della sicurezza è stata la difesa in profondità su tutti i livelli, gli esperti di sicurezza raccomandano allo stesso modo l'inganno in profondità: il dispiegamento di queste tecniche lungo l'intera catena di attacco. Quando gli aggressori stanno conducendo ricognizione dei punti deboli della rete e dell'impresa, fornire loro informazioni false su topografia e risorse. Se sono già all'interno, è necessario capire quali strumenti utilizzare, ritardare la loro distribuzione con informazioni false, tenerli in sandbox occupati per lunghi periodi.

La piattaforma TrapX DeceptionGrid, ad esempio, protegge da insider malintenzionati e cibercriminali sofisticati. La sua architettura multilivello presenta obiettivi ingannevoli che meglio corrispondono all' attività degli aggressori.

Dal momento che non si sa mai dove si potrebbe essere attaccati, la strategia ideale di inganno dovrebbe coprire molti livelli della rete e quanti più tipi di beni possibili. Affinché uno strumento di inganno sia efficace in un ambiente aziendale, deve essere integrato con l'infrastruttura (ad esempio Active Directory, l' infrastruttura di rete) e l' ecosistema della sicurezza.

Queste ulteriori tecniche e tecnologie fanno della lotta per la sicurezza informatica un insieme di strategie sempre più sofisticate e efficaci che rispondo ai tranelli degli attaccanti con trappole ingannevoli.

Vuoi conoscere di più sulla deception technology?

Contattaci per maggiori informazioni!

*
*

Termini e condizioni di utilizzo: privacy policy di Project Informatica