Tecnologia de engano, comumente referida como ciberengano, é uma categoria de ferramentas e técnicas de segurança concebidas para detectar e desviar o movimento lateral de um atacante uma vez dentro da rede. A tecnologia de engano permite aos defensores identificar uma grande variedade de métodos de ataque sem depender de assinaturas conhecidas ou de correspondência de padrões.
A tecnologia é conhecida por emitir alertas confiáveis porque qualquer envolvimento com tecnologia enganosa é, por definição, "não autorizado". Além de ofuscar a superfície de ataque e tornar desafiador para os atacantes olhar ao redor sem ser detectado, a tecnologia enganosa também redirecionará o atacante para um servidor de engajamento que reunirá inteligência sobre as ferramentas, métodos e comportamentos do atacante. Integrações de terceiros podem ser usadas para automatizar ações de resposta apropriadas, incluindo isolamento, bloqueio e caça a ameaças.
Gartner prevê que até 2022, 25% de todos os projetos de detecção e resposta a ameaças incluirão recursos e funcionalidades de decepção.
Crescimento do mercado de tecnologia de engano
A adopção generalizada da tecnologia de engano resultou da necessidade de detecção escalável de ameaças numa grande variedade de superfícies de ataque, incluindo:
- Active Directory (AD)
- aplicações de software,
- nuvens privadas virtuais
- Internet of Things (IoT)
- SCADA
- System PoS
Quebras como o incidente dos Ventos Solares, também trouxeram à luz a magnitude da necessidade de detectar movimentos laterais e escalações de privilégios.
Organizações de padrões também estão abraçando o engano, com o Instituto Nacional de Padrões e Tecnologia (NIST) adicionando a tecnologia a várias diretrizes recentes. Da mesma forma, a estrutura MITRE ATT&CK ajuda as organizações a entender como o engano se encaixa em sua pilha de segurança para descarrilar técnicas e táticas de ataque - especificamente em torno da descoberta, movimento lateral, escalada de privilégios e coleta.
>forte>Como Funciona o Engano
forte>
P>P>Possível ser apenas para grandes organizações com equipas de segurança maduras, as plataformas de engano evoluíram para uma solução prática e eficaz para empresas de todos os tamanhos.
As empresas procuram o engano cibernético para uma protecção abrangente da superfície de ataque, detecção precoce, e uma melhor compreensão dos seus adversários. As plataformas de engano atendem a essas necessidades através de sua escalabilidade de implantação, facilidade de uso para as operadoras e capacidade de trabalhar perfeitamente com soluções de segurança já existentes.
Soluções de gerenciamento de eventos e informações de segurança (SIEM) não similares que utilizam logs de eventos para relatar o que aconteceu, o engano relata proativamente o que poderia acontecer. o engano é baseado em técnicas de detecção versus uma dependência de assinaturas ou correspondência de padrões, o que também leva à sua eficácia.
A tecnologia de engano alertará sobre atividades de descoberta precoce, reconhecimento e escalonamento de privilégios. Os defensores podem definir iscas e chamarizes, esconder ativos de produção e desviar atacantes com desinformações que desviarão seu ataque. Os chamarizes imitam ativos de TI genuínos em toda a rede e executam um sistema operacional (SO) real ou emulado. Os chamarizes fornecem serviços projetados para enganar o atacante a pensar que ele encontrou um sistema vulnerável. A tecnologia também pode reduzir a superfície de ataque, encontrando e remediando credenciais expostas que criam caminhos de ataque.
Interacção do atacante com um activo enganador, a equipa de segurança receberá um alerta de alta fidelidade, baseado no compromisso com a inteligência recolhida sobre o ataque. Ao obter uma visão das ferramentas, métodos e intenções do atacante, o defensor terá o conhecimento necessário para desligar o ataque, reforçar as estratégias gerais de defesa e nivelar o campo de jogo com seu oponente.
O atacante também terá uma imagem pouco clara da superfície de ataque, o que irá atrasá-los, forçá-los a cometer erros, gastar recursos adicionais e impactar negativamente a economia de seu ataque.
Para empresas que conduzem avaliações de segurança, a tecnologia do engano desempenha um papel importante na detecção precoce do atacante e no registro da atividade de ataque. Estas capacidades fazem da tecnologia do engano um dos métodos mais eficazes para lidar com o resgate. Ela é particularmente hábil em detectar intrusos que tentam se mover lateralmente dentro da rede -- mesmo que intrusos usem credenciais autênticas.
>strong>Implementation
A tecnologia de decepção está disponível como um tecido ou plataforma de decepção completa, como recursos dentro de uma plataforma mais ampla e como soluções independentes. As plataformas avançadas de decepção utilizam a aprendizagem da máquina para uma implementação e operações rápidas e precisas sem perturbar outras funções de rede. As integrações de plataformas nativas com a infra-estrutura de segurança existente podem proporcionar uma partilha de informações de ataque sem falhas e facilitar a automação. Os benefícios incluem bloqueio automático, isolamento, caça a ameaças, playbooks repetíveis que aceleram a resposta a incidentes e integração com soluções SOAR.
As plataformas de fraude mais avançadas também fornecerão tecnologia de ocultação, que esconde e nega o acesso aos dados. Ao invés de entrelaçar ativos enganosos entre os ativos de produção, a tecnologia pode esconder ativos reais da visão de um atacante. Ela também pode devolver dados falsos ao atacante para interromper e descarrilar outros ataques. A cobertura inclui objetos AD, credenciais, arquivos, pastas e unidades removíveis, bem como compartilhamentos de rede e nuvem. Esta função serve como um poderoso dissuasor de resgate porque os atacantes não podem encontrar e assumir o controle do domínio ou criptografar ou roubar dados em unidades que não podem acessar.
Benefícios
Cyber deception complementa os controles de segurança existentes, detectando descoberta, movimento lateral, escalada de privilégios e atividades de coleta que outras ferramentas não são projetadas para atender. A tecnologia é altamente escalável, o que lhe permite proteger uma superfície de ataque em constante evolução.
Muitas das actividades de ataque que o engano proporciona visibilidade são tradicionalmente desafiantes de detectar. Estas incluem movimento lateral, roubo e reutilização de credenciais, reconhecimento interno de ameaças, atividades man-in-the-middle (MiTM) e ataques a serviços de diretório como o Lightweight Directory Access Protocol (LDAP) ou AD.
A capacidade de enganar, direcionar e guiar o adversário para longe de ativos críticos nega a eles seus objetivos e revela como eles querem se mover através das redes. Também detém o benefício de aumentar o custo do atacante, pois ele deve agora decifrar o que é real do que é falso e forçá-lo a reiniciar seus ataques.