La tecnología de engaño (también llamada tecnología de engaño y tecnología de disrupción ) es una categoría de mecanismos de defensa de seguridad cibernética que brindan una advertencia temprana de posibles ataques de seguridad cibernética y alertan a las organizaciones sobre actividades no autorizadas. Los productos de tecnología de engaño pueden detectar, analizar y defenderse contra ataques de día cero y avanzados, a menudo en tiempo real. Son automatizados, precisos [1] y brindan información sobre la actividad maliciosa dentro de las redes internas que puede pasar desapercibida para otros tipos de defensa cibernética. La tecnología de engaño busca engañar a un atacante, detectarlo y luego derrotarlo.
La tecnología de engaño considera el punto de vista de los atacantes humanos y el método para explotar y navegar por las redes para identificar y exfiltrar datos. Se integra con las tecnologías existentes para proporcionar nueva visibilidad en las redes internas, compartir alertas de alta probabilidad e inteligencia de amenazas con la infraestructura existente.
La tecnología de engaño automatiza la creación de trampas (señuelos) y cebos, que se integran estratégicamente entre los recursos de TI existentes. Estos señuelos proporcionan una capa adicional de protección para frustrar a los atacantes que han violado la red. Las trampas pueden ser activos de TI que utilizan software de sistema operativo con licencia genuina o emulan varios dispositivos, como dispositivos médicos , cajeros automáticos (ATM), sistemas de puntos de venta minoristas , conmutadores, enrutadores y más. Por otro lado, los cebos generalmente consisten en recursos de tecnología de la información reales, como archivos de diferentes tipos, que se colocan en activos de TI reales . Debido al avance en el área de la ciberseguridad, los programas de tecnología de engaño son cada vez más proactivos en su enfoque y producen menos alertas de falsos positivos. El objetivo es descubrir con precisión la intención del atacante y sus tácticas, técnicas y procedimientos. Esta información permitirá una respuesta eficaz de las plataformas de tecnología de engaño. [2]
Al penetrar en la red, los atacantes intentan establecer una puerta trasera y luego la utilizan para identificar y exfiltrar datos y propiedad intelectual. Comienzan a moverse lateralmente a través de las VLAN internas y casi inmediatamente "encontrarán" una de las trampas. La interacción con uno de estos "señuelos" activará una alerta. Estas alertas tienen una probabilidad muy alta y casi siempre coinciden con un ataque en curso. El engaño está diseñado para atraer al atacante; el atacante puede considerarlo un activo valioso y continuar inyectando malware . La tecnología de engaño generalmente permite el análisis estático y dinámico automatizado de este malware inyectado y proporciona estos informes a través de la automatización al personal de operaciones de seguridad. La tecnología de engaño también puede identificar, a través de indicadores de compromiso (IOC), puntos finales sospechosos que son parte del ciclo de compromiso. La automatización también permite un análisis de memoria automatizado de los puntos finales sospechosos y luego aislar automáticamente los puntos finales sospechosos.
Los dispositivos de Internet de las cosas (IoT) no suelen ser analizados en profundidad por las defensas tradicionales y siguen siendo objetivos principales para los atacantes dentro de la red. La tecnología de engaño puede identificar a los atacantes que se mueven lateralmente hacia la red dentro de estos dispositivos.
Los dispositivos integrados llave en mano que utilizan sistemas operativos integrados pero que no permiten que estos sistemas operativos sean escaneados o protegidos de cerca por un software de detección de intrusiones o de punto final integrado también están bien protegidos por una implementación de tecnología de engaño en la misma red. Los ejemplos incluyen sistemas de control de procesos (SCADA) utilizados en muchas aplicaciones de fabricación a nivel mundial. La tecnología de engaño se ha asociado con el descubrimiento de Zombie Zero , [3] un vector de ataque . La tecnología de engaño identificó a este atacante utilizando malware integrado en lectores de códigos de barras que se fabricaron en el extranjero.
Los dispositivos médicos son particularmente vulnerables a los ataques cibernéticos dentro de las redes de atención médica. Como dispositivos certificados por la FDA , se encuentran en sistemas cerrados y no son accesibles para el software de defensa cibernética estándar. La tecnología de engaño puede rodear y proteger estos dispositivos e identificar a los atacantes mediante la colocación de puertas traseras y la exfiltración de datos. Los ataques cibernéticos documentados recientemente a dispositivos médicos incluyen máquinas de rayos X , escáneres de TC , escáneres de resonancia magnética , analizadores de gases en sangre , sistemas PACS y muchos más. Las redes que utilizan estos dispositivos pueden protegerse mediante tecnología de engaño. Se estima que este vector de ataque, llamado secuestro de dispositivos médicos o medjack, ha penetrado en muchos hospitales en todo el mundo. [4]
Los productos especializados en tecnología de engaño ahora pueden abordar el aumento del ransomware al engañarlo para que realice un ataque a un recurso señuelo, al mismo tiempo que aíslan los puntos de infección y alertan al equipo de software de defensa cibernética. [5]
Los honeypots fueron quizás la primera forma muy simple de engaño. Un honeypot aparecía simplemente como un recurso de tecnología de la información desprotegido y se presentaba de una manera atractiva para un posible atacante que ya estuviera dentro de la red. Sin embargo, la mayoría de los primeros honeypots presentaban problemas de funcionalidad, integridad y eficacia general para cumplir con estos objetivos. Una dificultad clave era la falta de automatización que permitiera una implementación a gran escala; una estrategia de implementación que apuntara a cubrir una empresa donde se necesitaban proteger hasta decenas de miles de VLAN no sería económicamente eficiente utilizando procesos manuales y configuración manual.
La brecha entre los honeypots tradicionales y la tecnología de engaño moderna se ha reducido con el tiempo y seguirá haciéndolo. Los honeypots modernos constituyen el extremo inferior del espacio de la tecnología de engaño en la actualidad.
Las tecnologías tradicionales de defensa cibernética, como los firewalls y la seguridad de endpoints , buscan principalmente defender un perímetro, pero no pueden hacerlo con un 100 % de certeza. Las heurísticas pueden encontrar un atacante dentro de la red, pero a menudo generan tantas alertas que se pasan por alto las alertas críticas. En una gran empresa, el volumen de alertas puede alcanzar millones de alertas por día. El personal de operaciones de seguridad no puede procesar la mayor parte de la actividad fácilmente, pero solo se necesita una penetración exitosa para comprometer una red completa. Esto significa que los ciberatacantes pueden penetrar estas redes y moverse sin impedimentos durante meses, robando datos y propiedad intelectual .
La tecnología de engaño produce alertas que son el producto final de un proceso binario . La probabilidad se reduce esencialmente a dos valores: 0% y 100%. Cualquier parte que intente identificar, hacer ping , ingresar, ver una trampa o utilizar un señuelo es identificada inmediatamente como maliciosa por este comportamiento porque cualquiera que toque estas trampas o señuelos no debería hacerlo. Esta certeza es una ventaja sobre las muchas alertas extrañas generadas por la heurística y la probabilidad.
Las mejores prácticas demuestran que la tecnología de engaño no es una estrategia independiente. La tecnología de engaño es una capa adicional compatible con la defensa cibernética en profundidad existente . Las integraciones con socios la hacen más útil. El objetivo es agregar protección para los atacantes humanos más avanzados y sofisticados que lograrán penetrar el perímetro con éxito.