En su libro atemporal "El arte de la guerra", Sun Tzu sostiene que "toda guerra se basa en el engaño". A medida que las empresas se enfrentan a la amenaza cada vez mayor que plantean los ciberataques sofisticados, los gerentes de seguridad de TI están agregando una nueva herramienta a su arsenal de defensa: el engaño cibernético. El engaño cibernético se define como la práctica de seducir, atacar, desviar y detectar atacantes colocando señuelos y trampas en los sistemas corporativos para imitar los activos legítimos. Estos señuelos y trampas pueden ser desde aplicaciones falsas hasta almacenamiento de archivos engañoso.
Cuando un ciberdelincuente intenta poner en peligro la trampa o el señuelo, los vectores de ataque que utilizó durante el ataque se monitorean y registran. Los equipos de ciberseguridad pueden llegar a desviar las acciones del adversario y alterar los datos introducidos en las herramientas automatizadas de los piratas informáticos.
En general, el objetivo es descarrilar el ataque y confundir al atacante. En particular, el engaño cibernético tiene los siguientes beneficios:
1. Excelente relación calidad-precio
Dado que los equipos de ciberseguridad apenas pueden contener amenazas reales debido al ruido de múltiples herramientas de seguridad, se debe maximizar el retorno de la inversión humana. Si el engaño cibernético activa una alarma de intrusión, los equipos de seguridad de TI pueden estar casi seguros de que el incidente es digno de mención.
Cualquier acceso a las trampas y señuelos es intrínsecamente malicioso y no autorizado. Los usuarios autorizados y las cuentas legítimas del sistema no tienen ninguna razón para acceder a los señuelos configurados para el engaño cibernético. Por lo tanto, cualquier actividad que involucre engaños y trampas tiene una alta probabilidad de que sea un intento de ciberataque o, en el mejor de los casos, una violación de la política por parte de los empleados que se aventuraron en áreas fuera de su área de permisos. Invertir en el engaño cibernético está dando sus frutos.
2. Detectar amenazas internas
Las amenazas internas no solo son las más difíciles de detectar, sino también las que pueden causar el mayor daño. Dado que los Insiders tienen cuentas de usuario autorizadas, su actividad no puede despertar sospechas. Una estrategia de engaño es una de las formas más efectivas de detectar un ataque interno.
Con la excepción del equipo de ciberseguridad, otros empleados no conocen una estrategia de ciberdecepción o el tipo de trampas y señuelos. Por lo tanto, cualquier personal que acceda a estos elementos estaría explorando áreas para las que no está autorizado.
3. Detección más rápida
Se desencadena una reacción tan pronto como se lesiona un objeto de engaño. Esto les da a los equipos de seguridad tiempo más que suficiente para reaccionar rápidamente a lo que está sucediendo antes de que ocurran pérdidas o daños reales. Una detección tan rápida es particularmente crítica cuando se trata de ataques de ransomware. Podrían permitir que se implementen acciones correctivas antes de que el malware haya eliminado o cifrado los sistemas corporativos.
4. Inducir a los atacantes para que se expongan
Siempre que se corre la voz de un incidente de piratería grave, la investigación posterior a menudo revela que el ataque comenzó meses antes de que finalmente se descubriera. Los ciberdelincuentes prefieren operar bajo el radar durante el mayor tiempo posible. Esto les da tiempo suficiente para extraer una gran cantidad de información sin ser detectada.
Las técnicas de engaño cibernético engañan a los piratas informáticos para que revelen su presencia en la red. Una exposición tan temprana puede reducir en gran medida los efectos del ataque. De lo contrario, las herramientas de protección tradicionales perderían la penetración o la identificarían si el daño ya se ha hecho.
5. Advertencias procesables para menos falsos positivos
Uno de los mayores desafíos para los sistemas de ciberseguridad es una avalancha de falsos positivos. Para garantizar que nada se pierda, los equipos de seguridad pueden configurar sistemas de control para marcar una amplia variedad de eventos. Desafortunadamente, una proporción significativa de las advertencias pueden ser falsos positivos.
La avalancha de falsos positivos abruma a los equipos de seguridad, ralentiza la toma de decisiones y retrasa el tiempo necesario para responder a una amenaza legítima. Sin embargo, la naturaleza del engaño cibernético significa que las alertas son precisas y procesables. Los equipos de ciberseguridad entenderían que la alerta fue activada por un incidente significativo y, por lo tanto, dedicaron tiempo y recursos a brindar la respuesta necesaria.
6. Reducir la dependencia de los controles basados en firmas
Los controles basados en firmas deben basarse en la identificación de patrones de comportamiento sospechoso dentro de la red. Si bien estos pueden ser efectivos contra malware conocido y ataques de piratería, están muy limitados a la hora de combatir amenazas nuevas y no descubiertas.
El engaño cibernético significa que las empresas ya no tienen que depender de controles basados en firmas. Puede atacar exploits de día cero antes de que dañen sus sistemas y datos.
7. Recopilación de información
Una estrategia de engaño se puede utilizar de dos formas. El primero es un sistema de alerta que advierte a los equipos de seguridad de TI de los intrusos. Los equipos pueden actuar rápidamente para llenar los vacíos y hacer que todo funcione sin problemas.
El segundo es el uso del engaño como medio para manejar a los oponentes. Los equipos de seguridad de TI observan cómo se mueve el atacante y en qué recursos parece estar más interesado. Esta información se alimenta a las herramientas de seguridad existentes y se utiliza para escanear el resto de la red en busca de actividad similar con el fin de neutralizarla.
8. Solución personalizada
Para parecer real a un atacante, la solución de engaño debe coincidir con el entorno de nube y red de su empresa. Debería cambiar para adaptarse a los sistemas y la infraestructura en la que reside.
Tal adaptación es difícil de implementar con herramientas de seguridad convencionales. A menudo, un atacante experto reconocerá los signos de un sistema de ciberseguridad conocido y utilizará una técnica diferente para entrar.
El engaño cibernético podría ser la nueva normalidad
El panorama de amenazas de seguridad de TI en evolución significa que los métodos que podrían haber sido efectivos hace una década pueden ser completamente inadecuados para proteger los activos digitales en la actualidad. Los oficiales militares saben desde hace mucho tiempo cómo utilizar el engaño para capturar y derrotar a sus enemigos.
Una estrategia de engaño cibernético brinda a las empresas un nuevo nivel de defensa y mejora su capacidad para responder a un ataque de manera oportuna. De esta manera, las empresas pueden proteger mejor su infraestructura contra interrupciones, pérdidas y accesos no autorizados. Una estrategia basada en engaños puede proteger a la empresa de amenazas tanto establecidas como desconocidas.
Imagen destacada: Shutterstock
La publicación Confundir a sus atacantes: los beneficios de usar una estrategia de engaño cibernético se vio por primera vez en TechGenix.
Comentarios
Publicar un comentario