Engaños y señuelos contra los ciberdelincuentes, o la Deception Technology

  • Reportajes

Con el incremento tanto del número como de la sofisticación de los ataques parece que afrontar la ciberseguridad de una manera más creativa es necesario.

El de la seguridad es un mercado muy fragmentado. No es un secreto. Las capas y capas de seguridad que deben utilizar las empresas crecen con cada nueva amenaza, a lo que se une la aparición de nuevas tecnologías o formas de afrontar los ciberataques, desde los APTs más rebeldes a los DDoS más grandes pasando por el phishing, las brechas de seguridad, y un largo etc.

También puedes leer...

Informe global sobre Seguridad de la Información 2016-2017

Evolución de los ataques con exploits

GDPR: todas sus claves

Riesgos de IoT en las empresas

Desarrollo de estrategias de ciberseguridad nacional

Hace años que, manteniendo una seguridad reactiva, las organizaciones empezaron a ser más proactivas en los que a seguridad se refiere. Y una de las apuestas fue lo que se conoce como Deception Technology, que consiste en superar el malware engañándolo. Gartner predijo que para 2018 el 10% de las empresas utilizarán tácticas y técnicas de engaño, y que participarán activamente en operaciones de engaño contra los ciberdelincuentes.

Aunque el engaño en sí mismo no es una idea nueva, utilizarlo como una respuesta automatizada contra potenciales ataques representa un cambio interesante.

Se puede utilizar con éxito el engaño como una táctica de respuesta a las amenazas, pero para eso los fabricantes deben concienciar sobre la tecnología y su valor dentro de una oferta de seguridad. Una de las técnicas es atraer a los ciberdelincuentes hacia señuelos, o honeypots, distribuidos con el fin de frustrar el ataque, interrumpiéndolo o desviándolo.

Los honeypots se han filtrado en múltiples capas dentro del stack, incluidas el endpoint, la red, las aplicaciones o los datos. Por ejemplo, teniendo en cuenta la pasión mostrada por los ciberdelincuentes por las bases de datos con información de usuarios, una empresa podría hacer uso de la Deception Technology para llevar a los atacantes a una base de datos falsa que hiciera que ese ataque fuera inútil.

¿Cómo es posible? Las tecnologías forenses, las alertas en tiempo real, y el creciente uso de tecnologías de machine learning ayudan a entender las intenciones y las motivaciones de los atacantes, y es con ese conocimiento como se puede desviar su atención hacia donde más convenga.

Durante años, el uso del engaño a través de señuelos –muchos de ellos de código abierto, como una medida de detección de amenazas no fue práctico porque esos sensores requerían mucha tarea de administración y mantenimiento; también se les ha considerado un riesgo, una amenaza potencial. Pero como todos, estos honeypots han evolucionado y no sólo ofrecen opciones de tipo empresarial, sino que están dotados de mayor automatización.

Considerar también que durante años la mayoría de las respuestas de control de seguridad activas incorporadas a los productos de seguridad de la red se mantuvieron bastante constantes. No es que no fueran efectivas, pero eran rápidamente detectadas por los atacantes, que eran capaces de identificar en qué momento se producía la detección y adaptar su estrategia para evitarlos.

El añadir nuevas tácticas de seguridad en forma de señuelo que el atacante debe descubrir hace que la carga económica para el ciberdelincuente aumente, haciendo que un ciberataque pueda dejar de ser rentable.

ForeScout, LogRhythm, Rapid7 son algunos fabricantes que trabajan con este tipo de tecnología aplicada a redes, endpoint y aplicaciones.