Deception Technology, iniciando la ofensiva

Para muchos, la razón del éxito de los ataques modernos no hay que buscarla en una falta de herramientas, sino en una falta de ofensiva que hace que el atacante vaya un paso por delante.

Este contenido es el tema de portada del número de enero de IT Digital Security. Puedes descargarte la revista desde este enlace.

También puedes leer... Todo sobre Spectre y Meltdown SecOps a examen Los mitos de las Brechas de Seguridad La creación de un SOC Cómo sobrevivir a un ataque BEC

Durante los últimos años los responsables de seguridad se han visto superados por el volumen y velocidad de las alertas de seguridad. Las soluciones SIEM ayudan a gestionar ese volumen de información, pero a veces generan falsos positivos que terminan ralentizando la toma de decisiones y se pierde el contacto con el ataque en tiempo real. Lo cierto es que las defensas están demasiado centradas en qué malware o herramienta están utilizando los atacantes.

Desde el principio de los tiempos, el engaño se usó en la naturaleza y la guerra como un poderoso mecanismo de defensa, ya que es una táctica muy útil y efectiva para detectar y eludir amenazas en muchas situaciones. Por eso la Deception Tecnology gana adeptos, tantos como para que los estudios indiquen que este mercado crecerá un 9,8% entre 2017 y 2021. De hecho, Gartner ya identificó la Deception Technology entre las diez tecnologías de seguridad a tener en cuenta en 2016, junto con otras más conocidas como la analítica de conducta o el CASB.

La idea que hay detrás de la Deception Technology es enmascarar activos reales de alto valor en un mar de superficies de ataque falsas. Lo usual es que los ciberdelincuentes confíen en el entorno en el que insertan su malware, o en las aplicaciones y servicios web que atacan a través de Internet. Se escabullen por el perímetro, engañan a un usuario para que haga clic en un enlace malicioso, para que abra un archivo adjunto infectado y cedan, si darse cuenta de lo que está pasando, sus credenciales y contraseñas. Una vez dentro, se sienten libres para deambular a su antojo para robar información confidencial o realizar un atraco financiero.

Lo que hace la Deception Technology es aprovecharse de la confianza de ese atacante para alejarle mediante engaños de los activos sensibles, para que centre sus esfuerzos en activos falsos, para que gaste su tiempo y su inversión. Para ello se crean sistemas falsos, a menudo reales pero utilizados como máquinas de sacrificio, se crean señuelos, que pueden ser historiales falsos de navegación, e incluso honeytokens (credenciales falsas) en sistemas reales para tentar y confundir al atacante con activos falsificados para mejorar la detección y retrasar sus acciones mientras atacan esos activos de señuelo.

Evolución de la tecnología

El concepto ciber-engaño, o “cyber deception” se introdujo por primera vez en 1989 por parte de Gene Spafford, un experto en seguridad y profesor de la Pudue University, al hacer referenciar a una defensa activa con el fin de identificar los ataques en marcha, identificar sus técnicas y alimentarlos con datos falsos.

Antes de hablar de los honeypots llegaron los Honeyd, conocidos como honeypots de baja interacción que emulaban servicios de forma limitada.  La capacidad de detectar escaneos en red masivos o ataques automatizados (malware, scripts, bots, escáneres) o gusanos de seguimiento, fueron el principal atractivo de los honeypots de baja interacción. Sin embargo, la adopción de honeypot fue escasa, dada una serie de limitaciones y complejidad de gestión.

Entre las limitaciones que esos honeypots estaban diseñados para detectar amenazas fuera de la red; que los los atacantes humanos pueden detectar si se emula un sistema y evitar la detección de honeypots; que los sistemas no son de alta interacción, lo que limita la información de ataque que se puede recopilar y cualquier valor en la mejora de la respuesta al incidente; que los Honeypots no están diseñados para la escalabilidad, son operacionalmente intensivos y requieren profesionales de seguridad capacitados para operar.

Desde entonces la tecnología del Engaño ha logrado grandes avances. Entre otras cosas ha pasado de ofrecer una capacidad limitada y estática a un engaño adaptativo de aprendizaje automático diseñado para una fácil operación y escalabilidad. De forma que las plataformas de engaño actuales se basan en los pilares de autenticidad/atractivo, escalabilidad, facilidad de operación e integraciones que aceleran la respuesta a incidentes.

Las ventajas de la Deception Technology

Entre las ventajas de la Deception Technology que sea agnóstico a las herramientas que utilice la empresa, y sobre todo que ayuda a ganar tiempo, generar entendimiento y detener el ataque antes de que impacte en el negocio.

Para Roberto Amado, del área de seguridad de S2 Grupo, las tecnologías del engaño tienen varias ventajas. Por un lado, permiti, mediante el despliegue de una serie de herramientas orientadas a atraer al atacante identificar que una amenaza se pueda estar materializando en nuestros sistemas; en segundo lugar, aprender nuevas técnicas de intrusión, exploits 0 day o cualquier actividad realizada por un atacante que no sea conocida o presente alguna innovación respecto a los tradicionales métodos de ataque y robo de información. Y por último retrasar el proceso de intrusión permitiendo identificar una actividad maliciosa antes de que pueda causar un daño mayor.

José de la Cruz, director técnico de Trend Micro, habla de adaptar la ciberseguridad a los nuevos tipos de ataques que se están produciendo a nivel empresarial. El directivo habla de ataques más avanzados que intentan simular el comportamiento de un usuario legitimo para evitar ser detectados. De forma que la ventaja de la Deception Technology es “ayudar en la detección de este tipo de amenazas usando técnicas de protección que ‘engañan’ al atacante para que ejecute su ataque sobre ámbitos controlados lo cual permite adquirir inteligencia sobre el ataque y bloquearlo”.

Matizando que el engaño no es algo nuevo pero que utilizarlo como respuestas automatizada de protección “es un gran avance”, Alberto Pérez Cuesta, Manager de la Unidad de Negocio BigTec de Exclusive Networks, distribuidor en España de vArmour, asegura que la Deception Technology es una técnica más de seguridad para intentar interrumpir ataques a través de engaños con técnicas defensivas o disruptivas. Recuerda también el directico que según previsiones de Gartner para 2018 el 10% de las empresas utilizarán estas tácticas de engaño.

Pedro García, director preventa de Kaspersky Labs habla de seguridad proactiva como una de las ventajas de la Deception Technology, capaz de ayudar a detectar y prevenir ataques avanzados, o APTs, entre otros.

El resurgir de una tecnología

El concepto de establecer trampas para los atacantes está resurgiendo dada su eficiencia y los avances en esta tecnología de engaño.

Durante la última década el nivel general de madurez en ciberseguridad de compañías y organizaciones públicas ha mejorado considerablemente, asegura Roberto Amado, añadiendo que aun así queda mucho camino por recorrer. Explica también el ejecutivo de S2 Grupo que los sistemas de decepción dentro de un plan director de seguridad o un plan de acción de bastionado de una organización con un nivel inicial medio o bajo, no suelen colocarse entre las primeras tareas a realizar, ya que existen una serie de iniciativas que normalmente presentan una prioridad mayor.

El uso de la tecnología del engaño era, inicialmente, “limitada y casi experimental”, dice José de la Cruz. Pero las cosas han cambiado y ahora, teniendo en cuenta el nuevo panorama de amenazas, es necesaria y cada vez se utiliza más. “Precisamente por la evolución de los ataques (ataques dirigidos, malware de día cero, etc.) los cuales no son detectados y bloqueados eficazmente utilizando las tecnologías más tradicionales”, es por lo que se está viendo un resurgir de esta tecnología.

“Todo tiene su tempo”, dice Alberto Pérez Cuesta refiriéndose al poco uso que, hasta el momento, parece habérsele dado a la Deception Technology. Explica el directivo que el uso de técnicas de engaño abarca una gran variedad de tecnologías de seguridad y que a día de hoy todavía es complicado cambiar una realidad de mercado como es el del firewall, que trae un gran arraigo histórico proveniente, principalmente, del área de comunicaciones más físicas y tradicionales, y que se está integrando lentamente y de manera poco flexible con el mundo virtual, la Nube y los entornos híbridos.

Dice también el responsable de BigTec que la aplicación de tecnologías de engaño no es algo nuevo, pero que ha llegado el momento de que empiecen a formar parte de la estrategia de seguridad de la empresa. Sobre todo en un momento, insiste, en que es demasiado patente el enfoque perimetral que sigue siendo insuficiente y poco rentable; “además, ahora se añade la imposibilidad de integrarse en entornos híbridos apoyados en la Nube Pública y con hipervisores variados (no sólo de VMware), cuya demanda está creciendo a un gran ritmo.

Parte del grupo de seguridad de S2 Grupo, Roberto Amado también coincide en que el número de atacantes se ha incrementado notablemente en los últimos años, “en especial aquellos catalogados como APTs, ya que tanto agencias de inteligencia de gobiernos como cibercriminales o ciberterroristas, se han dado cuenta que haciendo uso de ciberarmas se puede sacar un rédito que hace unos años era inimaginable”. Es por tanto este incremento, así como el propio avance natural en investigación de estas tecnologías lo que hace que se busquen complementar con vías alternativas a las clásicas la defensa de la información de nuestros usuarios. “Una de estas alternativas sin duda es la Deception Technology”, explica el ejecutivo.

Para Pedro García, de Kaspersky, hay dos vertientes a contemplar en este resurgir por la Deception Technology. “Por un lado una mayor concienciación sobre la seguridad”, ya que las empresas se han dado cuenta de la existencia de una amenaza real; y por otro el hecho de que las empresas se han dado cuenta de que la tecnología existe y la quieren. Y asegura que aunque los fabricantes llevan años desarrollando la tecnología, el mercado aún no estaba interesada en ella y se ha mantenido en standby; “ahora es cuando se ve cierta concienciación e interés real por las tecnologías de engaño”.

Los retos de la Deception Technology

Las soluciones que utilizan el engaño como forma de protección avanzada necesitan de personal cualificado y este sería, en opinión de Pedro García, uno de los retos a los que se enfrenta esta tecnología. Explica además el directivo de Kaspersky que este tipo de tecnología, en la que se utilizan sondas y señuelos “van a generar millones de eventos, y una de las prioridades es saber interpretar y contextualizar toda esa información”.

Lo que Roberto Amado pone de manifiesto es que estas soluciones no son una de las primeras elecciones en cuanto a medidas de protección a aplicar en compañías u organizaciones con un nivel de madurez bajo o medio, y que por tanto están dirigidas a aquellas “con un nivel actual alto en materia de ciberseguridad”. Como principal reto se refiere el ejecutivo de S2 Grupo a “la atención y análisis de la información que estos tipos de sistemas generan, ya que su despliegue no suele presentar complicaciones salvo excepciones puntuales”.

Para José de la Cruz hay una realidad, y es que “a día de hoy cualquier empresa es susceptible de recibir ataques avanzados” Y desde este punto de vista, la Deception Technology aplicaría a cualquier tipo de empresa de cualquier sector. Señala también el directivo de Trend Micro que el mayor reto de esta tecnología “consiste en implementar estos mecanismos de protección de manera coordinada y efectiva”.

Las soluciones de Trend Micro incorporan estas tecnologías (junto con otras muchas desarrolladas durante los casi 30 años de historia de la compañía) para proporcionar una protección completa. Bajo lo que la compañía de seguridad denomina seguridad XGen, se han combinado tecnologías intergeneracionales de defensa de amenazas; “este enfoque inteligente de la seguridad aprovecha técnicas tales como la reputación web y de archivos, la prevención de intrusiones y el control de aplicaciones para manejar eficientemente el gran volumen de datos buenos y malos tanto conocidos como desconocidos. A continuación, se liberan técnicas más avanzadas, como análisis de comportamiento, machine learning y análisis sandbox para gestionar de forma más rápida y precisa las amenazas desconocidas más difíciles de detectar”.

Alberto Cuesta es más explícito al asegurar que el uso de las tecnologías de engaño encajan en cualquier empresa “que disponga de una carga de virtualización mayor que de aproximación física (proporción 80/20), pero especialmente destacado si disponen de OpenStack para la orquestación de la infraestructura, o se apoyan en Nubes Públicas externas que quieran securizar desde una consola única de firewall consolidada, o pretendan automatizar el control de las nuevas infraestructuras desplegadas”.

El directivo de Exclusive Networks, mayorista oficial de vArmour en España dice también que el mayor reto que acompaña a este tipo de tecnología es que requiere perfiles de consultoría no sólo en torno a la seguridad sino de virtualización y cloud para “para lograr la mejor arquitectura posible”.

Las soluciones de Deception Technology son una capa de seguridad más, explica Pedro García, director de preventa de Kaspersky Lab. La puesta en marcha de la solución no es compleja, dice el directivo; “veo más complejidad en el tema de tener capacidad de usar, contextualizar la información que recogen esos sistemas”, asegura.

Preparados, listos, ¿ya?

Llegados a este punto, cabe preguntarnos si la empresa española está lista para adoptar las soluciones de este tipo, soluciones que engañen y atraigan a los ciberdelincuentes a entornos controlados en los que ver cómo se mueven y cómo actúan; capaces de desviar un ataque a una zona sin riesgo y que al mismo tiempo me proporcione información de lo que ocurre, lo que buscan y cómo lo hacen para prevenir, bloquear o simplemente tener cierta capacidad de reacción.

Para Roberto Amado, todo depende del nivel de madurez, y añade que en general no cree que este tipo de sistemas sean válido “para el público en general ya que requieren de conocimiento especializado en la gestión y atención de las alertas generadas”.

Más optimista se muestra José de la Cruz, para quien la empresa española, “al igual que se encuentra expuesta a este tipo de amenazas, está preparada para implementarlas. Solo tiene que dar el salto”.

Alberto Pérez está de acuerdo en que la empresa española está lista para adoptar tecnologías de Machine Learning, “si bien la falta de branding e inversión en marketing es una losa importante en un país que, en ocasiones, peca de conservadurismo tecnológico y falta de innovación”.

Pedro García tiene claro que la empresa española ya está preparada, que es el momento. Y si no están preparadas, están empezando a poner en marcha los mecanismos necesarios para ello. “El año que viene veremos un incremento importante de este tipo de soluciones”, asegura el directivo de Kaspersky.