Sembrando un campo de minas para los ciberdelicuentes

Todos los días nos despertamos con noticias sobre una nueva brecha de seguridad en alguna empresa. Cuando no se trata de un ataque de ransomware que ha dejado inutilizado durante un buen tiempo un servicio online importante, resulta que un proveedor de servicios ha sido comprometido y, durante el análisis del incidente, han descubierto a otros posibles atacantes que llevaban meses dentro de la red corporativa. Y si no, vemos cómo se han filtrado datos de miles o millones de usuarios de un reputado servicio online.

Evitar el compromiso de seguridad parece una tarea difícil, y debemos emplear todas las armas a nuestro alcance para conseguirlo. En un esfuerzo por desarrollar el equivalente a la conocida base de conocimiento Att&ck, MITRE (en colaboración con la NSA y NSEC), también disponemos de D3fend, donde se trata de homogeneizar las opciones de defensa, desde el fortificado del entorno hasta el desalojo del atacante, pasando por diferentes fases como la detección, su aislamiento y el engaño. Por último, siguiendo con las bases de conocimiento de MITRE, cabe recordar que también tenemos Engage, donde se describen las diferentes fases de defensa activa.

Si nos paramos a repasar las opciones mostradas en estas bases de conocimiento, vemos que la defensa activa mediante técnicas de Cyber Deception forman parte de las mismas, y es que esta tecnología, siendo una capa añadida de protección, proporciona nuevas posibilidades para la protección y para la obtención de conocimiento que permita una mejor defensa.

Volviendo a los casos iniciales, ¿se podría haber detectado una fase de descubrimiento de red o un movimiento lateral antes de la detonación del ransomware? ¿Se podría haber detectado la actividad del atacante y evitar que tuviera control sobre toda la red de producción? ¿Se podría haber evitado la fuga de información o conseguir que el atacante exfiltrara información falsa?

El uso de Cyber Deception permite desplegar información falsa que puede ayudar con estos objetivos. Cuando un atacante realiza un descubrimiento de las diferentes máquinas, no sabrá cual es una trampa. Cuando un atacante consigue obtener información que le permita abrirse camino por la red corporativa, puede que esté siendo dirigido hacia un entorno controlado. Cuando un atacante consigue acceso a datos relevantes, puede estar accediendo a información falsa o manipulada. Mediante el uso de este tipo de técnicas, el defensor se está adelantando al atacante e incluso influyendo en su comportamiento, pudiendo alertar de cualquier comportamiento sospechoso o malicioso, pero además pudiendo extraer una información extra y valiosa sobre las intenciones del atacante y su forma de operar.

Además, este tipo de técnicas no tienen por qué ser únicamente utilizadas dentro de una red corporativa, sino que pueden ser utilizadas para detectar al atacante antes incluso de iniciarse el propio ataque, inmiscuyéndose en la fase de obtención de información o reconocimiento de la empresa objetivo.

En definitiva, vemos que a medida que madura el proceso de definición de defensa de los sistemas de información, se aboga cada vez más por el uso de la defensa activa, y más concretamente de las técnicas de Cyber Deception.¿Acaso no tiene sentido utilizar todas las herramientas disponibles? ¿Por qué esperar a ser atacados en vez de investigar cómo vamos a ser atacados? ¿Por qué no estudiar a quién nos estudia?

Siempre decimos que los que defendemos vamos un paso por detrás, ¿por qué no damos un paso adelante y sembramos un campo de minas que el atacante deberá sortear sin ni tan siquiera saber de su existencia?

.

Firmado: Mikel Gastesi, Senior Threat Analyst en CounterCraft

La entrada Sembrando un campo de minas para los ciberdelicuentes es original de MuySeguridad. Seguridad informática.