L'hacking è spesso come frugare in una borsa senza guardarci dentro. Se è la tua borsa, sapresti dove guardare e come si sentono gli oggetti. Puoi raggiungere e afferrare una penna in pochi secondi, mentre un'altra persona potrebbe afferrare un eyeliner.
Inoltre, possono provocare un putiferio nella loro ricerca. Frugheranno nella borsa più a lungo di quanto faresti tu e il rumore che fanno aumenta la possibilità che tu li senta. Se non l'hai fatto, il disordine nella tua borsa ti dice che qualcuno ha frugato nelle tue cose. La tecnologia dell'inganno funziona in questo modo.
Cos'è la tecnologia dell'inganno?
La tecnologia dell'inganno si riferisce alla suite di tattiche, strumenti e risorse esca che i team blu utilizzano per distrarre gli aggressori dalle preziose risorse di sicurezza. A prima vista, la posizione e le proprietà dell'esca sembrano legittime. In effetti, l'esca deve essere abbastanza attraente perché un utente malintenzionato la consideri abbastanza preziosa per interagire in primo luogo.
L'interazione di un utente malintenzionato con le esche in un ambiente di sicurezza genera dati che forniscono ai difensori informazioni sull'elemento umano dietro un attacco. L'interazione può aiutare i difensori a scoprire cosa vuole un attaccante e come intende ottenerlo.
Perché i Blue Team usano la tecnologia dell'inganno
Nessuna tecnologia è invincibile, ecco perché i team di sicurezza presumono una violazione per impostazione predefinita. Gran parte della sicurezza informatica consiste nello scoprire quali asset o utenti sono stati compromessi e come recuperarli. Per fare ciò, gli operatori del team blu devono conoscere l'estensione dell'ambiente di sicurezza che proteggono e le risorse in tale ambiente. La tecnologia dell'inganno è una di queste misure protettive.
Ricorda, lo scopo della tecnologia dell'inganno è convincere gli aggressori a interagire con esche e distrarli da risorse preziose. Perché? Tutto si riduce al tempo. Il tempo è prezioso nella sicurezza informatica e né l'attaccante né il difensore ne hanno mai abbastanza. Interagire con un'esca fa perdere tempo all'attaccante e dà al difensore più tempo per rispondere a una minaccia.
Più specificamente, se un utente malintenzionato pensa che la risorsa esca con cui ha interagito sia il vero affare, allora non ha senso restare allo scoperto. Esfiltrano i dati rubati e (di solito) se ne vanno. D'altra parte, se un utente malintenzionato esperto si rende presto conto che la risorsa è falsa, saprà di essere stato scoperto e non potrà rimanere a lungo sulla rete. In ogni caso, l'aggressore perde tempo e il team di sicurezza ottiene un preavviso e più tempo per rispondere alle minacce.
Come funziona la tecnologia dell'inganno
Gran parte della tecnologia dell'inganno è automatizzata. La risorsa esca è di solito dati di un certo valore per gli hacker: database, credenziali, server e file. Queste risorse sembrano e funzionano proprio come quelle reali, a volte anche lavorando insieme a risorse reali.
La differenza principale è che sono dei tizi. Ad esempio, i database esca possono contenere nomi utente e password amministrativi falsi collegati a un server esca. Ciò significa che le attività che coinvolgono una coppia di nome utente e password su un server esca, o anche su un server reale, vengono bloccate. Allo stesso modo, le credenziali esca contengono token falsi, hash o ticket Kerberos che reindirizzano l'hacker, fondamentalmente, a una sandbox.
Inoltre, i duds sono truccati per avvisare le squadre di sicurezza del sospetto. Quando un utente malintenzionato accede a un server esca, ad esempio, l'attività avvisa gli operatori del team blu presso il centro operativo di sicurezza (SOC). Nel frattempo, il sistema continua a registrare le attività dell'aggressore, ad esempio a quali file ha avuto accesso (ad es. credenziali che rubano attacchi) e come hanno eseguito l'attacco (ad esempio, movimento laterale E attacchi man-in-the-middle).
Al mattino sono contento di vedere; Il mio nemico disteso sotto l'albero
Un sistema di inganno ben configurato può ridurre al minimo i danni che gli aggressori possono arrecare alle tue risorse di sicurezza o addirittura fermarli del tutto. E poiché gran parte di esso è automatizzato, non devi innaffiare e prendere il sole quell'albero giorno e notte. Puoi implementarlo e indirizzare le risorse SOC verso misure di sicurezza che richiedono un approccio più pratico.
