Tecnologia de decepção e estratégias de antecipação de violação

Views: 101
0 0
Read Time:7 Minute, 23 Second

A segurança cibernética está passando por uma mudança de paradigma. Anteriormente, as defesas eram construídas com base na premissa de manter os adversários afastados; agora, as estratégias são formadas com a ideia de que já podem estar dentro da rede. Essa abordagem moderna deu origem a métodos avançados que priorizam detecção rápida, resposta imediata e recuperação eficiente, introduzindo conceitos como a “mentalidade do atacante” e aproveitando a tecnologia de dissimulação.

Nesta entrevista da Help Net Security, Xavier Bellekens, CEO da Lupovis , explica como a implementação do engano como serviço oferece uma camada extra de defesa, auxiliando o CISO e sua equipe com indicadores de alerta antecipado de possíveis violações.

Como assumir que um adversário já estabeleceu presença dentro de uma rede influencia o desenvolvimento de estratégias de cibersegurança?

Assumir que um adversário já está dentro da rede influencia as estratégias de segurança cibernética para priorizar a detecção rápida, resposta imediata e recuperação eficiente. Essa abordagem promove monitoramento contínuo, detecção de anomalias e prontidão para incidentes, mas também exige eficiência.

Adotar uma “mentalidade de atacante” é a evolução dessa abordagem. Ao imitar as táticas dos adversários, podemos antecipar suas estratégias, desafiar nossas defesas e solucionar falhas de segurança de forma proativa. Essa abordagem dupla de antecipação de violação e pensamento como um invasor resulta em uma estratégia mais dinâmica e robusta.

A tecnologia de dissimulação fortalece ainda mais os dois paradigmas. Ele usa chamarizes, armadilhas e desinformação para detectar eficientemente com um falso positivo muito baixo e desviar os intrusos, fornecendo aviso antecipado de uma violação e interrompendo as operações do adversário, mas também aprendendo sobre a mentalidade. Assim, o engano torna-se uma ferramenta poderosa neste ciclo contínuo de antecipação, detecção e resposta a ameaças cibernéticas em constante evolução.

Quais são algumas das maneiras pelas quais os CISOs podem enganar para proteger os dados confidenciais de uma organização e a propriedade intelectual de alto valor? Como essa estratégia ajuda a atrair invasores para longe de ativos valiosos?

As principais estratégias visam fazer o adversário acreditar que está progredindo, ao mesmo tempo em que o afasta de ativos reais. Assim, as estratégias de dissimulação podem ser adaptadas de acordo com diferentes objetivos e adversários, sejam elas visando obter Táticas, Técnicas e Procedimentos (TTPs), ou para possibilitar o alerta antecipado de verdadeiros positivos para o Centro de Operações de Segurança (SOC).

Se o objetivo é aprender sobre os TTPs dos adversários, a estratégia será empregar chamarizes altamente interativos que possam ser usados ​​para atrair os invasores para que passem mais tempo interagindo com os sistemas. Isso oferece ao SOC e à equipe de CTI mais oportunidades de observar e entender os métodos do adversário.

Por outro lado, se o objetivo é permitir a detecção precoce de alerta, migalhas de pão e chamarizes de frutas suspensas podem ser implantados em pontos de estrangulamento e levar a iscas de joias da coroa.

Em ambos os casos, sua ativação significa atividade anormal, disparando alertas imediatos no SOC. A implantação de tipos de chamarizes e breadcrumbs pode diferir, mas o conceito fundamental permanece o mesmo: deception é um jogo psicológico que visa atrair e confundir o adversário e ganhar vantagem. O objetivo é enganar os invasores, desperdiçar seus recursos e coletar inteligência ou criar tempo para resposta.

A tecnologia moderna de dissimulação evoluiu significativamente e pode ser implantada rapidamente, muitas vezes em minutos. Ele fornece uma camada adicional de defesa que auxilia o CISO e sua equipe, oferecendo sinais de alerta precoce de uma possível violação. Esta capacidade de alerta imediato permite uma tomada de decisão e resposta mais rápidas.

Dependendo da maturidade e dos objetivos da organização, diferentes estratégias de engano envolverão a implantação de serviços enganosos, iscas, redes, ambientes falsos ou até mesmo a criação de uma arquitetura digital gêmea.

Longe vão os dias em que o engano era uma solução de 500 fortunas. Hoje em dia, qualquer equipe de segurança, pequena, média ou grande, pode usar o engano a seu favor.

Historicamente, as organizações de serviços financeiros têm se concentrado mais na proteção contra ameaças externas. Como as ameaças internas também são uma preocupação significativa, como essas organizações podem mudar sua abordagem à segurança cibernética?

Os setores financeiro e outros têm sido como construir castelos, com paredes robustas construídas para afastar ameaças externas. Mas, como diz o ditado, passamos anos construindo as paredes do castelo apenas para perceber que ameaças internas têm as chaves da sala do cofre.

Embora tradicionalmente o foco tenha sido as ameaças externas, as ameaças internas têm aumentado. Essas ameaças, provenientes de pessoas de confiança com acesso legítimo, apresentam um desafio único.

É aqui que a tecnologia de engano entra em ação. A decepção não distingue entre uma ameaça interna ou uma ameaça externa. Sua principal força reside na suposição de que qualquer interação com o sistema enganoso é considerada maliciosa, pois não deve ser acessada por usuários legítimos. Assim, serve como um sistema de alerta precoce eficaz para qualquer acesso não autorizado, independentemente da fonte.

A vantagem da moderna tecnologia de dissimulação, como a decepção como serviço, tem como objetivo sua adaptabilidade e facilidade de implantação. Ele pode ser configurado rapidamente dentro e fora do perímetro da rede, adicionando uma valiosa camada de segurança sem causar aumento de falsos positivos. Além disso, pode ser facilmente integrado ao paradigma de confiança zero ou defesa em profundidade.

Qualquer parte de um sistema financeiro, desde redes ATM até sistemas SWIFT, pode ser replicada com fraude. Isso permite que as organizações atraiam invasores em potencial, sejam eles internos ou externos, para longe de ativos reais e para ambientes controlados e observáveis.

A versatilidade do engano o torna aplicável em todos os setores e em todas as redes, oferecendo uma solução dinâmica para atrair um cenário de ameaças em evolução. Ao integrar a tecnologia de dissimulação em suas estratégias de segurança cibernética, as organizações podem passar da mera guarda das paredes do castelo para o monitoramento vigilante dos terrenos do castelo e do cofre interno.

Como as soluções de segurança estão evoluindo para lidar com o crescente cenário de ameaças em meio à transformação digital dos processos de fabricação? Como essas medidas estão ajudando a proteger o setor contra espionagem industrial, ataques patrocinados pelo estado e ataques de ransomware?

Na fabricação, qualquer interrupção pode ter um impacto dispendioso. Felizmente, os chamarizes podem ser implantados em ambientes operacionais, incluindo a Internet DMZ, Enterprise Zone e redes SCADA, seguindo o modelo Purdue.

A beleza da tecnologia de dissimulação é sua versatilidade. Adversários diferentes têm habilidades e interesses diferentes, e as iscas podem ser adaptadas a vários tipos de ameaças. De Ameaças Persistentes Avançadas (APTs) a grupos de espionagem industrial e ransomware .

Os chamarizes são projetados para serem alvos atraentes para os adversários e podem assumir várias formas, como um banco de dados de patentes falso, e-mails confidenciais ou até mesmo chamarizes físicos, como telefones celulares e laptops, para combater ameaças como o ataque da “empregada malvada” ou PLCs.

Especificamente, para ransomware, vários chamarizes podem ser empregados para detectar e distrair os invasores, ganhando tempo valioso para resposta. Isso é particularmente importante devido à tendência crescente de ataques de resgate duplo, em que os dados são exfiltrados antes da implantação do ransomware. Ao utilizar armadilhas enganosas, as organizações podem proteger suas operações e tornar as tarefas dos adversários mais desafiadoras.

Qual é o papel de “aumentar o custo do invasor” na segurança cibernética? Como as equipes de segurança podem implementar isso de forma eficaz?

A tecnologia de dissimulação é uma ferramenta fundamental para aumentar o custo de um invasor. Ele cria sistemas e dados chamarizes que desviam os invasores de ativos reais, desperdiçando seu tempo e recursos.

Outra tendência que está impulsionando a estratégia de “aumentar o custo do atacante” é a convergência da dissimulação com o Automated Moving Target Defense (AMTD). Dentro desta abordagem, o engano muda constantemente a superfície de ataque, tornando mais difícil para os adversários navegar no sistema ou ganhar uma posição. Com o engano, qualquer progresso que o invasor acredita estar fazendo está, na verdade, levando-o mais fundo na armadilha.

No passado, o engano era difícil de configurar e implantar. No entanto, com o surgimento do Deception as a Service, esse processo tornou-se significativamente mais rápido e fácil. Agora, as equipes de segurança podem implementar ambientes enganosos em escala em minutos e automatizar o aspecto AMTD da fraude, aprimorando suas capacidades defensivas/ofensivas e ativas sem esgotar recursos.

Ao implementar a decepção como serviço, as equipes de segurança podem tornar o ataque a seus sistemas caro e frustrante para qualquer adversário e manter a vantagem.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS