¿Por qué aplicar tecnología de Deception a la caza de amenazas?

430
Mikel Gastesi

Vivimos en una época en la que asumimos las brechas de seguridad como algo inevitable. Toda organización reconoce que, de un momento a otro, sufrirá una intrusión. Muchas de ellas consideran, además, que los mecanismos de ciberseguridad tradicionales están lejos de ser perfectos. Aquellas que ingenuamente piensan que esto no les ocurrirá, se dan de bruces contra la realidad en el momento en que un simple email de phishing tiene éxito a la hora de sobrepasar sus defensas.

La aproximación de “confianza cero” (Zero Trust Security) nos hace desconfiar de todo y de todos. Ya no confiamos en los dispositivos que están dentro de nuestra red, y sabemos que la amenaza de un empleado descontento (¡o sobornado!) no es algo a subestimar. Por eso debemos proteger y vigilar toda nuestra red, y es aquí donde la tecnología de engaño nos ayuda en diferentes aspectos:

Actúa primero

La seguridad siempre ha sido como el juego del gato y el ratón, en el que el defensor siempre está un paso por detrás del enemigo. Con la tecnología de Deception es posible actuar antes, creando entornos sintéticos personalizados, diseñados para atraer al atacante, con la capacidad adicional de desarrollar campañas de engaño adaptadas al tipo de atacante que se desea estudiar o detectar.

Inteligencia de amenazas relevante para la organización

Uno de los mayores problemas cuando se trata con inteligencia de amenazas es distinguir qué información es relevante para una organización y cuál no. La tecnología de Deception brinda a los equipos de caza de amenazas la capacidad de desplegar campañas de engaño que son parte de la superficie de ataque de sus empresas. Esto garantiza que cualquier actividad detectada y la inteligencia recabada sea relevante para la organización.

Una solución proactiva

Las herramientas tradicionales de búsqueda de amenazas implican mirar dentro de una organización para tratar de detectar anomalías o comportamientos conocidos. La tecnología de Deception atrae a los atacantes al entorno sintético y construye una superficie de ataque diseñada para darles acceso, a fin de investigar el ataque en el entorno creado. Esto es seguro para la empresa, ya que ninguna producción de TI está en riesgo. Los equipos de caza de amenazas no sólo estudian a los atacantes, sino que también reúnen información sobre ellos, los desvían de su objetivo real, descubren sus motivos y frustran su actividad.

Inteligencia de amenazas fiable

No siempre se sabe de dónde proviene la inteligencia de amenazas; a menudo se tiene una idea sobre quién proporciona la información, pero no los detalles. Al ser nosotros mismos los que generamos la inteligencia, sabremos cuándo, dónde y cómo se obtiene la evidencia.

Evita la fatiga de alerta

Es probable que el volumen masivo de IOC que una organización está utilizando ya esté dando algunos o muchos falsos positivos. Esto hace la vida más difícil para sus analistas de SOC y, peor aún, les obliga a revisar algunas reglas para reducir el ruido y crea más puntos débiles en el sistema de defensa. Gracias a su diseño, la tecnología de Deception genera solo información y alertas que son relevantes para su organización.

Información fácil de manejar

Mantenerse actualizado es difícil y requiere mucho tiempo, y saber qué podría ser relevante para una organización no es una tarea trivial. La tecnología de Deception ofrece una vasta base de conocimiento de inteligencia, pero el analista verá solo la información relacionada con el incidente (IOC y TTP), así como los detalles del mismo y la información relacionada, permitiéndole ahorrar tiempo y reduciendo la necesidad de procesar grandes cantidades de datos innecesarios.

* Mikel Gastesi es Senior Threat Analyst en CounterCraft