Para entender a fondo qué es Cyber Deception o elciberengaño y adentrarnos en su mundo, recurramos a una analogía muy cotidiana:el robo en casa. Y es que todos conocemos a alguien que ha sido víctima de estedelito, si es que no lo hemos sufrido nosotros mismos. Y cuando ocurre, siemprehay dos preguntas que surgen inmediatamente: cómo han entrado los ladrones yqué se han llevado.
Son las respuestas a esas dos preguntas las que nos dan lasclaves para tomar las medidas necesarias para que no vuelva a ocurrir o paraque los daños, cuando se produzcan, sean mínimos, evitando que los ladrones selleven lo que buscan.
El inconveniente está en que, normalmente, obtenemos lasrespuestas a posteriori, una vez que el daño ya se ha producido. Tenerlas teayudará a evitar que esta situación tan desagradable te ocurra una segunda vez,pero ¿hubiera sido posible contar con esa información de antemano?
Imagina que esa “casa” en cuestión es la infraestructura deTIque estamos intentando proteger.Tenemos las vallas (firewalls),cerraduras (contraseñas) y el sistema de alarma (EDR). Pero aun así, loscibercriminales han entrado y siguen atacando y comprometiendo nuestrossistemas.¿Cómo podemos darrespuesta a esas preguntas que hemos planteado antes utilizando el ciberengaño(cyber deception)?
¿En qué consiste elciberengaño?
Siguiendo con la analogía de la casa, vamos a generar unaextensión (deception environment) quesimule para los ladrones (hackers) seruna parte real de la casa (infraestructura TI). Parecerá que está habitada yserá difícil ver la diferencia entre la casa real y la falsa. Además,construiremos diferentes estancias (multilayereddeception environment) para ver hasta dónde están dispuestos a entrar ycómo se mueven.
¿Cómo dirigir a losatacantes hacia el entorno de engaño?
Probablemente, en este punto te estarás preguntando cómohacer para que el ladrón caiga en la casa falsa en lugar de la real. O,saliendo del ejemplo: ¿cómo hacer para que el atacante entre en el deception environment en lugar de en lainfraestructura real? La respuesta está en las “migas de pan”, elementosatractivos que dejaremos y a los que el ladrón no se podrá resistir.
Por ejemplo, como sabemos que la banda tiene como objetivolas casas de gente adinerada, podríamos poner una noticia en un portal webdonde aparezca nuestra casa falsa vendida por mucho dinero a alguienimportante. Conociendo el comportamiento de los atacantes, sabemos que acuden aese tipo de sitios web para buscar a susvíctimas.
Si trasladamos esta analogía al mundo ciber, las migas depan pueden ser, por ejemplo, el típico documento con usuario y contraseña paraentrar en un portal web interno ficticio de nuestra compañía que dejamos enShodan.io, certificados SSL… hay tantas como la imaginación permite.
¿Cómo obtener lainformación de los atacantes?
Ahora que tenemos el área de engaño lista, vamos amonitorizarcon cámaras y sensoreslo que ocurre, para obtener toda la información posible de los movimientos delos ladrones. Queremos saber qué herramientas utilizan, cómo operan y cuálesson sus objetivos: ¿es dinero? ¿son las joyas? ¿es tecnología? ¿documentos? Loque se traduce en obtener TTPs, IOCs e IOS de los atacantes. Y queremos tenertoda esta información en tiempo real para reducir al mínimo el tiempo deresolución de la amenaza.
¿Qué conseguimosutilizando el ciberengaño?
- En primer lugar, detectamossi un ataque se está produciendo. Cuanto más rápido lo detectemos, más rápidopodremos poner solución.
- En segundo lugar,aunque no menos importante, recogemos inteligencia sobre la amenaza para poderpriorizar y tomar decisiones en cuanto a qué acciones hay que llevar a cabo.Volviendo al ejemplo del robo de la casa, podremos saber si hay que poner una valla más alta, tener un perroo cambiar las cerraduras. Pero todos tenemos recursos limitados de personal,dinero y tiempo, así que mejor saber qué es lo que va a ser más efectivo.
- Ganamos tiempoevitando que entren primero en la infraestructura real y controlamos sus movimientos.
¿Cuáles son losbeneficios del ciberengaño?
- Desde nuestro punto de vista, el principal beneficio es que lainteligencia que proporciona es sobre la propiaorganización, no sobreel vecino u otra organización.
- La inteligencia generada es indiferente del tipo deataque que se utilice.
- La mayoría de lasveces sólo alerta cuando realmente se está produciendo un ataque, reduciendo falsos positivos.
- No interfiere con lainfraestructura real de producción, las campañas de Cyber Deception funcionan en paralelo.
- El entorno deCyber Deception y las campañas se comunican eintegran con el resto de las soluciones de seguridad que componen el SOC.
Quizás para concluir podamos destacar que el ciberengañocambia las reglas de juego. Sin deception,los atacantes sólo necesitan tener suerte una vez para comprometer lossistemas; sin embargo, el ciberengaño da la opción a que en el intento caiganen una trampa donde se exponen para poder protegernos de forma más rápida yeficiente.
- Marta Fernández es UK Channel Manager en CounterCraft