Hackear é muitas vezes como vasculhar uma bolsa sem olhar para dentro. Se for a sua bolsa, você saberia onde procurar e como os objetos se parecem. Você pode alcançar e pegar uma caneta em segundos, enquanto outra pessoa pode pegar um delineador.
Além do mais, eles podem causar confusão em sua busca. Eles vasculham a bolsa por mais tempo do que você, e o barulho que fazem aumenta a chance de você ouvi-los. Caso contrário, a desordem em sua bolsa indica que alguém mexeu em suas coisas. A tecnologia de engano funciona dessa maneira.
O que é tecnologia de decepção?
A tecnologia de decepção refere-se ao conjunto de táticas, ferramentas e ativos de isca que as equipes azuis usam para distrair os invasores de ativos de segurança valiosos. À primeira vista, a localização e as propriedades da isca parecem legítimas. De fato, o chamariz deve ser atraente o suficiente para que um invasor o considere valioso o suficiente para interagir em primeiro lugar.
A interação de um invasor com chamarizes em um ambiente de segurança gera dados que fornecem aos defensores uma visão do elemento humano por trás de um ataque. A interação pode ajudar os defensores a descobrir o que um atacante deseja e como planeja obtê-lo.
Por que as equipes azuis usam a tecnologia de decepção
Nenhuma tecnologia é invencível, por isso as equipes de segurança assumem uma violação por padrão. Grande parte da segurança cibernética é uma questão de descobrir quais ativos ou usuários foram comprometidos e como recuperá-los. Para fazer isso, os operadores do blue team devem conhecer a extensão do ambiente de segurança que protegem e os ativos desse ambiente. A tecnologia de dissimulação é uma dessas medidas de proteção.
Lembre-se, o objetivo da tecnologia de engano é fazer com que os invasores interajam com os chamarizes e os distraiam de ativos valiosos. Por que? Tudo se resume ao tempo. O tempo é valioso em segurança cibernética e nem o invasor nem o defensor têm o suficiente. Interagir com uma isca desperdiça o tempo do atacante e dá ao defensor mais tempo para responder a uma ameaça.
Mais especificamente, se um invasor pensa que o ativo chamariz com o qual ele interagiu é real, não faz sentido ficar em aberto. Eles extraem os dados roubados e (geralmente) vão embora. Por outro lado, se um invasor experiente perceber rapidamente que o ativo é falso, ele saberá que foi descoberto e não poderá ficar muito tempo na rede. De qualquer forma, o invasor perde tempo, e a equipe de segurança recebe um alerta e mais tempo para responder às ameaças.
Como funciona a tecnologia Deception
Grande parte da tecnologia de engano é automatizada. O ativo chamariz é geralmente dados de algum valor para hackers: bancos de dados, credenciais, servidores e arquivos. Esses ativos parecem e funcionam exatamente como os reais, às vezes até trabalhando ao lado de ativos reais.
A principal diferença é que eles são insucessos. Por exemplo, bancos de dados falsos podem conter nomes de usuário e senhas administrativos falsos vinculados a um servidor falso. Isso significa que as atividades envolvendo um par de nome de usuário e senha em um servidor chamariz – ou mesmo em um servidor real – são bloqueadas. Da mesma forma, as credenciais falsas contêm tokens falsos, hashes ou tíquetes Kerberos que redirecionam o hacker para, basicamente, um sandbox.
Além disso, os insucessos são manipulados para alertar as equipes de segurança sobre o suspeito. Quando um invasor faz logon em um servidor isca, por exemplo, a atividade avisa os operadores da equipe azul no centro de operações de segurança (SOC). Enquanto isso, o sistema continua registrando as atividades do invasor, como quais arquivos ele acessou (por exemplo, em ataques de roubo de credenciais) e como eles executaram o ataque (por exemplo, movimento lateral e ataques man-in-the-middle).
De manhã, feliz eu vejo; Meu inimigo estendido sob a árvore
Um sistema de dissimulação bem configurado pode minimizar os danos que os invasores podem causar em seus ativos de segurança ou até mesmo interrompê-los imediatamente. E como muito disso é automatizado, você não precisa regar e tomar sol naquela árvore dia e noite. Você pode implantá-lo e direcionar os recursos SOC para medidas de segurança que exigem uma abordagem mais prática.
