Arsgera - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Cinco pasos de tecnología de engaño para luchar contra los hackers

Considere tomar estos cinco pasos "engañosos" para hacer que sus capacidades de detección y respuesta sean más rápidas, más efectivas y para mejorar la postura de seguridad de su empresa.

Las tecnologías de engaño están ganando terreno en la empresa como un medio para detectar y responder a los incidentes de manera más rápida y eficaz. Si bien las diferentes opciones de proveedor y código abierto difieren ampliamente en cuanto a la profundidad y amplitud de la cobertura, así como a las características que se ofrecen, existen algunas formas universalmente aplicables en que las herramientas tecnológicas de engaño pueden ayudar a mejorar las tácticas defensivas. Aquí hay cinco acciones que puede tomar para mejorar inmediatamente las capacidades de detección y respuesta usando tecnología de engaño:

  1. Priorice y ajuste la correlación y las alertas en el centro de operaciones de seguridad (SOC). Uno de los beneficios más valiosos de la tecnología de engaño son los resultados altamente precisos y las alertas que generan. En esencia, la tecnología del engaño solo existe para atraer a los atacantes y aquellos con intenciones maliciosas o sospechosas. Como resultado, solo se deben generar alertas legítimas, con o sin falsos positivos. Algunos pueden ocurrir cuando un usuario accede accidentalmente a la dirección IP incorrecta, por ejemplo, pero de lo contrario, no debería existir un uso legítimo para acceder a los sistemas honeypot, usar credenciales falsas o intentar acceder o abrir documentos que son señuelos para los atacantes. En muchos casos, los equipos de SOC pueden priorizar las alertas de las tecnologías de engaño y dedicar menos tiempo a validar si son legítimas o no, y esto puede acelerar las investigaciones y la resolución de casos.
  2. Construya casos de uso de amenazas internas y libros de jugadas. Junto con la detección de atacantes furtivos que pueden haber accedido al entorno, la tecnología de engaño es experta en descubrir enemigos internos. La mayoría de los insiders están buscando acceso a información interesante o valiosa, y el proceso de búsqueda solo conducirá al descubrimiento de ciertos archivos y credenciales de engaño, que pueden ayudar a los equipos de seguridad a detectar y detener estas amenazas. Los equipos de seguridad pueden crear libros de jugadas centrados en este tipo de detección y respuesta, lo que ha sido muy difícil para muchos debido a problemas de privacidad o de atrapamiento.
  3. Considere nuevas tácticas de respuesta automatizada. Una de las características más poderosas de la tecnología de engaño es la capacidad de realizar acciones y respuestas automatizadas, ya sea directamente con las propias herramientas o mediante la integración con otras soluciones de proveedores como la automatización de respuesta a incidentes y las plataformas de orquestación. Los ejemplos de acciones de respuesta automatizadas pueden ser generar nuevas "migajas de pan" para atraer a los atacantes a otro sistema falso o señuelo, o la captura automatizada de evidencia forense o indicadores de las acciones del atacante.
  4. Desarrolle inteligencia de amenazas altamente táctica. Muchos en la comunidad de inteligencia de amenazas le dirán que la mejor información de inteligencia se genera a menudo desde su propio entorno, y la tecnología de engaño puede aliviar y facilitar enormemente la generación de estos datos. La información crítica, como los indicadores de archivos para el malware y los kits de herramientas de los atacantes, los procesos en ejecución, los puertos abiertos, los patrones de tráfico de red y muchos más pueden capturarse fácilmente en entornos de señuelo y utilizarse para buscar en otros lugares del entorno esos mismos indicadores y tácticas.
  5. Minimice (o mejore) el tiempo de permanencia del atacante y mejore el tiempo de respuesta de la defensa. Finalmente, la tecnología de engaño, con su rápida detección de mal comportamiento, puede crear un nivel de control más granular en cuanto al tiempo que los atacantes retienen el acceso al entorno. El tiempo de permanencia, la cantidad de tiempo que un atacante realmente se esconde en el entorno mientras realiza actividades maliciosas o las planifica, es algo que todos los equipos de seguridad desean reducir, en general, a menos que su objetivo sea observar al atacante en acción. Con la tecnología de engaño puede cambiar el tiempo de permanencia en cualquier dirección según lo desee, quizás dependiendo de ataques específicos o casos de uso.

Como podemos ver, la tecnología de engaño tiene una enorme promesa al ayudar a refinar y quizás incluso reinventar muchos procesos de seguridad defensivos básicos.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close