alphaspirit - Fotolia

Lo básico Póngase al día con nuestro contenido introductorio.

Emprendedores de seguridad abordan el arte de las técnicas de engaño

Los sistemas de señuelos distribuidos apuntan a tomar el engaño de los defensores al siguiente nivel. ¿Cambiará una red de trampas y mentiras las reglas del juego?

Mentirle a ladrones no es exactamente un nuevo concepto. Incluso dentro del reino de seguridad de la información, los productos dirigidos a jugar malas pasadas a los hackers –mediante el despliegue de sistemas trampa (honeypots)– se encontraron ya desde 1998, con la publicación del Deception Toolkit de Fred Cohen. Hay, por supuesto, formas menos elegantes de proteger la información a través del engaño: The Cuckoo’s Egg detalla cómo Cliff Stoll del Laboratorio Berkeley Lawrance creó un departamento falso y plantó archivos señuelo en 1986 para revelar a un hacker que, resultó, estaba involucrado en ciberespionaje.

La mayoría de las técnicas de defensa a través del engaño desde el principio eran asuntos manipulados a mano. No fueron diseñados para profundizar automáticamente el engaño a lo largo de la pila a medida que se desarrollaba un ataque, o para realizar análisis de comando y control. Mientras que los honeypots funcionaban, en algunos casos, como sistemas de prevención de intrusiones, nuevas plataformas de engaño sirven como programas de administración de una sola consola que filtran y dan prioridad a los ataques detectados.

Automatización del engaño

En los últimos tiempos, una ola de tecnologías de red y de punto final con técnicas de engaño incorporadas ha llevado aún más allá el concepto. Los firewalls como el de Juniper Networks ahora proporcionan información errónea, como procesos de red falsos, para detener la propagación de malware, y los sistemas de prevención de intrusiones de IBM, HP, Intel y Cisco usan técnicas de engaño similares. Otra marca de engaños ofusca una página web para que se vea y analice de manera diferente cada vez que un bot la ve.

Con tantas formas de engañar al hacker astuto, ¿por qué no la seguridad de información a través del engaño no ha tenido tanto éxito en la empresa? Según Lawrence Pingree, director de investigación y autor de un informe de Gartner sobre el llamado fenómeno de engaño de amenazas, los proveedores han mantenido en gran medida sus técnicas de engaño en secreto:

Las implementaciones de tecnología de engaño ahora abarcan múltiples capas dentro de la pila, incluyendo el punto final, redes, aplicaciones y datos. Sin embargo, muchos proveedores de tecnología han sido reacios a mencionar estas (a menudo geniales) técnicas para engañar al atacante o sus intrusiones, porque el engaño de amenazas es ampliamente entendido mal, o no se conoce como un concepto entre los compradores.

A medida que surgen nuevas técnicas de engaño, es probablemente un buen momento para que los CISO se familiaricen con estas estrategias ofensivas (Gartner estima que el 10% de las empresas utilizará herramientas y tácticas de engaño en 2018.) Un área de productos fascinante es lo que Gartner llama "proveedores de señuelos distribuidos". Los ejemplos –todos emprendedores– incluyen Attivo Networks Inc., Cymmetria, TrapX Security Inc. y TopSpin Security. Con todos estos productos, la tecnología crea automáticamente (en una u otra forma) la apariencia de puntos finales y servidores en todo el rango de direcciones IP utilizadas dentro de la organización. También puede dispersar varias trampas en "dispositivos reales", tales como credenciales falsas para cuentas en las máquinas señuelo.

"Hacemos que el malo crea que somos servidores y servicios reales tras los cuales está", dijo Tushar Kothari, director general de Attivo Networks en Fremont, California. "Una vez que nos ataca, estamos en condiciones de determinar sus intenciones".

Esperando al acecho

Este enfoque de señuelo ofrece un par de ventajas importantes. En primer lugar, cada vez que hay un tráfico importante dirigido a un servidor señuelo o de punto final, es una apuesta segura que hay algún tipo de actividad maliciosa en curso, ya que ningún usuario o servicio real tiene ninguna razón para estar en contacto con los señuelos. Así que hay un nivel inherentemente bajo de falsos positivos (y esto se puede mejorar también).

En segundo lugar, la tecnología de señuelo ocupa muy poco ancho de banda. "No estamos en línea; no tomamos una copia de los datos; solo nos estamos haciendo a nosotros mismos muy atractivos para el atacante", dijo Kothari. "Así que somos inherentemente extremadamente eficientes". Es cierto, sin embargo, que algunos vendedores en el espacio –Topspin, por ejemplo– también monitorean el tráfico de red más a la manera de los sistemas de detección de intrusos tradicionales, además de sembrar el entorno de red con señuelos.

La calidad de los señuelos es cada vez mejor también. Según Kothari, Attivo utiliza a menudo copias exactas de los servidores de producción de un cliente, despliega más señuelos (que servidores reales) y los hace un poco menos bien protegidos. "Hemos determinado maneras de ser omnipresentes en la red, para que dondequiera que el malo encuentre esta vía de ataque, vaya a encontrarnos", explicó. La compañía lanzó una actualización de la tecnología a principios de septiembre, que es compatible con la adición de Amazon Web Services y configuraciones híbridas.

¿Qué ocurre si un hacker entra en un servidor real y en una de las muchas trampas al mismo tiempo? "El hecho de que él está hablando con nosotros significa que lo tenemos en cuanto entra; y él será capaz de entrar más pronto con nosotros que con las cosas de verdad porque hemos dejado la puerta abierta", dijo Kothari. "Entonces podemos dejarlo continuar ejecutando su ataque mientras lo observamos". Este período de observación también es importante porque permite que estos productos generen inteligencia sobre el vector de ataque específico, así como pistas forenses acerca de cuáles son los objetivos finales del ataque e, incluso, tal vez, quién está detrás de ellos.

Y todo esta carnada desplegada ocurre de forma automática incluso a través de redes enormes, todo configurado desde una única consola y con resultados que pueden producir impresionantemente pocos falsos positivos.

Es uno de los viejos castaños de seguridad que los defensores tienen que ser acertados  todo el tiempo, mientras que un atacante solo tiene que acertar una vez. Pero con la seguridad engañosa, el atacante tiene que acertar más de una vez, porque si se equivoca, será encerrado antes de que acertar importe. A usted le tiene que gustar la forma en que las técnicas de engaño revierten las probabilidades.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close