A Arte da Guerra, de Sun Tsu, continua mil anos depois a ser um texto de estratégia influente no pensamento militar, político e empresarial. Se já estamos numa ciberguerra, então podemos recordar que até a nossa história de independência deve muito à capacidade dos nossos líderes militares ganharem aos superiores exércitos de Castela pela astúcia e pelo engano
Se o engano tem sido parte integrante da guerra, política e negócios por milénios então talvez não seja surpreendente que o engano se tenha tornado parte da batalha do século XXI contra o cibercrime. Uma nova geração de startups de segurança está a usar técnicas de deception como uma forma de confundir e apanhar cibercriminosos. "A ideia é mascarar ativos reais de alto valor num mar de superfícies de ataque falsas", disse Ori Bach, vice-presidente de produtos e marketing da TrapX Security. "Ao fazer isso, os atacantes ficam desorientados e vulneráveis". O que é tecnologia de deception?O analista da Gartner, Lawrence Pingree, apresentou a tecnologia ao detalhe num relatório intitulado "Análise de tecnologia emergente: Técnicas e tecnologias de engano criam oportunidades de negócios de tecnologia de segurança", de setembro de 2016. Os atacantes, disse Pingree, devem "confiar" no ambiente em que inserem o seu malware. Eles aproximam-se pela periferia da empresa e procuram um caminho para o seu interior. Podem enganar um utilizador para clicar num link mal-intencionado, fazê-lo abrir um anexo infetado ou fornecer-lhe indevidamente credenciais. Uma vez dentro da empresa, sentem-se livres e confiantes para vaguear, roubar informações confidenciais ou adulterar os dados. "As técnicas de deception exploram essa confiança e tentam o atacante em direção aos alarmes", disse Pingree. "O deception também pode ser usado para afastar um atacante de recursos sensíveis e concentrar os seus esforços em ativos falsos – queimando o seu tempo e investimento". Como funciona a tecnologia de deception?"As plataformas de deception distribuídas (DDP) são soluções que criam sistemas falsos (geralmente em sistemas operativos reais, mas utilizados como máquinas de sacrifício), iscos (como mapas de unidades falsas e histórico de browsers) e honeytokens (falsas credenciais) em sistemas de utilizadores reais para atrair e enganar o atacante para ativos falsos, a fim de permitir a sua deteção e adiar as suas ações enquanto atacam esses ativos de chamariz", escreveu Pingree.
Deception em profundidadeAssim como o “mantra” da segurança sempre foi uma defesa em profundidade, os especialistas em segurança recomendam também o deception em profundidade, a implantação dessas técnicas ao longo de toda a cadeia de ataque. Quando os atacantes estão a realizar o reconhecimento de pontos fracos da rede e da empresa, esta tecnologia alimenta informações falsas sobre topografia e ativos. Se já entraram e descobrem que ferramentas utilizar, as ferramentas de deception atrasam a sua implantação com informações falsas, mandando-os para sand boxes e mantendo-os ocupados por longos períodos. Os utilizadores podem escolher entre ferramentas DDP autónomas ou aquelas integradas em soluções de segurança corporativas para resposta após deteção. Por exemplo, algumas soluções são combinadas com orquestração e controlo de acesso à rede. "Idealmente, as organizações podem usar as soluções DDP para criar "inteligência de ameaças" e usam isso para enriquecer as suas outras ferramentas, melhorando a prevenção na rede e outras camadas defensivas de segurança", disse Pingree. O futuro da tecnologia deceptionA tecnologia DPP pode tornar-se o mainstream da segurança, mas é por enquanto um mercado relativamente pequeno. A Gartner estima que apenas 10% das grandes empresas venham utilizá-la no próximo ano. Entre os candidatos mais prováveis estão os serviços financeiros, a saúde, as telco, serviços governamentais e os grandes portais web. "Imagine por um momento que, assim que o malware é detetado no ambiente de um utilizador final, esses sistemas têm a capacidade de começar a mentir para o atacante ao comando ou para o malware presente no endpoint infetado, ou em ambos. Estas capacidades estão a tornar-se numa realidade", escreve Pingree. "As soluções distribuídas de chamariz oferecem uma deteção aprimorada sendo também mais fidedignas do que outras soluções de segurança tradicionais. Porque quando um atacante toca num chamariz, é imediatamente reconhecido como uma interação indesejada e provavelmente uma ameaça".
Para conhecer o paper de Lawrence Pingree, analista da Gartner, clique aqui.
Com o apoio de:
|