Oltre la deception technology

La deception technology, anche detta “tecnologia dell’inganno”, offre un falso senso di sicurezza. Ci sono alternative migliori.

Autore: Kapil Raina

Le aziende stanno dando priorità alla protezione delle identità degli utenti e delle macchine, nonché delle infrastrutture d’identità come Microsoft Active Directory, specialmente in uno scenario in cui gli avversari informatici adottano sempre più spesso tecniche basate sull’identità nei loro attacchi. Gli esperti in sicurezza informatica di oggi fanno affidamento su diversi strumenti per tenere alta l’attenzione, ma quali sono quelli più efficaci?

La cosiddetta deception technology rientra tra questi strumenti, poichè in grado di trarre in inganno e di rilevare gli avversari, invogliandoli a penetrare nell’ambiente aziendale con risorse false che fungono da esca. Gli honeypot sono la forma originale della deception technology. È semplice rilevare un avversario che entra in un honeypot, in quanto il traffico legittimo non lo fa.

A prima vista, la deception technology sembra essere un modo efficace che le aziende hanno a disposizione per attrarre e ingannare gli avversari, dunque per proteggere i loro dati e ottenere informazioni su potenziali attività malevole. Tuttavia, ci sono molti punti di debolezza che, inizialmente, gli esperti in sicurezza potrebbero non considerare quando fanno affidamento su tecnologie legacy di deception come forma di difesa.

La deception technology si basa sulla conoscenza limitata che gli avversari informatici hanno del reale ambiente target. Questi strumenti sono basati sull’idea che gli avversari siano inconsapevoli dell’intera topologia di rete e, dunque, debbano decidere dove andare e cosa attaccare con un basso livello di conoscenza. Sfortunatamente per gli esperti in sicurezza, gli avversari più abili possono ribaltare le carte in tavola e usare questa tecnologia per trarne vantaggio.

Secondo una recente ricerca, il tempo medio di breakout che un attaccante impiega per muoversi lateralmente da un punto di accesso iniziale verso un altro host nell’ambiente preso di mira è di soli 84 minuti. Questo indica che gli avversari continuano a essere sofisticati e possono avere maggiore conoscenza della rete rispetto a quanto gli esperti in sicurezza possano pensare. Un avversario può facilmente identificare le risorse usate come “esca” e usarle per generare avvisi fraudolenti, al fine di distrarre i team di sicurezza mentre altrove si verifica un’infiltrazione reale.

Un altro limite di questa tecnologia riguarda il rischio di movimento laterale causato da sistemi progettati in modo inadeguato. Oltre a progettare un sistema che sembri abbastanza legittimo da attrarre gli avversari, le aziende devono anche proteggerlo. Non è possibile creare un sistema honeypot completamente protetto da un giorno all’altro: al contrario, esso richiede tempo e un buon impegno per gestire le complessità progettuali e garantire che il sistema non possa fungere da punto di partenza per l’accesso ad altri sistemi.

Infine, sono da considerare anche i costi degli honeypot: costruire e mantenere una rete separata con computer e risorse falsi comporta infatti un dispendio economico importante. Anche i costi di assistenza e supporto possono aumentare, in quanto la deception technology richiede personale qualificato per il monitoraggio e la manutenzione.

Le aziende possono cercare di attrarre gli avversari presentando loro deliberatamente account contrassegnati come honeytoken, il cui abuso avvisa le aziende di potenziali attacchi. Non sono un sistema completo, come è invece un honeypot, bensì dati o account legittimi con codice incorporato che attivano un allarme nel momento in cui vengono rilevate attività insolite su di essi, come l’accesso di un utente sconosciuto. Queste notifiche consentono agli esperti di sicurezza di identificare rapidamente il percorso di attacco di un avversario e consentono di adottare policy di protezione granulare per bloccare in tempo reale le attività degli account honeytoken e i movimenti laterali.

Rispetto agli honeypot, gli honeytoken offrono legittimità, sicurezza e facilità d’implementazione. Proprio poichè gli honeytoken sono dati e account legittimi, è improbabile che gli hacker generino alert fraudolenti e continuino le loro attività, senza sapere di essere stati identificati e tracciati dai team di sicurezza. Questi ultimi saranno infatti già a conoscenza di essere stati colpiti da un attacco, aspetto che consente loro di affrontare rapidamente tali minacce con un conseguente risparmio di tempo. Inoltre, con gli honeytoken, gli esperti in sicurezza non devono mettere a punto interi sistemi, risparmiando così anche risorse.

Ecco perché gli honeytoken danno ai professionisti della sicurezza maggiore tranquillità, grazie ad un’unica policy di supporto, come l’attivazione dell’autenticazione multi-fattore, affinchè le aziende possano mettere in atto stretti controlli di sicurezza sugli account honeytoken ed eliminare il rischio che gli avversari effettuino movimenti laterali all’interno della rete.

Proteggersi dalle minacce basate sull’identità

L’Identity Threat Detection & Response (ITDR) è diventata un elemento fondamentale per difendersi dalle minacce moderne e gli esperti in sicurezza possono renderla ancora più efficace aggiungendo honeytoken alla loro strategia completa di protezione delle identità. È difficile rilevare l’utilizzo di credenziali compromesse, che permettono agli avversari di eludere le tradizionali misure di sicurezza senza essere notati.

La deception technology non ha dimostrato di essere una soluzione di sicurezza efficace per le aziende. Al contrario, le aziende dovrebbero considerare un approccio più completo alla protezione delle identità per ottenere funzionalità di rilevamento, visibilità e prevenzione in tempo reale al fine di difendersi dagli attacchi basati sull’identità. Fornendo una visibilità continua e l’integrazione con Active Directory, nonché con diversi prodotti di Identity & Access Management (IAM), una soluzione di protezione dell'identità basata sul rischio che utilizzi un metodo più efficace e sicuro per intrappolare gli avversari può offrire alle organizzazioni un livello completo di monitoraggio e rilevamento delle minacce.

Kapil Raina è Identity Protection Evangelist di CrowdStrike


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.