As tecnologias de threat deception são ferramentas que visam enganar e atrair cibercriminosos, desviando sua atenção de ativos reais e sensíveis. Através da simulação de sistemas, dados e ambientes falsos, os deceptions protegem a infraestrutura real e coletam informações valiosas sobre os atacantes.
A premissa é: Em caso de falha nas defesas da empresa – um cenário cada vez mais possível com a crescente sofisticação dos ataques cibernéticos – a tecnologia de deception se torna crucial para proteger dados sensíveis.
A tática utilizada tem como objetivo criar iscas (decoys) digitais para atrair os atacantes. Isso pode ser feito através da simulação de:
Redes e dispositivos falsos, simulando uma infraestrutura de TI completa, atraindo os atacantes para um ambiente controlado, onde seus movimentos podem ser monitorados e analisados.
Dados falsos, a criação desses arquivos, como documentos confidenciais ou informações de clientes, tem o objetivo de levar os atacantes a acreditar que obtiveram acesso a informações valiosas, enquanto na verdade o acesso ao dado está sendo monitorado.
Aplicações falsas, simulando aplicações web ou serviços online, os decoys podem capturar informações valiosas sobre os métodos de ataque utilizados pelos cibercriminosos.
Quais os benefícios de usar deception, honeypot e sandbox?
Duas técnicas iniciais têm funções similares ao deception: as honeypots e sandboxes.
Um honeypot é uma armadilha digital que imita um dispositivo real na rede, com a ideia de atrair atacantes para estudar suas ações. As honeypots (máquinas), honeynets (redes), honeytokens e suas variações, são simples de implementar, mas menos eficazes contra os atacantes experientes, pois trabalham utilizando técnicas reativas e estáticas enquanto as soluções corporativas de deception trabalham além de detecção baseada em assinatura como também na análise comportamental, heurística e Inteligência Artificial para ambientes OT/IoT/TI.
Os sandboxes, por outro lado, são ambientes virtuais controlados (on-premisses ou cloud) que restringem as atividades de malware e permitem a análise pós-exploração de códigos maliciosos sem colocar a organização em risco.
Ao usar essas técnicas em conjunto, as equipes de segurança conseguiram criar armadilhas que as alertam quando um comportamento suspeito é detectado, permitindo detectar e analisar com segurança as ameaças de malware antes que causem qualquer dano.
Hoje, o termo deception assumiu um significado muito mais amplo. A tecnologia herdada concentrava-se apenas na criação de infraestrutura semelhante a servidores Linux ou Windows, mas isso não é mais eficaz no cenário de ameaças em constante evolução. Com as infraestruturas em nuvem, as redes definidas por software e o trabalho remoto tem se tornando cada vez mais populares sem o perímetro tradicional para controle dos ativos. Isto significa que métodos inovadores devem ser usados para manter a segurança.
As tecnologias de threat deception modernas oferecem diversos benefícios para a segurança da informação, como baixo falso positivo e integração com outras soluções como SIEM e SOAR. Hoje os ativos “deceptive” são combinados e implantados em toda a rede (distribuída e/ou híbrida), como também nos endpoints corporativos e ou em armazenamentos de credenciais, como o Active Directory.
Considerações importantes:
É importante ressaltar que as tecnologias de deception não são uma solução mágica. Elas devem ser usadas em conjunto com outras medidas de segurança para garantir a proteção completa da organização. Além disso, o uso de iscas pode ser complexo e exige planejamento e expertise. É importante contar com uma equipe qualificada para implementar e gerenciar a solução de forma eficaz.
“Deception efforts need to be balanced with strong incident response workflows as the skill sets required to interpret the output of deception tools and engage in proper response to the identified threats are fairly sophisticated.” Gartner
Referências:
Tecnologia deception: a nova estratégia contra ataques cibernéticos (varonis.com)
O que é tecnologia de deception? Importância e benefícios | Zscaler
RotaDefault 