Detección temprana a través del engaño: una estrategia de ciberseguridad para la nueva era de los ciberataques

Por más sistemas de seguridad que una casa tenga, siempre habrá un habilidoso ladrón capaz de entrar y robar todo lo que quiera. La mayoría de las veces sin ser detectado hasta que el daño ya está hecho. ¿Pero qué pasaría si, incluso después de ingresar al recinto, no logra conseguir nada de valor? ¿Si recorre las habitaciones buscando joyas y objetos valiosos, pero solo encuentra riquezas falsas que facilitan su identificación y expulsión?

Ese es el planteamiento detrás de la solución de ciberseguridad diseñada por Attivo Networks, ThreatDefend, a través del uso de deception (engaño). Esta tecnología modular y escalable permite desplegar trampas y sueñuelos a lo largo y ancho de la red de una organización, lo que permite crear una defensa temprana y versátil frente a todo tipo de ataques presentes o futuros.

Analizar de forma crítica las alternativas de ciberseguridad hoy es más importante que nunca. El impacto económico del cibercrimen fue en 2018 de al menos $45,000 millones de dólares, de acuerdo con datos de la Internet Society’s Online Trust Alliance (OTA). Quizás lo más impactante al respecto es que, de acuerdo con la misma entidad, 95% de estas violaciones a la seguridad podrían haber sido evitadas.

«Como humanidad ya habíamos usado anteriormente este tipo de tecnología: los señuelos y las trampas, porque eran muy eficientes para conseguir los objetivos de supervivencia. Es parte fundamental de la evolución humana. Pensamos al crear esta compañía que podíamos generar tácticas de señuelos digitales de grado empresarial, que igualmente serían muy eficientes y efectivas», indicó Tushar Kothari, CEO de Attivo Networks en entrevista exclusiva con IT Masters Mag.

La compañía surgió hace cinco años, con un equipo experimentado que llevaba la última década trabajando en grandes empresas de seguridad informática, principalmente ligadas a la protección del perímetro. «Llegamos a la conclusión de que el perímetro estaba cambiando y la prevención sola no iba a ser suficiente. Anticipamos que la detección iba a ser un requerimiento clave para cualquier estrategia de ciberseguridad del futuro y quisimos abordar ese mercado a tiempo», explica Kothari.

Uno de los beneficios principales de este tipo de tecnologías está en su alta confiabilidad y uso de recursos mínimos. El establecimiento de esta «malla de engaño accionable», que simula ser activos y datos valiosos, permite que no sea necesario analizar toda la información que pasa por la red: basta con esperar que el atacante en efecto intente amenazar información comprometedora o interactuar con dicho activo. Por lo mismo, no necesita firmas de identificación o aprendizaje para identificar anomalías, minimiza los falsos positivos para el analista y no requiere una inversión fuerte en infraestructura de análisis.

Suele decirse que una cadena es tan segura como su eslabón más débil y es por eso que en los últimos años han crecido considerablemente los ataques dirigidos a las personas: engañar a un ser humano es muchas veces más fácil y rápido que romper las paredes que protegen el perímetro. La solución de Attivo Networks fue diseñada a prueba de este tipo de ataques, al detectar en tiempo real cualquier acción que comprometa la estructura falsa de activos y que haya evadido las defensas perimetrales. De esta forma, intrusiones basadas en el robo de credenciales, ataques Man-in-the-Middle, ransomware, phishing y cualquier amenaza avanzada durante el movimiento lateral se encontrarán en un entorno controlado donde no podrán afectar al resto de la red, ya sea un entorno on premise, cloud, o incluso otros más complejos como IoT o SCADA.

Estrategias de este tipo han existido desde hace años y son conocidas como honeypots, o tarros de miel, pero su aplicación era limitada y no contaban con esquemas de machine learning e inteligencia artificial, como el caso de ThreatDefend. «Esta es una tecnología de grado empresarial, mucho más avanzada de lo que podría ser un honeypot. Attivo Networks puede desplegar cientos o miles de señuelos por toda la red: están en todos lados. Incluso generamos artefactos falsos llamados breadcrumbs, que dirige a los atacantes hacia nuestros señuelos», explica Carolyn Crandall, Chief Deception Officer y vicepresidente de Marketing de Attivo Networks.

La tecnología de Attivo Networks también es a prueba de herramientas específicamente diseñadas para detectar y deshabilitar honeypots, como la popular Honeypot Buster. La autenticidad en los esquemas de engaño es fundamental y es uno de los diferenciadores de la plataforma. Crandall explica que en la organización cuentan con personas que antes fueron hackers y otras que siempre han estado del lado de la ciberseguridad, por lo que constantemente están intentando aplicar herramientas y tipos de ataque para poner a prueba sus soluciones. «Imaginemos que logras ingresar al directorio de una compañía y piensas que obtuviste las ‘llaves del reino’. La protección de Attivo respecto al directorio es que interceptamos y alteramos la información que regresa al atacante. Ahora estoy devolviéndote información falsa sobre las credenciales y usuarios. Es una gran forma de desincentivar el ataque, estamos haciéndolos trabajar mucho más para acceder al objetivo, y aún así no están obteniendo nada valioso», explica.

El CEO de Attivo networks desmiente la creencia de que este tipo de tecnologías de señuelos son útiles (y costeables) solo para las organizaciones grandes. Más del 50% de su negocio proviene de compañías con menos de 5,000 empleados y son las principales responsables del crecimiento de 600% en clientes año contra año en el último trimestre.

La relevancia para las empresas pequeñas es alta. De acuerdo con un reciente estudio de Accenture el 43% de los ataques cibernéticos apuntan a los pequeños negocios, y apenas el 14% está preparado para defenderse. Estos incidentes cuestan a las compañías alrededor de $200,000 dólares, y el 60% de los atacados termina en bancarrota en un plazo de seis meses después de sufrir el ataque.

«El mid-market también se ha visto obligado a buscar fuera de las tecnologías de prevención. Muchos están optando por nuestras estrategias de engaño y señuelos porque son muy certeras y fáciles de escalar», explica Kothari. «La solución viene en distintos sabores y está diseñada para adaptarse a necesidades específicas. Si alguien dice: quiero expandirme, cambiar de mi viejo on-premise a la nube, cubrir otra locación geográfica, o sumar más elementos a lo que quería proteger inicialmente, las organizaciones tienen la flexibilidad de poder activar estas funciones y solo usarlas cuando se requieran».

Parte de esa flexibilidad está también en el hecho de que ThreatDefend convive sin problemas con otras herramientas de seguridad. «Deberías tener herramientas para evitar todo lo que pudiera atacarte. La bala de plata no existe, pero la ventaja de Attivo está en la detección temprana desde los primeros signos de reconocimiento del atacante. «Cualquiera que toque el señuelo, o cualquiera que esté intentando usar credenciales falsas generará una alerta inmediatamente. Puedes trabajar con muchas otras tecnologías que eventualmente encontrarán el ataque, pero si puedo detectar inicialmente la agresión y sumar esa información a mis datos del ataque va a ser posible entender mucho mejor cuál es el objetivo y la estrategia del criminal», concluye Crandall.

Attivo Networks tiene en su haber más de 100 reconocimientos. Por segundo año consecutivo ha sido clasificada como una de las 100 empresas de más rápido crecimiento en América del Norte en el Technology Fast 500 del 2019, por Deloitte y Gartner los ha calificado como la tecnología con el score más alto dentro de las plataformas distribuidas de engaño.

Cualquier información adicional sobre la tecnología ThreatDefend de Attivo Networks puede ser solicitada a Juan Carlos Vázquez, Regional Sales Manager en América Latina: Latam@attivonetworks.com

 

Related posts

Deja un comentario