El Uso Del Deception: ¿Artículo De Lujo O Un Salvavidas Para La Organización?

Reading Time: 5 minutes  |  Published: October 2, 2019 in Blogs, Event

Escrito por: Juan Vazquez, Gerente de Ventas Regionales – Recientemente tuvimos el privilegio de contar con la presencia de Carolyn Crandall, Chief Deception Officer y VP de Marketing para Attivo Networks en la Ciudad de Monterrey, NL en México con el objetivo de realizar un par de presentaciones sobre foros completamente distintos en su audiencia.

La primera fue celebrada en un inmejorable escenario como lo es el Planetario ALFA dirigida para CISOs, gerentes de seguridad y profesionales de TI responsables de innovar sus arquitecturas de ciber seguridad con la conferencia “Engaño de las amenazas: la ciencia y la metodología detrás de esto”cuyo objetivo fue evangelizar acerca del uso del enfoque para la detección de ciber amenazas.

La presentación de Carolyn se centró en que la detección de amenazas basada en el uso del engaño está entrando en la corriente principal como un control de detección primario para el movimiento lateral y de las amenazas internas. Acorde al reporte de EMA1: “A Definitive Guide to Deception Technology” del 2019, Carolyn mencionó que los usuarios que hacen uso del enfoque han reportado una gran confianza para detectar amenazas y ven que los tiempos de permanencia de los ciber atacantes o el famoso “dwell-time” se reduce en más del 91% en comparación con los no usuarios. No perdamos de vista que el último reporte de tendencias de Mandiant indica que la media global fue de 78 días, lo cual denota la falencia de controles en ese sentido para las organizaciones para una detección temprana y proactiva de incidentes de seguridad.

Una de las ideas erróneas alrededor del enfoque es que solo son requeridas trampas a nivel de la red para una detección básica, sin embargo, no todas las tecnologías de Deception fueron creadas de igual manera desde su concepción y una fábrica completa de engaño cuyo objetivo es volver la red de una organización en un auténtico campo minado requiere hacer uso de trampas de alta interacción que retrasen la actividad de los atacantes, señuelos que permitan atraer a los atacantes a la superficie de dichos decoys y cuyos eventos puedan ser monitoreados, la capacidad de identificar actividades de reconocimiento sobre los objetos del Directorio Activo como se realiza con herramientas como BloodHound (sin necesidad de instalar nada en el directorio) y el desvío a una malla de engaño ganando inteligencia de amenazas y telemetría en profundidad para el analista; así como hacer uso de automatizaciones para reducir el tiempo de respuesta de horas a minutos y que hoy en día puede ser la diferencia.

La analogía es simple, hoy en día se requiere que sus activos se conviertan en “lobos con piel de oveja” que respondan ante cualquier actividad sospechosa antes de que una brecha se concrete con éxito, respaldados por una superficie de trampas auténticas que se actualicen dinámicamente.

La automatización es una prioridad hoy en día acorde al mensaje principal del analista Gartner en su reciente Summit de Ciberseguridad y en ese sentido imagine como puede responder de manera automatizada y sin intervención del analista en la madrugada mediante un “playbook”, cuando al interior de su arquitectura de engaño se detecta un evento de ransomware, de robo de credenciales o cuando se trata de explotar un puerto no activo en su equipo, lo cual es completamente sospechoso. Aislar a la fuente del ataque hacia las trampas o mediante una integración con su firewall o solución de NAC o EDR es algo que puede lograr en segundos.

Cuando se habla de visibilidad, Carolyn listó 4 factores clave para los asistentes:

  • Saber dónde están sus activos
  • Comprender las rutas y técnicas de ataque
  • Implementar mecanismos de visibilidad interna
  • Aplicar tecnología defensiva engañosa y asimétrica que cambie la postura del defensor.

 

El enfoque se está volviendo en un auténtico salvavidas más que un artículo de lujoacorde a los analistas.

Carolyn concluyó que cualquier entidad que necesite comparar soluciones del enfoque, puede tomar como referencia algunos de los reportes recientes de analistas como Gartner2y Cyber Source Data Wellington Research3para identificar algunos de los criterios fundamentales y usted pueda obtener sus propias conclusiones alineado a las necesidades de su organización.

Tendencias y prioridades del CIO 2019 con un ojo puesto en la seguridad

En la segunda conferencia celebrada ante CIOs, Directores & Gerentes de TI y miembros de la AMPI el Club Industrial de la Ciudad de Monterrey, Carolyn compartió que el 78% de los CIOs dicen que ellos están en constante comunicación con “el board” y que parte de su mindset está en “la ciberseguridad”.

El papel de un CIO está madurando con responsabilidades que cambian de lo funcional a lo transitorio y estratégico. Los CIOs son cada vez más estratégicos, ya que están autorizados para identificar nuevas oportunidades de ingresos e iniciativas operativas. Las inversiones tecnológicas también están aumentando a medida que el CIO asume la creación de nuevas iniciativas generadoras de ingresos, nuevos modelos operativos y adquiere más responsabilidades generales. La gestión de la transformación digital rápida y el aumento de los riesgos de seguridad están determinando muchas de las prioridades más críticas de un CIO.

Carolyn expuso que entre las prioridades para este año están:

  • Mejorar la protección de los datos sensitivos y confidenciales de las organizaciones.
  • Incrementar los programas de concientización sobre seguridad y entrenamientos del personal.
  • Actualizar la seguridad de datos y de las tecnologías de información para aumentar la resiliencia corporativa.

 

Se presentó hacia la audiencia que ante ese boom de la transformación digital es inherente innovar en los mecanismos y controles de seguridad que permitan mejorar la seguridad y las posturas de gestión de riesgos para satisfacer las demandas futuras, y una de ellas está ligada a la visibilidad y detección de la red en todos los tipos de superficie (red, nube, centros de datos, ambientes IoT/OT, etc). Sin importar el tipo de superficie o de dispositivo, se requiere un mecanismo de detección universal.

En un contexto gracioso, el uso del Deception y como mecanismo de mejora se presenta como una serie de puertas donde todas parecieran de la misma forma permitiendo confundir al actor malicioso, pero al mismo tiempo al intentar abrir alguna de ellas realmente es una mina que permite identificar al atacante de inmediato.

Durante esta misma sesión, nuestro socio de negocios Protectia presentó de una manera interactiva los resultados del último reporte de Verizon vs la opinión de los asistentes, lo cual fue muy interesante ya que demostró que las cifras y métricas que se presentan de manera global difieren en muchos casos a lo que nuestra región opinó como parte de los resultados arrojados por la audiencia.

Sin importar si es usted un CIO o un CISO, el objetivo es claro hoy en día: es necesario reducir los tiempos de permanencia de los ciber atacantes avanzados y responder lo más temprano posible a actividades triviales como lo es la fase de reconocimiento o cuando un ransomware comienza a propagarse en su fase inicial. 

Agradecimiento Especial

Attivo Networks agradece profundamente a los asistentes de ambos foros y por supuesto la colaboración del equipo que coordina Bernardo Treviño, Director General de Gartner y Presidente de AMPI en su Capítulo en Monterrey y a todo el equipo de nuestro socio de negocios Protectia, lidereado por David Hernández quienes realizaron un trabajo arduo para conseguir que estos eventos fueran un éxito.

Together we do GREAT things!

Referencias:

  1. New Cyber Research Records a 91% Reduction in Dwell Time for Users of Deception Technology: https://attivonetworks.com/new-cyber-research-records-a-91-reduction-in-dwell-time-for-users-of-deception-technology/ 
  2. Solution Comparison for Six Threat Deception Platforms: https://www.gartner.com/doc/3939890
  3. Webinar (10/24) – Deception Imperatives and Vendor Comparison Spotlight: https://www.brighttalk.com/webcast/17319/371988/deception-imperatives-and-vendor-comparison-spotlight
No Comments

Post A Comment

three × 4 =