Support Login

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

 

Tecnología Deception: Una solución simple mediante el engaño para las amenazas más complejas

 

Tecnología Deception: Una solución simple mediante el engaño para las amenazas más complejas

Escrito por: Marc Feghali, Co-Fundador y Vicepresidente de gestión de producto – Es casi seguro que ha oído hablar de la tecnología denominada “Deception” para la ciberseguridad, pero se estará preguntando qué implica o puede ser requerido para implementarla en su entorno. Parece complejo ya que, ¿Cómo puede implementarla en su propia red que es diversa, distribuida y compleja? Sin duda, experiencias de pasadas implementaciones atestiguan el desafío de implementar nuevos controles de seguridad en su red. Entonces, ¿cómo proceder?

Para ilustrar nuestro punto sobre la simplicidad, este caso de estudio empresarial mostrará, incluso con una instalación grande, que el “despliegue del uso del engaño” es excepcionalmente fácil de preparar, implementar y operar. A continuación se describe el ejemplo de una implementación que un cliente actual nuestro utilizó.

Objetivo: Implementar el engaño dentro de la red para cubrir ataques basados ​​en el movimiento lateral, ataques basados ​​en credenciales, ataques contra el Directorio Activo y detección de ataques del tipo “Man-the-Middle”; mientras se proporciona visibilidad de la red en todas las ubicaciones. A la par se busca integrar y aprovechar a la perfección las soluciones existentes de EDR, NAC y SIEM para poner en cuarentena automáticamente los sistemas infectados.

La red: 100 VLANs/subredes locales distribuidas entre redes de acceso y un centro de datos híbrido. 200 ubicaciones remotas con hasta 8 VLANs cada una y un centro de datos. 10,000 empleados repartidos en múltiples ubicaciones.

La solución: 1 Attivo BOTsink® 5100, ThreatDirect ™, ThreatStrike ™ Credenciales engañosas y ThreatPath ™

network layout

Para lograr sus objetivos, el cliente implementó un appliance Attivo BOTsink 5100 en su red local y ThreatDirect en cada ubicación remota para obtener cobertura de dichos sitios y centro de datos. Con esta configuración, el cliente cubrió todo su entorno de red local y remota con la visibilidad y despliegue del engaño en la totalidad de sus VLANs y subredes. Tardó menos de un día en implementar completamente la plataforma en la sede central con un despliegue sumamente ágil, mientras se cubría los puntos finales y las ubicaciones remotas. La ventaja de este tipo de tecnologías radica en ser de “baja fricción” comparado con otros enfoques.

El proceso de implementación

El cliente comenzó montando su dispositivo BOTsink (se puede implementar como un dispositivo físico, dispositivo virtual o una instancia de nube) y conectándolo a un puerto troncal en su red. Una vez en la red, el servidor BOTsink identificó automáticamente las VLANs y subredes conectadas y mediante direccionamiento dinámico se despliegan los “decoys” necesarios. Alternativamente, el cliente podría haber elegido asignar direcciones IP manualmente a través de las VLAN deseadas.

Al usar la plataforma ThreatStrike en los puntos finales, un servidor BOTsink genera, administra y actualiza las aplicaciones de los señuelos y las credenciales de la nube para ayudar a protegerse contra ataques dirigidos. En este caso, el cliente implementó ThreatStrike en sus puntos finales, servidores y en Active Directory. Las credenciales “señuelo” están ocultas para los usuarios normales. Cualquier uso de ellos generará una alerta de alta fidelidad que identifica el sistema comprometido, las credenciales robadas utilizadas y todos los detalles del ataque.

Para incluir sus ubicaciones remotas y centro de datos, el cliente implementó ThreatDirect en cada ubicación. Este elemento (que puede ser ejecutado como máquina virtual o servicio en un equipo de cada segmento) les dio cobertura de las VLANs y subredes remotas, extendiendo las capacidades del servidor BOTsink a esos sitios sin perder funcionalidad. A través de ThreatDirect, el cliente ganó la visibilidad de dichos sitios, lo que significa que cualquier atacante tendría que atravesar un “campo minado” en los sitios remotos y no solo en la red del corporativo.

El BOTsink también se configuró para poner en cuarentena a un atacante automáticamente al aprovechar su infraestructura de seguridad existente. En la práctica, una vez que un atacante se involucra con el entorno de engaño, el BOTsink contiene el ataque, recopila TTPs e IOCs y comparte esa inteligencia con otras soluciones de seguridad para acelerar la remediación. La plataforma Enterprise-class de Attivo ThreatDefend ™ tiene integraciones extensas con NAC, EDR, soluciones de punto final, SIEM, firewalls y gateways para hacer todo esto de manera automática y simple.

Con Attivo Networks, implementar el “uso del Engaño” como estrategia de Defensa Activa es una respuesta directa que reduce drásticamente el tiempo de permanencia de un atacante (dwell time) y el tiempo medio para la remediación. Es lo suficientemente versátil para adaptarse a cualquier entorno, es altamente escalable y es extremadamente fácil de implementar, administrar y operar. En el panorama de amenazas de hoy, realmente no se puede obtener algo mucho más fácil que esto, para obtener la ventaja contra los atacantes. Para obtener más información sobre la plataforma ThreatDefend, visite nuestra página de productos en www.attivonetworks.com

No Comments

Post A Comment

14 + three =