Con la sicurezza non si scherza, ma utilizzare prodotti per ingannnare chi inganna è una buona tecnica anti-cybercrime. In gergo questo approccio utilizza dei sistemi soprannominati honeypot, ovvero dei vasetti di miele virtuali capaci di attirare gli hacker per coglierli in flagranza di reato.
Gabbare gli hacker implementando sistemi honeypot è una strategia che risale al 1998, anno del rilascio del Fred Cohen Deception Toolkit. Naturalmente esistono anche modi meno fantasiosi per proteggere i dati aziendali. In The Cuckoo’s Egg, ad esempio l’autore Clifford Stoll racconta la sua storia. Nel 1986, mentre lavorava come amministratore di sistema presso il Lawrence Berkeley National Laboratory in California decise di creare un archivio falso dove inserire file decoy per smascherare un hacker coinvolto in attività di spionaggio informatico. E ci riuscì.
Se gli honeypot funzionano come sistemi di prevenzione delle intrusioni, le nuove deception platform rappresentano la versione più sofisticata, che offre veri e propri programmi che da un’unica console filtrano e prioritizzano gli attacchi rilevati.
Come funziona la threat deception
Oggi certi firewall, come per esempio Juniper Networks, forniscono informazioni sbagliate, segnalando ad esempio processi di rete che non sono veri per fermare la diffusione dei malware. Anche sistemi di prevenzione delle intrusioni di IBM, HP, Intel e Cisco utilizzano simili tecniche d’inganno. Un altro trucco è mascherare una pagina Web in modo da farla sembrare ogni volta diversa al bot che la vede.
Ma se ci sono così tanti modi per ingannare gli hacker, come mai le tecniche di deception non sono decollate all’interno delle strategie di sicurezza IT aziendali? Secondo Gartner, i fornitori hanno in gran parte mantenuto le loro tecniche d’inganno coperte da segreto.
“Le implementazioni di tecnologiche di deception – spiega Lawrence Pingree, Caporicercatore di Gartner – ora coprono più livelli all’interno dello stack, tra endpoint, rete, applicazioni e dati. Tuttavia, molti fornitori sono riluttanti a parlare di queste tecniche perché molto spesso il concetto viene mal compreso dai clienti”.
Tattiche di deception in crescita del 10% entro il 2018
Sarebbe opportuno che i CISO cominciassero a familiarizzare con questa tipologia di difesa: Gartner stima che, entro il 2018 il 10% delle imprese utilizzerà strumenti e tattiche di deception. Gli analisti, tra i partner della sicurezza, indicano i distributed decoy provider: tra questi si trovano start-up come Attivo Networks, Cymmetria, TrapX Security e TopSpin Security. I loro prodotti, infatti, permettono di creare automaticamente endpoint e server in tutto il range di indirizzi IP utilizzati all’interno dell’organizzazione, distribuendo varie trappole nei dispositivi reali come, ad esempio, false credenziali per gli account su computer-civetta. “Noi facciamo credere all’hacker di aver trovato proprio il server o i servizi che stava cercando – ha spiegato Tushar Kothari, amministratore delegato di Attivo Networks – e una volta partito l’attacco, siamo in grado di capire quali siano le sue intenzioni e agire di conseguenza”.
Quali sono i vantaggi dei sistemi-civetta?
L’approccio fake offre alcuni vantaggi importanti. In primo luogo, ogni volta che c’è traffico significativo diretto a un server o a un endpoint civetta, si ha la certezza che si stia verificando una qualche attività dannosa, dato che nessun utente reale avrebbe alcuna ragione di essere in contatto con queste cyber-esche. Questo garantisce un livello intrinsecamente basso di falsi positivi. In secondo luogo, la tecnologia-civetta occupa pochissimo banda.
“Non siamo in linea e non teniamo copia dei dati – sottolinea Kothari -. Dobbiamo solo preoccuparci di essere abbastanza attraenti agli occhi dell’hacker. Per questo il la strategia risulta estremamente efficiente”.
Detto ciò, è pur vero che alcuni fornitori, come per esempio TopSpin, monitorano il traffico di rete alla maniera dei tradizionali sistemi di rilevamento delle intrusioni oltre a disseminare esche lungo tutto l’ambiente di rete. La qualità di queste strategia sta migliorando nettamente. Kothari ha spiegato che spesso Attivo Networks utilizza copie esatte dei server di produzione di un cliente, distribuisce più esche di server reali e le rende leggermente meno protette. La società ha inoltre rilasciato un aggiornamento ai primi di settembre che supporta l’aggiunta di Amazon Web Services e configurazioni ibride. Cosa accade se un hacker attacca contemporaneamente un server reale e una delle esche? Inizia una fase di osservazione dei suoi comportamenti che permette al sistema di analizzare le specifiche dell’attacco per comprendere quali sono i suoi obiettivi finali e, forse, anche chi sono i mandanti di questa azione malevola.