Dopo essere rimasta per decenni in secondo piano, torna alla ribalta la cyber deception technology. Nell’attuale e sempre più rischioso contesto di cybersecurity, si sta dimostrando un’arma difensiva importante, di cui i team di sicurezza devono poter disporre.
Con questo termine che in italiano potremmo tradurre con “inganno informatico”, si indicano tutte quelle tecniche che, letteralmente, si fanno gioco degli aggressori. Di solito agiscono facendoli entrare in contatto con risorse digitali fittizie, non realmente utilizzate dagli utenti aziendali autorizzati, per poi studiarli o smascherarli. Server, servizi, reti, file, account utente e account di posta elettronica: tutto, o quasi, può diventare così una vera e propria esca, per rivelare gli attacchi in corso.
Perché optare per la cyber deception technology
Il primo punto a favore è legato al suo approccio proattivo. I team di sicurezza non sono più costretti a stare fermi a guardare, possono provare a battere gli aggressori, operando sullo stesso terreno di gioco, a volte anche ad armi pari. Esistono anche altri vantaggi della tecnologia di cyber deception, eccone alcuni:
- Rilevamento rapido delle minacce, riducendo il tempo di permanenza degli aggressori. Distribuendo e monitorando costantemente le risorse-esca, si identificano gli aggressori in modo più tempestivo ed efficiente di quanto sarebbe altrimenti possibile.
- Avvisi affidabili. Dato che le risorse di cyber deception non servono per le attività aziendali reali, c’è un’alta probabilità che, chiunque le utilizzi, sia un aggressore. Ciò significa poter contare su allarmi interni più credibili e affidabili, minimizzando il numero dei falsi positivi.
- Dati e metriche dettagliati sugli attacchi. Non tutte le risorse IT possono essere monitorate con un alto livello di dettaglio. Registrando solo ciò che accade a quelle di cyber deception, però, è possibile ottenere informazioni preziose su attaccante, strategia, tecniche e vulnerabilità colpite. Fingendo di non riconoscere gli intrusi, assicurandosi che non accedano alle risorse autentiche, gli esperti di sicurezza possono raccogliere tutte queste preziose informazioni, guadagnando un bel un vantaggio strategico.
Come implementare le strategie di inganno
Esistono diversi modi per sfruttare le tecnologie di cyber deception. Inizialmente si poteva scegliere solo tra honeypots e honeynets (rispettivamente host e reti fasulli) ora, fortunatamente, non è più così: le possibilità sono infinite.
I team di sicurezza possono decidere di volta in volta se utilizzare come esche anche siti web, account di posta elettronica, file di dati, nomi di dominio, indirizzi IP e qualsiasi altra risorsa immaginabile. Molti sono anche i prodotti e i servizi sul mercato, che supportano l’inganno informatico. Tra le molte alternative possibili, per chi si occupa di sicurezza, c’è anche quella di creare e distribuire istanze tecnologiche proprie di cyber deception.
È importante notare che, oltre che sul piano tecnologico, bisogna giocare anche su quello psicologico. Un punto fondamentale, in questo tipo di strategie, è infatti la certezza che gli aggressori non scoprano l’inganno: per loro le risorse-esca devono essere quelle reali. Tutto si basa sul Social engineering: si deve indurre gli aggressori a girare a vuoto il più a lungo possibile, in modo da raccogliere dati e identificare le vulnerabilità prese di mira.
L’uso della cyber deception technology, presuppone anche un livello di manutenzione frequente e continua. Il framework Mitre Engage lo descrive come un vero e proprio processo, “non come uno stack di tecnologia che si può implementare e, poi, dimenticare”. Per esempio, i team di sicurezza che la utilizzano, devono aggiornare, rivedere e “movimentare” frequentemente le risorse-esca, per simulare il day by day autentico aziendale, e renderle credibili. L’impegno richiesto aumenta, con l’aumentare del numero di risorse fasulle messe in campo, ma serve per essere certi di applicare questa tecnica in modo appropriato ed efficace.
Come aggiungere l’inganno informatico a una security già esistente
Le strategie di cyber deception sono generalmente una responsabilità condivisa tra più team e funzioni lavorative. Solitamente vengono coinvolte persone che ricoprono i seguenti ruoli, ciascuno per una specifica ragione.
- Esperti in sicurezza, per identificare i tipi di risorse e i luoghi logici e fisici in cui la cyber deception technology sarebbe più utile.
- Amministratori, per creare e mantenere le risorse di deception.
- Ingegneri, per implementare tecnologie con cui identificare quando le risorse-esca sono in uso, avvisando anche il personale di sicurezza
- Operatori di sicurezza e response, per monitorare qualsiasi uso delle risorse fasulle e lanciare l’allarme quando compare una nuova minaccia importante.
Tutti questi soggetti dovrebbero anche poter conoscere le attività illecite identificate dal programma di cyber deception. Sarebbero, a loro volta, informazioni utili per ottimizzare l’uso di tecniche di inganno informatico, e per migliorare la sua posizione di sicurezza complessiva.
La cyber deception technology sta rapidamente diventando una componente fondamentale per una eventuale strategia proattiva di difesa informatica. Spesso viene implementata perché agisca in modo complementare alle altre tecniche proattive, come la threat hunting. Generalmente si tratta di strategie più adatte e messe in atto dalle imprese con capacità informatiche di alto livello.
Nei prossimi anni, però, le cose potrebbero cambiare. Il settore della cyber security forse inizierà a considerare l’inganno informatico e il threat hunting come funzioni fondamentali. Ogni azienda, a quel punto, si troverebbe caldamente invitata a utilizzare entrambe, anche solo per ottenere una protezione considerata “di base”.