Cos'è la Deception Technology?

La tecnologia di deception, o inganno, è una categoria di misure di difesa semplici ed efficaci nell'ambito della sicurezza informatica, le quali rilevano tempestivamente le minacce con un numero ridotto di falsi positivi e un impatto minimo sulle prestazioni della rete. Questa tecnologia si fonda sul creare risorse fittizie, ma al contempo realistiche (ad esempio, domini, database, active directory, server, applicazioni, file, credenziali, breadcrumb, sessioni), da distribuire nella rete insieme alle risorse reali, per fungere da esche per i criminali informatici. Gli aggressori che violano la rete non hanno modo di distingue il vero dal falso e, quando interagiscono con un elemento fittizio, si innesca un allarme silenzioso: i sistemi iniziano a raccogliere informazioni sulle azioni e sulle intenzioni dell'aggressore, quindi utilizzano tale intelligence per generare avvisi altamente attendibili, che riducono il tempo di inattività e accelerano la risposta agli incidenti.

Indipendentemente da quanto siano efficaci le difese perimetrali, vi è comunque la possibilità che i criminali informatici riescano a infiltrarsi nella rete. Grazie alla Deception Technology, perderanno tempo ad esplorare risorse senza valore posizionate in modo strategico, e saranno indotti a cadere in una trappola. Una volta rilevata la loro presenza, è possibile ottenere un indicatore precoce del loro comportamento e raccogliere informazioni da usare a proprio favore.

Cos'è la Deception Technology nella sicurezza informatica?

Le strategie di difesa della Deception Technology oggi si basano in gran parte sui principi dell'inganno militare impiegati da personaggi come Chanakya, Sun Tzu, Napoleone e Gengis Khan per conquistare territori attraverso inganni, camuffamenti e sotterfugi. Nel contesto della sicurezza informatica, i difensori usano esche e trappole per indurre in errore gli aggressori, facendo credere loro di avere individuato un punto di accesso alla rete e portandoli a uscire allo scoperto.

I vantaggi della Deception Technology

In generale, il vantaggio principale della Deception Technology è che il successo dipende dall'aggressore, e non dal difensore. Con la rete popolata di esche, gli aggressori, per avere successo, devono mettere in atto un attacco impeccabile, senza farsi ingannare da alcuna risorsa fittizia, deviazione o trappola. Nel momento in cui l'aggressore compie un qualsiasi tipo di errore, il difensore ha la meglio.

Diamo un'occhiata ai cinque vantaggi concreti della Deception Technology che rendono possibile tutto questo.
 

1. Migliore rilevamento delle minacce

Se si posizionano le classi di rilevamento su una scala di precisione, vi sono due estremi:

  • rilevamento basato sulla firma, che è estremamente preciso ma molto specifico per minaccia;
  • analisi del comportamento/euristica, che copre varie minacce ma tende a generare falsi positivi.

Gli avvisi di deception rappresentano il meglio di questi due mondi, perché sono altamente accurati, con un'ampia copertura delle minacce.
 

2. Consapevolezza del rischio aziendale

La maggior parte dei controlli di sicurezza non prende in considerazione i rischi aziendali correnti: un antivirus non può sapere se in un'azienda è in corso una fusione. La Deception Technology, invece, può tenere conto anche di questi rischi. Ad esempio, se l'azienda sta lanciando un nuovo prodotto, è possibile creare delle misure di deception pensate appositamente per quel lancio, con controlli di sicurezza mirati in base alle aree esposte al rischio maggiore.
 

3. Maggiore copertura

La Deception Technology può essere estesa a tutta l'azienda, anche agli ambienti che spesso costituiscono dei punti ciechi. È in grado di rilevare le minacce al perimetro, sugli endpoint, nella rete, in Active Directory e a ogni livello di applicazione, nonché di coprire gli ambienti che spesso vengono trascurati, come SCADA/ICS, l'Internet delle cose e il cloud.

A differenza delle soluzioni ad hoc, la deception copre inoltre l'intera kill chain, dalla ricognizione prima dell'attacco, allo sfruttamento, all'escalation dei privilegi, al movimento laterale e alla perdita dei dati.
 

4. Numero estremamente basso di falsi positivi

I falsi positivi possono mettere in difficoltà qualsiasi team che si occupa di sicurezza. La Deception Technology ne produce pochissimi, perché solo gli aggressori hanno motivo di interagire con un'esca. Inoltre, gli avvisi forniscono il contesto delle intenzioni di un aggressore.

La maggior parte delle analisi comportamentali utilizza algoritmi di machine learning per segnalare le anomalie rispetto a una condizione di normalità, e questo tende a generare dei falsi positivi. La Deception Technology stabilisce uno scenario di riferimento ad attività azzerata (in modo che qualsiasi attività, in qualsiasi caso, giustifichi un'indagine) e fornisce indicatori dettagliati di compromissione.
 

5. Risposta orchestrata

La risposta orchestrata/automatica è più utile quando l'evento scatenante è sicuro al 100%. Anche in questo caso, gli avvisi di solito non necessitano di orchestrazione, perché i prodotti che li generano gestiscono già la correzione (ad esempio, la quarantena dell'antivirus).

Gli avvisi, nella Deception Technology, sono altamente certi e contestuali, ed è quindi possibile orchestrare scenari più complessi (ad esempio, credenziali esca che reindirizzano a un ambiente esca e che sono bloccate nell'ambiente reale) o concentrarsi su applicazioni specifiche (ad esempio, un account che accede a un server bancario SWIFT falso, che viene bloccato nel server SWIFT reale).

Le sfide della tecnologia di rilevamento legacy

I metodi di deception in ambito informatico si basano sul presupposto che un utente malintenzionato abbia già aggirato le difese perimetrali e abbia ottenuto l'accesso alla rete, agli endpoint, ai sistemi operativi e alle applicazioni. Altri metodi di rilevamento sono progettati per avvisare i team di sicurezza della presenza di minacce, ma non sono efficaci per combattere i sofisticati attacchi di oggi.

Gli strumenti di rilevamento legacy, quali firewall e rilevamento degli endpoint, ciascuno progettato per un tipo specifico di sicurezza (rete, applicazione, endpoint, dispositivi IoT, ecc.), spesso operano in modo indipendente l'uno dall'altro. Ciò comporta diverse problematiche:

  • Avvisi a bassa attendibilità, in quanto tali strumenti sono in grado di vedere solo la loro specifica porzione dell'infrastruttura di sicurezza, senza contesto.
  • Tempistiche più lunghe per le indagini, poiché gli analisti della sicurezza devono passare da uno strumento all'altro per scoprire la sequenza di attacco e l'entità dei danni.
  • Numero elevato di falsi positivi, che va a gravare sulla procedura di segnalazione. Un'indagine condotta nel 2021 da ESG ha riscontrato che il 45% degli avvisi, provenienti dall'applicazione Web degli intervistati e dagli strumenti di sicurezza delle API, corrispondeva a dei falsi positivi.

Inoltre, molte tecnologie di rilevamento esistenti funzionano meglio contro i malware anziché contro gli attacchi con interazione umana, siano essi minacce esterne o interne. Gli aggressori avanzati sono molto più sofisticati degli hacker comuni e sono estremamente abili nell'imitare i comportamenti degli utenti legittimi per riuscire a passare inosservati. Quando si trovano di fronte a delle piattaforme di deception, tuttavia, questi aggressori escono allo scoperto non appena interagiscono con un'esca.

Il primo strumento di deception nell'ambito della sicurezza delle informazioni, l'honeypot, è apparso diversi decenni fa ed è ancora oggi in uso. Gli honeypot, letteralmente "barattoli di miele", sono risorse non protette, ma monitorate, progettate per attrarre gli aggressori che hanno violato una rete. Una volta effettuato l'accesso all'honeypot, i team addetti alle operazioni di sicurezza possono agire per ottenere informazioni sull'aggressore o bloccare l'attacco.

Le tecnologie di deception più datate, come honeypot, honey credential (credenziali esca) e simili, sono essenzialmente tecniche statiche e reattive, diventano obsolete molto rapidamente e non sono in grado di stare al passo con delle tattiche di attacco che sono invece in continua evoluzione. Per questo motivo, per gli aggressori è ancora più facile eludere il rilevamento e rimanere nella rete. Gli honeypot e le honeynet (reti esca) accessibili a Internet possono generare molti falsi positivi, se la tecnologia non è in grado di distinguere tra ampie attività di scansione e ricognizione mirata.

 

La Deception Technology moderna cambia le carte in tavola

Al contrario, la tecnologia di deception moderna utilizza tecniche di difesa attiva per rendere la rete un ambiente ostile agli aggressori. Innanzitutto, analogamente agli honeypot, la Deception Technology moderna popola la rete con risorse fittizie che sembrano reali, ma a cui nessun utente legittimo può mai accedere. Sfrutta quindi gli avvisi per rilevare le attività dannose, raccogliere informazioni sulle minacce, bloccare il movimento laterale e orchestrare la risposta e il contenimento delle minacce, il tutto senza la supervisione umana.

Le piattaforme di deception moderne seguono un modello basato sul rilevamento proattivo che genera un numero ridotto di falsi positivi. Fanno uso di analisi approfondite che si concentrano sull'intento umano che si cela dietro un attacco, adattandosi alle nuove minacce prima ancora che si verifichino, e offrendo orchestrazione e automazione delle attività di risposta. Dato che le tecniche di difesa di Deception Technology non dipendono da firme o euristiche per il rilevamento, sono in grado di coprire quasi tutti i vettori di attacco e di rilevare in tempo reale praticamente qualsiasi tipologia di attacco, come quelli basati su minacce persistenti avanzate (APT), minacce 0-day, ricognizioni, movimenti laterali, attacchi fileless, ingegneria sociale, attacchi man-in-the-middle e ransomware.

Una volta identificato un aggressore sulla rete, è possibile manipolare l'ambiente di deception in tempo reale in base alle informazioni raccolte sull'attacco. Ecco alcune possibilità:

  • manipolare l'aggressore generando o rimuovendo delle risorse esca;
  • generare traffico di rete, avvisi o messaggi di errore, per indurre gli aggressori a mettere in atto comportamenti specifici;
  • usare strumenti di dirottamento delle sessioni per il cloud o distorcere le percezioni che gli aggressori hanno dell'ambiente;
  • creare situazioni che costringono un aggressore a divulgare informazioni sulla sua identità e sul luogo di provenienza, per aggirare gli ostacoli percepiti.

La deception non consiste solamente nel dirottare i criminali informatici. Questo insieme di strategie sfrutta la conoscenza solo parziale che gli aggressori hanno dell'ambiente in cui stanno cercando di infiltrarsi e la loro incapacità di distinguere entità reali da entità fittizie. In questo modo, la dinamica di potere tra aggressori e difensori è invertita, e questi ultimi ottengono una prospettiva concreta su ciò che gli utenti malintenzionati vogliono ottenere, sul perché lo vogliono e su come intendono procedere.

 

Casi d'uso della tecnologia di deception

È possibile utilizzare la deception technology per rilevare le minacce nella kill chain, dalla ricognizione al furto dei dati. Esistono tre macrocategorie di casi d'uso:

  • Deception per la difesa del perimetro: solitamente, non è possibile monitorare tutto il traffico in entrata alla ricerca di potenziali minacce. La creazione di risorse ingannevoli rivolte al pubblico può semplificare questo problema e fornire informazioni utili su chi sta prendendo di mira l'azienda.
  • Deception per la difesa della rete: consiste nel posizionare esche in luoghi individuabili dagli aggressori, ma a cui gli utenti legittimi non possono accedere, e può consentire il rilevamento di un attacco in corso.
  • Deception per la difesa degli endpoint:  le esche sugli endpoint, agli occhi di un aggressore, appaiono come delle risorse preziose per l'esfiltrazione. Il monitoraggio di queste risorse può consentire il rilevamento di comportamenti sospetti e di comportamenti che sarebbero normali sulla rete, ma che non dovrebbero legittimamente verificarsi su un determinato endpoint in un dato momento.

 

Le aziende devono usare la Deception Technology?

Fino a poco tempo fa, era opinione comune del settore che la deception fosse molto utile per le aziende con funzionalità di sicurezza mature. Tuttavia, anche le aziende di medie e piccole dimensioni possono trarre importanti vantaggi da questa tecnologia. La Deception Technology sta diventando molto popolare per organizzazioni di ogni dimensione.
 

Aziende grandi e mature

Le aziende all'avanguardia che dispongono di un budget elevato, con funzioni di sicurezza ben sviluppate, utilizzano la Deception Technology per ottimizzare il rilevamento delle minacce, la raccolta interna di informazioni su di esse e le funzionalità di risposta.

In questo modo, le aziende cercano di rilevare minacce più avanzate e sfruttano il basso numero di falsi positivi per mettere in atto una ricerca attiva delle minacce o una risposta integrata attraverso le proprie tecniche esistenti. Questo segmento di mercato si è sviluppato e ha portato a un'adozione più ampia della Deception Technology.
 

Aziende di medie e piccole dimensioni

I CISO delle realtà di medie dimensioni, nonché i team di sicurezza più snelli delle aziende più piccole, operano con budget più ridotti, ma spesso affrontano minacce e rischi significativi, come i problemi di conformità. Queste aziende possono essere dotate di una struttura di sicurezza di base, ma devono comunque essere in grado di rilevare le minacce più gravi. Hanno dunque bisogno di una soluzione che:

  • sia veloce da adottare e offra risultati immediati;
  • sia facile da usare e necessiti di poca manutenzione, adatta a un piccolo team che si occupa di sicurezza;
  • non sia una soluzione ad hoc, dal momento che il budget è troppo basso per gestire più tecnologie;
  • sia dotata di un'ampia copertura, che includa aree come il cloud e l'IoT.

La Deception Technology soddisfa tutte queste esigenze e permette a queste aziende di avere il controllo sulle minacce più avanzate e mirate.

Zscaler: Deception Technology con un'architettura zero trust

Nessuna tecnica o policy di sicurezza è efficace al 100% nel bloccare gli aggressori. Per garantire la massima protezione, è necessaria la collaborazione e la condivisione di informazioni tra più tecnologie. L'idea è di ridurre al minimo la superficie di attacco e accelerare la capacità di risolvere gli incidenti.

Una delle combinazioni più potenti consiste nell'integrazione della Deception Technology con la sicurezza zero trust. L'approccio zero trust presuppone che ogni accesso o richiesta dell'utente sia considerato ostile fino a quando l'identità dell'utente e il contesto della richiesta non vengono autenticati e autorizzati. In questo modo, garantisce l'accesso solo alle risorse minime richieste, un concetto noto come "accesso a privilegi minimi".

Le esche della Deception Technology svolgono la funzione di trigger in un ambiente zero trust, e consentono di rilevare gli utenti compromessi o i movimenti laterali nella rete. Ogni movimento laterale è tracciato in un ambiente sicuro e isolato, e vengono inviati avvisi sul tipo di risorsa a cui l'aggressore è interessato, rallentandolo e consentendo ai team di sicurezza di monitorare le sue tattiche, tecniche e procedure (TTP).

In quanto parte integrante della piattaforma Zero Trust Exchange di Zscaler, Zscaler Deception integra la deception con lo zero trust, monitora la sequenza completa degli attacchi e avvia azioni di risposta automatizzate sulla piattaforma Zscaler.

 

Difesa attiva con il framework MITRE Engage

MITRE Engage è un affidabile framework di settore per discutere e pianificare l'interazione con gli aggressori, la deception e le attività di denial (rifiuto) sulla base del comportamento dell'aggressore osservato nel mondo reale. La matrice di MITRE rappresenta una guida concreta e all'avanguardia sul modo in cui le aziende possono implementare al meglio delle strategie di deception e di interazione con gli aggressori nell'ambito della propria strategia globale di sicurezza zero trust.

 

Difesa attiva con il framework MITRE Engage

Le tecnologie di denial, deception e interazione con gli aggressori non sostituiscono le attuali operazioni dei SOC. Queste tecnologie, piuttosto, collaborano con le difese esistenti. Agiscono come una diga: con le proprie strategie difensive si costruiscono dei muri per bloccare tutto il possibile, e la Deception Technology viene usata per incanalare e spostare gli aggressori in modo da ottenere un vantaggio.

MITRE Corporation

Zscaler Deception offre il 99% delle funzionalità trattate da MITRE Engage. Fai clic qui per saperne di più.

Puoi anche scoprire di più su Zscaler Deception.