Las cinco principales herramientas de engaño y cómo atrapan a los atacantes

Las organizaciones conocedoras de la seguridad entienden que lo mejor es asumir que sus sistemas han sido vulnerados. Es una de las razones por las que las arquitecturas de Zero Trust reciben tanta atención hoy en día, y es la razón por la que más empresas tienen cazadores de amenazas que van en busca de atacantes que ya están activos en sus redes.

Esta práctica se ha hecho popular porque las amenazas se han convertido en algo omnipresente, y los sistemas tradicionales de detección/prevención de intrusos envían demasiados falsos positivos. Pueden ser demasiado fáciles de eludir. Sin embargo, los cazadores de amenazas no pueden atrapar todo, y no hay suficientes personas con estas habilidades para todos. Así que, ¿a dónde acuden los equipos de seguridad para obtener un poco de alivio? Cada vez son más los que recurren a la defensa activa, o tecnologías de engaño, para ayudar a identificar los movimientos de los atacantes dentro de sus sistemas.

Las tecnologías de engaño hacen precisamente lo que parece que hacen: intentan engañar a los atacantes haciéndoles creer que se están infiltrando en activos reales de valor o accediendo a datos valiosos, cuando en realidad están tanteando el terreno dentro de una treta que no sólo les hace perder el tiempo en sistemas inofensivos, sino que también hace que sus técnicas de ataque sean más fáciles de observar. También proporcionan a los equipos de seguridad las herramientas, técnicas y procedimientos que emplean sus adversarios. Esta información puede utilizarse para proteger los sistemas reales.

Para funcionar, las tecnologías de engaño crean esencialmente señuelos, trampas que emulan los sistemas naturales. Estos sistemas funcionan debido a la forma en que operan la mayoría de los atacantes. Por ejemplo, cuando los atacantes penetran en el entorno, suelen buscar formas de crear persistencia. Esto suele significar dejar caer una puerta trasera. Además de la puerta trasera, los atacantes intentarán moverse lateralmente dentro de las organizaciones, naturalmente tratando de usar credenciales de acceso robadas o adivinadas. A medida que los atacantes encuentren datos y sistemas de valor, desplegarán malware adicional y exfiltrarán datos, normalmente utilizando la(s) puerta(s) trasera(s) que dejaron caer.

Con los sistemas tradicionales de detección de anomalías y de detección/prevención de intrusiones, las empresas intentan detectar estos ataques en curso en todas sus redes y sistemas. Sin embargo, el problema es que estas herramientas se basan en firmas o en algoritmos susceptibles de aprendizaje automático y arrojan un enorme número de falsos positivos. Las tecnologías de engaño, sin embargo, tienen un umbral más alto para desencadenar eventos, pero estos eventos tienden a ser actores de amenazas reales que realizan ataques reales.

Aunque las tecnologías de engaño son conocidas para los puntos finales, servidores, dispositivos de TI tradicionales y equipos de red, también pueden funcionar con dispositivos de IoT, como sistemas de puntos de venta, dispositivos médicos y otros. Hay varias cosas que hay que tener en cuenta a la hora de adquirir tecnologías de engaño para cualquier empresa:

• Capacidad de ampliación: para ser eficaces, las tecnologías de engaño deben poder desplegarse en todo el entorno de una empresa.
• Gestión centralizada: con la escala vienen miles de puntos finales y la necesidad de gestionar estos activos de engaño, idealmente desde una consola centralizada.
• Agilidad: Las tecnologías de engaño también deben desplegarse dentro de los factores de forma: en las instalaciones, en la nube, en los equipos de red, en los puntos finales y en los dispositivos IOT.
• Integración: La información que recogen las tecnologías de engaño es muy valiosa para el centro de operaciones de seguridad, los equipos de respuesta a incidentes y los cazadores de amenazas. También es valiosa para otras herramientas de seguridad, como los gestores de información y eventos de seguridad, los cortafuegos, los gestores de vulnerabilidad y los sistemas tradicionales de detección y prevención de intrusiones. Busca una tecnología de engaño que facilite el intercambio de datos y que se adapte a las herramientas de seguridad existentes.

Principales herramientas de engaño

A continuación se presenta una selección de tecnologías de engaño disponibles actualmente en el mercado:

Acalvio ShadowPlex

La plataforma ShadowPlex de Acalvio ofrece un sistema de engaño a escala empresarial. La empresa afirma que ShadowPlex está diseñada para requerir la menor sobrecarga administrativa y gestión diaria posible. Su marco de instalación es flexible y escalable para el despliegue de señuelos, con opciones para que el panel de gestión se despliegue a través de la nube o en las instalaciones.

Cuando los atacantes interactúan con los señuelos, la información puede ser examinada en una línea de tiempo, datos detallados del incidente como PCAP (captura de paquetes), captura de registros y credenciales utilizadas en el ataque. Cuando se activa lo que se denomina "modo de alta interacción", ShadowPlex proporcionará todas las pulsaciones de teclas tecleadas, las redes a las que están conectadas, cualquier modificación de archivos y cualquier proceso y herramienta del sistema utilizados dentro del señuelo. Los entornos empresariales cambian constantemente, y ShadowPlex hace gala de una evaluación continua del entorno y actualiza los señuelos adecuadamente.

ShadowPlex funciona con las herramientas que utilizan los equipos de caza de amenazas y operaciones de seguridad. Como debería producir pocos falsos positivos, estos equipos recibirán datos que podrán utilizar en la respuesta a incidentes y en la caza activa de amenazas. ShadowPlex se integra con soluciones SIEM y de gestión de registros para equipos SOC, como Splunk, ArcSight y QRadar.

ShadowPlex también puede proteger los sensores y dispositivos del Internet de las cosas (IoT) e incluso los centros de control industrial que conforman gran parte del panorama de la tecnología operativa (OT). En el caso de los dispositivos de IoT y OT, contar con una capa de tecnología de engaño para protegerlos es fundamental, ya que muchos tienen una seguridad nativa limitada o nula por sí mismos. Esto también lo convierte en una buena opción para un entorno sanitario. Puede imitar cosas como ordenadores de sobremesa junto a dispositivos médicos, atrayendo a los atacantes a cualquiera de ellos, dependiendo de su interés.

Plataforma de engaño y respuesta Attivo ThreatDefend

En marzo de 2022, SentinelOne adquirió Attivo Networks, y aunque los analistas creen que la motivación principal de la adquisición son las capacidades de evaluación de la seguridad de la identidad de Attivo para supervisar las contraseñas y las anomalías de los usuarios, SentinelOne también obtiene las capacidades de engaño basadas en la red y en la nube de Attivo. Attivo fue uno de los primeros desarrolladores de tecnología de engaño en añadir capacidad de respuesta a su producto, y la empresa ha impulsado aún más esa capacidad con su plataforma Attivo ThreatDefend Deception and Response. La plataforma puede desplegarse en las instalaciones, en la nube, en centros de datos o en entornos híbridos. Todos los señuelos desplegados parecen ser activos reales que se están utilizando dentro de la red.

El objetivo de la plataforma ThreatDefend Deception and Response es el mismo que el de otros conjuntos de herramientas de engaño, que consiste en desplegar activos falsos con los que los atacantes interactuarán, pero que los usuarios reales no conocerán o no tendrán por qué tocar nunca. Algunos de los señuelos son un poco más públicos que otros, lo que puede ayudar a descubrir amenazas internas o empleados fisgones. En su mayor parte, los activos de engaño están diseñados para atrapar a los actores de las amenazas que se arrastran por una red e intentan trazar un camino hacia el interior, aumentar sus credenciales, moverse lateralmente o directamente robar datos.

Una vez que un atacante interactúa con uno de los activos de engaño de ThreatDefend, hace algo más que generar una alerta. También interactúa con el atacante, devolviendo el tipo de respuestas que el invasor podría esperar. Puede activar una zona de pruebas, de modo que cualquier malware o herramienta de hacking cargada por un atacante vaya al entorno de la caja de arena. Esto no sólo protege la red, sino que también permite examinar el malware para determinar la intención y las tácticas del atacante.

La plataforma también permite a los administradores tomar medidas como poner en cuarentena un sistema que está siendo utilizado como plataforma de lanzamiento por un atacante o caducar las credenciales de un usuario comprometido. Una vez que los usuarios empiezan a confiar en la plataforma, esas acciones pueden configurarse para que se realicen automáticamente una vez que se haya recopilado cualquier información importante sobre las amenazas. La plataforma de engaño y respuesta no sólo proporciona una buena tecnología de engaño, sino que también ayuda a los defensores a adelantarse en sus capacidades de respuesta, una ventaja importante en un mundo donde los segundos cuentan.

Redes ilusorias Sombra ilusoria

Illusive Networks tiene como objetivo hacer ilusorio el movimiento lateral de los atacantes. Para ello, crea un entorno hostil para los atacantes cuando intentan moverse en un entorno empresarial, convirtiendo los puntos finales en herramientas de engaño. Según la empresa, su diseño sin agentes impide que los hackers puedan detectar el engaño, e Illusive afirma que su tecnología de engaño ha sido invicta en más de 140 ejercicios de equipo rojo con organizaciones como Microsoft, Mandiant, el Departamento de Defensa de Estados Unidos y Cisco.

Como no tiene agente, Illusive Shadow es fácil de desplegar en las instalaciones, en la nube o en nubes híbridas. Como es de esperar, los señuelos de Illusive Shadow se presentan en forma de credenciales, conexiones de red, datos y sistemas, entre otros elementos que pueden interesar a los atacantes. Illusive Shadow también escala y cambia automáticamente a medida que cambia el entorno de la empresa y personalizará los señuelos de los puntos finales para cada máquina.

Los analistas de seguridad y los equipos SOC estarán interesados en cómo la consola de gestión de Shadow modela la proximidad de los atacantes, ya que están interactuando con los señuelos, los activos críticos y una línea de tiempo de las acciones del atacante.

Plataforma de engaño cibernético CounterCraft

La Plataforma de Engaño Cibernético de CounterCraft atrapa a los atacantes a través de ActiveLures, que pueden ser personalizados o basados en plantillas. Estas "migas de pan" de ActiveLure se extienden por los puntos finales, los servidores e incluso en línea en plataformas como GitHub. El engaño no se detiene con el señuelo; el trabajo del señuelo es atraer al atacante al Entorno ActiveSense.

El Entorno ActiveSense se basa en los datos recogidos por los agentes y enviados a través de un entorno seguro y segmentado. Todo el sistema está diseñado para proporcionar información sobre la actividad de los atacantes en tiempo real. Según CounterCraft, los Entornos ActiveSense se despliegan rápidamente y se controlan desde la Plataforma CounterCraft.

Todo el sistema de engaño está diseñado para funcionar de forma flexible en los entornos existentes e integrarse con los sistemas de seguridad y de gestión de información y eventos existentes, y con los sistemas de inteligencia de amenazas. También funciona con los formatos a los que ya están acostumbrados los equipos de seguridad de las empresas, como SysLog u OpenIOC. La información sobre amenazas recopilada también puede enviarse a otros equipos para dar soporte a otros sistemas de seguridad de forma automática.

Una forma eficaz de entender a los atacantes es modelar su actividad mediante gráficos visuales. Los gráficos de ataque de CounterCraft, basados en las transmisiones en directo de la plataforma de engaño, ayudan a los equipos de seguridad a comprender las tácticas, herramientas y procedimientos del atacante.

Plataforma de engaño Fidelis

La plataforma Fidelis Deception afirma que facilita el despliegue de la tecnología de engaño. Los activos de engaño se despliegan a través de menús desplegables y asistentes, con la opción de que la plataforma Fidelis examine el entorno e implemente automáticamente los activos de engaño. Hace un gran trabajo al desplegar activos que coinciden con lo que hay en el entorno. Supervisará una red a medida que evolucione y se amplíe, y hará sugerencias sobre cómo reflejar esos cambios en la red de engaño. Por ejemplo, si una empresa añade un montón de nuevas cámaras de seguridad IoT, Fidelis lo detectará y ofrecerá el despliegue de cámaras falsas con características similares. Es totalmente compatible con casi cualquier dispositivo IoT, y también con muchos que se encuentran dentro de OT.

Más allá de la facilidad de despliegue, Fidelis también controla sus activos falsos, haciendo que se comuniquen entre sí y realicen acciones que un dispositivo normal del mismo tipo llevaría a cabo. Incluso pone en marcha algunas tácticas sorprendentemente avanzadas, como el envenenamiento de la tabla del Protocolo de Resolución de Direcciones para que parezca que los activos engañosos son tan activos como los reales que están protegiendo.

Fidelis es único porque también genera usuarios falsos que interactúan con los activos engañosos de forma realista. Un hacker que intente determinar si un activo es real verá pruebas de usuarios que interactúan con él y bajará la guardia, sin saber que los propios usuarios forman parte del elaborado engaño.

TrapX DeceptionGrid (ahora CommVault)

En febrero de 2022, la empresa de gobierno y seguridad de datos CommVault adquirió TrapX y DeceptionGrid, una de las plataformas de engaño más populares, por sus activos de engaño falsos pero realistas. Con DeceptionGrid, las empresas suelen desplegar miles de activos falsos en una red protegida.

Los activos de engaño desplegados por DeceptionGrid incluyen dispositivos de red normales, tokens de engaño y trampas activas. Empezando por el grueso de la mayoría de los despliegues, los principales activos engañosos se diseñan para que parezcan ordenadores o dispositivos en pleno funcionamiento, y TrapX tiene varias plantillas diseñadas para sectores como el financiero o el sanitario. Puede imitar todo, desde un cajero automático hasta un dispositivo de punto de venta, pasando por casi cualquier activo IoT. Además, DeceptionGrid puede desplegar activos engañosos con sistemas operativos completos. Llamadas trampas FullOS, están diseñadas para permitir que un atacante crea que está trabajando con un activo real mientras monitorea exhaustivamente todo lo que está haciendo para recopilar inteligencia de amenazas.

Más pequeños pero igual de importantes son los tokens de engaño desplegados por TrapX. A diferencia de los activos engañosos totalmente funcionales, los tokens son simplemente archivos ordinarios, scripts de configuración y otros tipos de señuelos que los atacantes utilizan para recopilar información sobre los sistemas y redes que están tratando de comprometer. No interactúan con el atacante, pero alertan a los equipos de seguridad cada vez que se accede a ellos, se copian o se ven.

Las trampas activas completan el volumen de activos engañosos desplegados por DeceptionGrid. Estas trampas transmiten volúmenes de tráfico de red falso entre ellas, con punteros y pistas que conducen al resto de la red de engaño. Cualquier atacante que esté monitoreando silenciosamente el tráfico de la red es probable que sea engañado por el flujo de red falso, que lo llevará directamente a un activo engañoso aunque probablemente asuma que es seguro ya que parece que está en uso regular y completo dentro de la red.  

TrapX DeceptionGrid ha añadido recientemente tecnologías de engaño a entornos de contenedores en infraestructuras locales y en la nube. Al detectar los ciberataques avanzados y proporcionar visibilidad a los intentos de explotar las vulnerabilidades de las aplicaciones y el movimiento lateral entre contenedores, DeceptionGrid 7.2 ofrece una protección integral para mejorar la respuesta a incidentes y la defensa activa.