El uso de la tecnología del engaño crecerá en 2024 y proliferará en 2025

La tecnología de engaño se volverá más omnipresente en 2024 y se convertirá en un elemento básico de las operaciones de seguridad a finales de 2025. Sin embargo, hay dos contrapuntos comunes que escucho a menudo a escépticos de la tecnología del engaño. En primer lugar, muchos profesionales dicen que han escuchado antes esta predicción y no ha funcionado. Otros afirman que está restringida a la élite de las grandes organizaciones. De hecho, muchos lo descartan ya que piensan que es algo reservado para los analistas de amenazas de grandes organismos, donde a menudo surge el “proyecto científico”.

Tendencias

Lamentablemente, estos son puntos legítimos, pero creo firmemente que varias tendencias generales de TI y de ciberseguridad están convergiendo en una tormenta perfecta destinada a simplificar enormemente la tecnología del engaño y llevarla a la corriente principal. Estas tendencias incluyen:

• Implementación de lagos de datos de seguridad: Las empresas están implementando repositorios de datos masivos de datos de seguridad de AWS, Google, IBM y Snowflake. Las tecnologías de engaño analizarán continuamente estos datos para comprender mejor el comportamiento normal y anómalo. Estos servirían como base para los modelos de engaño.

• Computación en la nube: Los modelos de engaño requerirán montones de recursos para el procesamiento bajo demanda y la capacidad de almacenamiento. Es probable que estas tecnologías se ofrezcan como SaaS o servicios basados en la nube que se superponen a las tecnologías de operaciones de seguridad existentes. De esta manera, la tecnología del engaño llegará a las masas.

• Conectividad API: Además de los lagos de datos de seguridad, la tecnología de engaño se conectará a IaaS, sistemas de gestión de activos (o lo que Gartner llama gestión de la superficie de ataque de activos cibernéticos), sistemas de gestión de vulnerabilidades, sistemas de gestión de superficie de ataque, gestión de la postura de seguridad en la nube (CSPM), etc. Esta conectividad permite que los sistemas de engaño obtengan una imagen completa de la infraestructura y las aplicaciones de TI híbridas de una organización.

• IA generativa: Basada en grandes modelos de lenguaje (LLM), la IA generativa puede "generar" señuelos que parecen auténticos (es decir, activos falsos), señuelos (es decir, servicios falsos), tráfico de red sintético y rutas de navegación (es decir, recursos falsos colocados en sitios reales). activos). Estos elementos de engaño se pueden implementar de manera estratégica y automática a través de una red híbrida en grandes volúmenes.

Cómo podría funcionar la tecnología del engaño en el futuro

Estas tendencias proporcionan la base técnica para tecnologías avanzadas de engaño. Aquí hay una sinopsis de cómo podría funcionar el sistema:

1. El sistema de engaño se conecta a múltiples herramientas de gestión de postura/escaneo de TI para "aprender" todo lo que pueda sobre el entorno: activos (incluidos activos de OT e IoT), rangos de IP, topologías de red, usuarios, controles de acceso, comportamiento normal/anómalo, etc. Los campos cibernéticos avanzados ya pueden hacer algo de esto. Los sistemas de engaño se basan en este entorno sintético.
2. Según la ubicación y la industria de una organización, el sistema de engaño analizará y sintetizará inteligencia sobre amenazas cibernéticas en busca de grupos de adversarios específicos, campañas de amenazas y tácticas, técnicas y procedimientos (TTP) de adversarios que normalmente apuntan a dichas empresas. Los sistemas de engaño estarán anclados en varios marcos MITRE ATT&CK (nube, empresarial, móvil, ICS, etc.) para obtener una perspectiva granular de los TTP del adversario. Los elementos de engaño están destinados a confundirlos/engañarlos en cada paso de un ciberataque.
3. Luego, el sistema de engaño examinará las defensas de seguridad de la organización: reglas de firewall, controles de seguridad de terminales, sistemas IAM, configuraciones de seguridad en la nube, reglas de detección, etc. Luego puede usar el navegador MITRE ATT&CK para descubrir brechas de cobertura. Estos espacios son lugares de aterrizaje perfectos para los elementos de engaño.
4. Los modelos de IA generativa incorporan todos estos datos para crear rutas de navegación, señuelos, señuelos y tokens canarios personalizados. Una organización con 10.000 activos bajo gestión parecerá instantáneamente una empresa de telecomunicaciones, con cientos de miles o incluso millones de aplicaciones, elementos de datos, dispositivos, identidades, etc., todos destinados a atraer y confundir a los adversarios.

Vale la pena mencionar que todo el escaneo, la recopilación, el procesamiento y el análisis de datos serán continuos para mantenerse al día con los cambios en el entorno de TI híbrido, las defensas de seguridad y el panorama de amenazas. Cuando las organizaciones implementan un nuevo servicio SaaS, implementan una aplicación de producción o realizan cambios en su infraestructura, el motor de engaño toma nota de estos cambios y ajusta sus técnicas de engaño en consecuencia.

A diferencia de los honeypots tradicionales, las florecientes tecnologías de engaño no requerirán conocimientos de vanguardia ni una configuración compleja. Si bien algunas organizaciones avanzadas pueden personalizar sus redes de engaño, muchas empresas optarán por la configuración predeterminada. En la mayoría de los casos, las configuraciones básicas confundirán suficientemente a los adversarios. Recuerde también que los elementos de engaño, como señuelos y señuelos, siguen siendo invisibles para los usuarios legítimos. Por lo tanto, cuando alguien busca una migaja de pan o una ficha canaria, tiene la garantía de que no trama nada bueno. De esta manera, la tecnología de engaño también puede ayudar a las organizaciones a mejorar las operaciones de seguridad en torno a la detección y respuesta a amenazas.