Por muchos años los atacantes han usado la ingeniería social y otras técnicas de engaño para hacer que los usuarios (el eslabón más débil) fallen y proporcionen información que les permita perpetrar su objetivo. Un ejemplo muy claro son los correos de tipo spear phishing, los cuales son creados pensando en el contexto de la persona u organización que los va a recibir, para que la probabilidad de que lo lean y abran los anexos o den clic en las ligas sea muy alta. Al abrir los anexos o dar clic, los atacantes explotan las vulnerabilidades en el sistema, logrando comprometerlo.

 

Gracias a los avances y simplificación en el uso de la virtualización y de SDN (software defined networking) también el arte del engaño puede utilizarse como una capa más en las arquitecturas de defensa contra las amenazas avanzadas. Las tecnologías de engaño o deception technologies, cuyos orígenes provienen de los famosos honeypots (originalmente lanzado por el Honeynet Project en 1999), son ya accesibles para todas las organizaciones, por eso en los últimos años ha habido mucho interés en ellas y su uso ha crecido de manera importante.

 

Estas tecnologías permiten desplegar múltiples trampas y señuelos en una red, utilizando un camuflaje que aparenta equipos o recursos reales, con el fin de que los atacantes los rastreen, ataquen, e incluso los vulneren, es decir, que caigan en ellas pensando que están logrando comprometer a la organización. Se utilizan como mecanismos de defensa enfocados a la detección, investigación (hunting) y respuesta. Los objetivos que se buscan son:

 

  • Obtener información valiosa acerca de las técnicas y artefactos que están utilizando los atacantes, así como de sus posibles objetivos y métodos, proporcionando inteligencia accionable a los equipos de ciberseguridad para actuar de manera más oportuna y eficiente.
  • Retrasar, distraer o frustrar las actividades de los atacantes, sobre todas aquellas asociadas con el reconocimiento y los movimientos laterales.

 

Sus componentes generales son:

  • Trampa (decoy). Es un sistema en la red, real o emulado, para que sea encontrado directamente por los atacantes o por medio de un señuelo. Debe ser colocada en lugares (segmentos de red) estratégicamente seleccionados. De acuerdo a su complejidad son catalogadas como de baja interacción, normalmente basadas en sistemas emulados con servicios o aplicaciones con capacidades limitadas, o de alta interacción, basados en sistemas reales y completos.
  • Señuelo (lure). Es un recurso plantado en los sistemas reales con el fin de que los atacantes “muerdan el anzuelo” y sean dirigidos a una trampa; pueden ser caches, scripts, credenciales, cookies, bitácoras, certificados, drivers de red, etcétera. El uso de los señuelos para dirigir al atacante a una trampa permite que el índice de falsos positivos sea muy bajo.
  • Es una pieza de datos “artificial” (archivos, registros de una base de datos, credenciales, etc.) colocado en un sistema real que es vigilado constantemente, y en el momento en que alguien interactúa con ella se activan las alertas que son vigiladas por el personal de monitoreo.

 

El principio fundamental de estas tecnologías es que para que los atacantes logren con éxito su objetivo final, en la mayoría de los casos, utilizan herramientas automatizadas las cuales funcionan a partir de las respuestas que obtienen de los protocolos de red, los servicios de los puestos de trabajo (endpoints), los comportamientos de los sistemas operativos, y los datos que encuentran durante el propio proceso del ataque.

 

Si las analizamos desde la perspectiva del ciclo de vida de los ataques avanzados (para mayor detalle sobre este concepto véase el artículo “Ciclo de vida de los ataques avanzados”, revista Magazcitum, año 6, número 2), se observará cómo ayudan en cada una de las diferentes etapas:

 

Etapa del ciclo de vida del ataque Objetivo
Preparación

Etapa en la que el atacante identifica y selecciona a la organización víctima, y hace la investigación de la misma, es decir, recolecta tanta información como sea posible acerca de su objetivo, ya sea de forma pasiva o activa.

 

  • Tener diversos recursos simulados para que el reconocimiento que hagan los atacantes tenga cierto nivel de “ruido”.
Obtención de acceso

En esta etapa el atacante envía las ciberarmas por diversos medios para explotar vulnerabilidades en el sistema de la víctima, produciéndose así la intrusión inicial. Se activa el código malicioso del intruso, se crean accesos remotos ocultos y se utiliza, a través de la infraestructura de comando y control (C&C), el sistema comprometido para ejecutar los siguientes pasos.

 

  • Utilizar equipos emulados y servicios falsos para que las ciberarmas no lleguen a equipos reales.

 

  • Lograr que el atacante ejecute sus ciberarmas en equipos trampa o servicios señuelo para observar sus técnicas, tácticas y procedimientos.

 

Creación de la persistencia

En esta etapa el atacante busca afirmar y ampliar su presencia y control en la red de la víctima, para lo cual empieza a moverse dentro de ella a través de lo que se conoce como movimientos laterales. Su meta es llegar a los activos tecnológicos que contienen lo que busca, y conseguir claves con el mayor nivel posible de privilegios (a esto se le denomina elevación de privilegios).

 

 

  • Lograr que el atacante realice los movimientos laterales hacia recursos y equipos señuelo, permitiendo detectarlos y tomar acciones.

 

  • Retrasar al atacante mediante trampas y recursos falsos para que tarde más en llegar a los recursos verdaderos.
Ejecución de acciones

En esta etapa el atacante selecciona, recolecta y extrae la información deseada (exfiltration).

 

  • Engañar al atacante para que la información que extraiga sea falsa.

 

 

En el momento en que nos demos cuenta de que hay alguien interactuando con los señuelos, trampas o tokens, podremos identificar y actuar sobre el ataque para intentar detenerlo.

 

Las principales características que debe tener una plataforma de engaño son:

 

  • Facilidad de implementación de la plataforma.
  • Simplicidad y automatización del despliegue y de la gestión de las trampas, señuelos y tokens a lo largo de la red de la organización.
  • La capacidad de “camuflaje”, es decir, qué tan reales parecen ser las trampas, señuelos y tokens para que no sean detectados por los atacantes.
  • Manejar diversas capas de engaño, en las que se pueda atraer, distraer, confundir o interrumpir a los adversarios. Preferentemente las capas deben ser: red, endpoint, aplicaciones y datos.
  • Emulación de diversos tipos de endpoint, servicios de red, aplicaciones y datos.
  • Uso de inteligencia de amenazas para dar mayor contexto a los hallazgos que se vayan identificando.
  • Facilidad para el monitoreo de la actividad e interacciones que tienen los señuelos, trampas y token.
  • Capacidad de aprendizaje que permita diseñar y crear mejores trampas, señuelos y tokens, conforme la misma infraestructura de la organización va cambiando y evolucionando.

 

Conclusiones:

  • Es indispensable considerar las tecnologías de engaño como complemento en las arquitecturas de seguridad enfocadas en habilitar la detección, investigación (hunting) y respuesta.
  • Actualmente existen ya múltiples fabricantes y varios de ellos ya han alcanzado un nivel de madurez importante.
  • En general se considera que las tecnologías existentes en el mercado son relativamente sencillas de instalar y no intrusivas.
  • El principal foco de muchas de las plataformas actuales en el mercado está en la detección de los movimientos laterales.

 

[email protected]

Fuentes:

  • Gartner: Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities.
  • Gartner: Applying Deception Technologies and Techniques to Improve Threat Detection and Response.
  • Frost&Sullivan: Why Deception is Essential to Your Cyber Security Strategy
  • Frost&Sullivan: Deception as a Security Discipline, Going on the Offensive in the Cybersecurity Battlefield
  • TrapX Security: BOD Series. Introduction to Deception Technology for the Chief Executive Officer and The Board of Directors