Technology

Deception: la “disruptive technology” nella difesa informatica

Se non conoscete o non avete mai avuto occasione di approfondire i dettagli di quali siano i vantaggi della tecnologia di Deception, potete rimediare.
L’articolo approfondirà gli aspetti strategici e tattici della difesa attiva, e vi aiuterà a comprendere come riportare a vostro favore i pronostici del Cyberwarfare sulla superficie potenzialmente attaccabile della vostra organizzazione.

di Alessia Valentini

Le Minacce informatiche sono sempre in agguato. Crescono in numero, incidenza e gravità. Prepararsi con una difesa preventiva e con mezzi di individuazione preventiva delle effrazioni è necessario e doveroso perché la diagnosi precoce di una effrazione digitale evita danni irreparabili.

Ogni strategia di business non può prescindere dalla garanzia di sicurezza dei propri assett e delle proprie informazioni. Quindi è necessaria una strategia di intervento per colmare il divario di tempo fra il rilevamento dell’infezione ed il momento della difesa.

L’uso della tecnologia di “Deception” (letteralmente “inganno” n.d.r.) o cyber-inganno sta rapidamente emergendo sul palcoscenico della sicurezza informatica come scelta funzionale per una difesa attiva e intelligente post-violazione.

Ma come ogni tecnologia dirompente all’inizio è stata purtroppo percepita in modo distorto. Le difese informatiche non dovrebbero, infatti, unicamente basarsi sulla continua ricerca di una attività malevola in un oceano di attività lecite. Questo perché l’enorme numero di falsi positivi porta con sè evidenti impatti di performance sui sistemi e sul traffico dati, e anche un cospicuo effort delle risorse coinvolte.

Il ricorso invece ad una difesa attiva e preventiva in grado di attirare, rilevare e difendere da malware e intrusi, che possono muoversi lateralmente all’interno della rete, l’intera organizzazione, può risultare una scelta estremamente strategica.

Definizione e vantaggi della Deception

La tecnologia di Deception è basata sul raggiro dell’attaccante e rappresenta una pratica di difesa della sicurezza informatica che mira a ingannare gli aggressori distribuendo trappole ed esche digitali attraverso una infrastruttura di un sistema che imita le risorse reali.

Se un intruso innesca una delle trappole, il sistema di Deception ne registra e monitora i vettori di attacco utilizzati per tutta la durata della sua permanenza nella trappola.

Rispetto alle tecnologie di honeypot e honeynet, i sistemi di Deception sono più avanzati perché offrono una maggiore automazione sia per il rilevamento che per l’implementazione delle difese in base ai dati raccolti.

Queste informazioni sono cruciali per i difensori, poiché nel rilevamento e nella risposta agli incidenti, il tempo e il contesto sono fondamentali.

Per questa ragione le caratteristiche e le tattiche di Deception avvantaggiano i team di sicurezza contribuendo a:

  • diminuire il tempo di permanenza dell’intruso sulla rete attaccata,
  • accelerare il contenimento del tempo medio per rilevare, mitigare e correggere le minacce,
  • ridurre la mole di lavoro che normalmente affligge chi monitora continuamente la rete,
  • produrre metriche relative agli indicatori di compromissione (IOC) e Tattiche, Tecniche e Procedure (TTP).
La Deception negli attacchi Cyber

È necessario ricordare che la strategia di Deception è utilizzata anche dagli attaccanti. Infatti, diversi tipi di attacchi sono basati proprio sull’inganno:

  • i denial-of-service (DOS e DDOS), in cui il sender dei messaggi che ingolfano i server, sembra lecito e invece è malevolo,
  • i cavalli di Troia (Trojan), codici software che contengono codice malevolo,
  • i Buffer overflow ed altri tipi di attacchi in cui l’autore malevolo altera alcune delle caratteristiche di una informazione per indurre la vittima nell’errore.

Lo stesso phishing è interamente basato su un inganno, sebbene di carattere comportamentale e costruito sull’ingegneria sociale.

D’altra parte “L’inganno può essere un utile “moltiplicatore di forze” per i piani di missione nel cyberspace, proprio come nei veri e propri “campi di battaglia”” (Dunnigan e Nofi, 2001).

Sebbene le previsioni per il Cyberspazio indichino come “L’inganno sarà sempre più comune nella guerra cibernetica asimmetrica, come nella guerra convenzionale asimmetrica” (Bell & Whaley, 1991), vogliamo approcciare la difesa come suggerisce Kevin Mitnick nel libro “Art of deception” (1991).

Lo stesso autore infatti nel testo, dopo la spiegazione degli attacchi a mezzo Deception, si domanda se l’inganno oltre ad essere utilizzato per attaccare, possa essere utilizzato anche nella difesa informatica.

E la risposta a distanza di anni dal suo libro è sì, assolutamente sì.

Il ruolo strategico della Deception nella difesa cyber

Quando si parla di Deception le risposte più frequenti riguardano uno dei seguenti aspetti: la tecnologia è troppo rischiosa (dal punto di vista giuridico), non c’è sufficiente budget disponibile, non ci sono risorse da dedicare. Quello che emerge è in generale una reale mancanza di conoscenza sulla maturità della tecnologia di Deception.

In un’ottica di Cyberwarfare, la Deception o teoria dell’inganno è senza dubbio da considerarsi una tecnologia “disruptive” rispetto alla consolidata impostazione della “area difensiva” da proteggere, in cui l’unica tattica è la deviazione o il blocco dell’attaccante.

In questa consolidata impostazione l’attaccante tenta un assedio diretto (brute force) o si insinua mediante strategie di social engineeering per eludere le difese.

La Deception, invece, attira il nemico e lo sradica dalle sue posizioni difensive posizionandolo in una modalità di attacco controllata dal difensore. In questo senso la Deception non è più solo uno strumento difensivo, ma si rivela una vera e propria strategia.

Questa strategia ha tanto più successo se la piattaforma abilitante è agentless, e se è basata su una tecnologia virtualizzata per un rapido deploy che evita l’adozione di hardware, solitamente costoso.

Le piattaforme di Deception di nuova generazione sono pervasive e contraddistinte da strumenti avanzati che operano da mollica di pane, esca e trappola. Tutte insieme, se disseminate nella rete dell’organizzazione da difendere, possono interrompere la kill chain degli aggressori. La strategia di Deception può prolungare l’attacco ed esaurire le risorse dell’attaccante, oppure incoraggiarli nel loro obiettivo per aver modo di studiarli e conoscerne l’identità e i dettagli della loro rete e dei loro arsenali.

Ogni informazione raccolta può essere utilizzata per la profilazione degli avversari, per la conoscenza delle tecniche e tattiche di attacco e la comprensione delle minacce incombenti, anticipando così le prassi di chiusura vulnerabilità e hardenizzazione.

Deception come gamechanger nella cybersecurity

Gli aggressori sfruttano solitamente tattiche furtive spesso offuscate e invisibili, mantenendo un profilo basso, per restare nella rete della vittima il più a lungo possibile ed effettuare movimenti laterali carpendo informazioni sensibili.

Per questa ragione è necessario concentrare la strategia di sicurezza informatica su un rilevamento precoce e su una risposta più rapida. La tecnologia di Deception può risultare una leva decisiva in questo senso in quanto:

  • massimizza l’accuratezza del rilevamento con il minimo effort delle risorse,
  • si adatta ad ogni organizzazione indipendentemente dal tipo d’infrastruttura adottata (standard datacenter, Cloud, Fog computing, etc),
  • garantisce un difesa post-attacco “agnostica” rispetto al vettore di attacco usato per l’intrusione,
  • abilita il threat hunting anche nelle aziende piu’ piccole

…e soprattutto cambia il paradigma della difesa secondo il gioco del gatto con il topo, invertendo i ruoli o quantomeno riequilibrando le sorti.

La diagnosi precoce di una effrazione digitale è ora più critica che mai. Ogni strategia di business non può prescindere dalla garanzia di sicurezza dei propri assett e delle proprie informazioni.

Per questa ragione una strategia di pianificazione in grado di colmare il divario di tempo nel rilevamento dell’infezione ed abilitare una difesa pronta e preventiva è fondamentale.

Strategie di Deception per una difesa efficace

La soluzione IllusionBLACK di SMOKESCREEN, risultato di un’attenta selezione effettuata dagli specialisti di Gruppo Daman, è in grado di attuare delle strategie di Deception basate su “esche”: risorse create all’uopo che simulano in maniera assolutamente credibile quelle reali, come collegamenti, credenziali, cache del browser, file, ecc, che attirano gli attaccanti verso sistemi e applicazioni “trappola” denominati “Decoy”.

L’accesso e l’uso di queste “esche” garantisce la certezza al 100% dell’attacco in corso, consentendone la tempestiva segnalazione e l’analisi dell’attacco, e l’eliminazione dell’inutile dispendio di tempo per l’analisi di falsi positivi.

Per saperne di più…