Informes

“Fake news” contra ciberataques sofisticados

Por Moshe Ben Simon, vicepresidente de Gestión de Producto en Fortinet, y Martín Hoz, vicepresidente de Ingeniería de Preventa y Servicios Postventa para Fortinet en América Latina y Caribe

El trabajo del día a día del CISO y su equipo es reducir el riesgo mientras que el principal enfoque para lograrlo es agregar más capas de seguridad y monitorearlas para detectar ciberataques.

En siglos anteriores a nosotros, las personas construían un castillo porque esa era la manera de defender sus activos estratégicos contra el enemigo. En cuanto este gen siga existiendo, continuaremos haciéndolo si necesitamos proteger un activo de alto perfil como es la red de nuestra organización.

Las organizaciones no pueden permitirse un enfoque puramente reactivo o pasivo como defensa, ya que los cibercriminales demuestran que cualquier puerta o bóveda se puede atravesar y que solo es cuestión de tiempo encontrar la manera de ingresar.

¿Qué pasaría si se usan las técnicas y tácticas de los cibercriminales contra ellos mismos mediante un enfoque de defensa activa, en lugar de un enfoque reactivo o pasivo? ¿Qué le parecería usar el enfoque de “fake news” o noticias falsas contra el actor de amenazas?

Una “fake news” es información no verídica presentada como una noticia o un hecho real. Usualmente, las “fake news” buscan dañar la reputación, ya sea de una persona o una entidad, o generar ingresos publicitarios. Todos vemos diariamente el poder de las noticias falsas y cómo podemos usarlas para influir en la mente de las personas y forzarlas a tomar una mala decisión. Si las noticias falsas son tan poderosas, usémoslas para influenciar a los atacantes a tomar una mala decisión y exponerlos, antes de que cause un enorme daño.

El concepto es básico y directo. Cuando damos noticias falsas y las personas las creen, las engañamos para que tomen el camino incorrecto y esta es la idea principal detrás de usar la cibertecnología del engaño, conocida como Deception, que hace que el atacante crea que logró acceso a datos restringidos y lo mantiene ocupado hasta que la amenaza se contenga.

Realmente, la idea no es nueva. Aquellos con una historia en el campo de la ciberseguridad, podrán recordar el concepto “honeypot”. Deception es una evolución de los honeypots. Históricamente, los honeypots requerían de mucha intervención manual, lo que mejoró considerablemente con la tecnología de Deception. La diferencia es que, con las funciones actuales, es posible automatizar varias cosas: desde alimentar el “señuelo” y mantenerlo actualizado y válido, hasta grabar lo que sucede y activar una respuesta de manera rápida y eficiente.

Los beneficios del enfoque de Deception son claros:

  • Dado que se coloca un sistema que no es válido y nadie debiera usarlo, si un atacante ingresa y muerde el anzuelo, puede estar seguro de que ocurrirá un ataque: la cantidad de falsos positivos y falsos negativos se reduce dramáticamente.
  • Puede recopilar inteligencia sobre los métodos y técnicas de ataques, de modo que pueda ajustar sus sistemas de seguridad para bloquear el ataque más reciente y también el futuro.
  • Los atacantes estarán ocupados al intentar obtener acceso a su sistema falso, por lo que sus sistemas reales permanecen seguros. Esto es aún más importante en entornos muy críticos como los sectores financieros o gubernamentales, educación o tecnología operativa (OT) y entornos de infraestructura crítica.

Lo anterior es tan evidente que incluso el marco de ciberseguridad MITRE lo dejó muy claro en las Tácticas de MITRE Shield (canalizar, recolectar, contener, detectar, interrumpir, facilitar, legitimar y probar) donde la tecnología de Deception se presenta en casos de uso para cada una de estas etapas. Mitre Shield definió técnicas de defensa activa para mejorar la detección de amenazas y ayudar al Centro de Operaciones de Seguridad (SOC) a desarrollar una estrategia de defensa proactiva. El enfoque principal es informar a los profesionales de la seguridad acerca de la actividad de los cibercriminales.

La detección basada en las soluciones de Deception se diseñó para identificar atacantes en la red, independientemente del vector de ataque. A diferencia de otras formas de detección, la solución no requiere tiempo para conocer la red y es eficaz tras la implementación. Con Deception, el análisis de ataques y el análisis forense se vuelven mucho más procesables y poderosos, además las alertas de alta fidelidad permiten la automatización de las acciones de respuesta a incidentes como el bloqueo, la cuarentena y la búsqueda de amenazas.

En un mundo donde las probabilidades están muy inclinadas a favor de los cibercriminales, las soluciones de Deception nivelan el campo de juego al automatizar la creación de señuelos dinámicos que se encuentran dispersos por todo el entorno de TI. Debido a que los atacantes no pueden determinar cuáles activos son falsos y cuáles son reales, su ventaja de tiempo se reduce o se elimina por completo. Cuando un adversario no puede hacer esta distinción, los cibercriminales se ven obligados a perder el tiempo en activos falsos mientras informan inadvertidamente a un administrador de seguridad de su presencia.

Incluso si se dan cuenta del engaño, los atacantes deben actuar de inmediato con precaución mientras buscan detonantes incrustados en el entorno falso. Esto los obliga a modificar sus tácticas de manera que aumentan las posibilidades de que el equipo de seguridad los detecte. Si está preparado para cambiar el tradicional juego del gato y el ratón, siga leyendo de qué manera FortiDeceptor de Fortinet puede crear un laberinto infinito que obligará al ratón a rendirse.

Autor

  • Florencia Gómez Forti

    Periodista y Social Media Manager especializada en tecnología y espectáculos. Comenzó su camino en el mercado IT de la mano de ITSitio y hoy es Editora de Contenidos para toda la región. Realiza coberturas especiales internacionales y nacionales para marcas como HP Inc. e IBM.

[mdx-adserve-bstreet region="MED"]

Florencia Gómez Forti

Periodista y Social Media Manager especializada en tecnología y espectáculos. Comenzó su camino en el mercado IT de la mano de ITSitio y hoy es Editora de Contenidos para toda la región. Realiza coberturas especiales internacionales y nacionales para marcas como HP Inc. e IBM.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba