*Por Moshe Ben Simon e Martín Hoz
O trabalho diário do CISO e de sua equipe é reduzir o risco, enquanto a abordagem principal para conseguir isso é adicionar mais camadas de segurança e monitorá-las para detectar ataques cibernéticos.
Nos séculos antes de nós, as pessoas construíam castelos porque essa era a forma de defender seus ativos estratégicos contra inimigos. Como esse gene ainda existe, continuamos a fazer isso quando precisamos proteger um ativo de grande importância, como a rede da nossa organização.
As organizações não podem se dar ao luxo de adotar uma abordagem puramente reativa ou passiva para se defender, porque os agentes de ameaças provam que todas as portas ou cofres podem ser penetrados e é apenas uma questão de tempo para que eles descubram como.
Que tal usar as técnicas e táticas dos cibercriminosos contra eles mesmos, adotando uma abordagem de defesa ativa em vez de reativa/passiva? Que tal usar a abordagem de “fake news” contra o agente da ameaça?
A Wikipédia define “fake news” como “informações falsas apresentadas como notícias. Costumam ter o objetivo de prejudicar a reputação de uma pessoa ou entidade, ou ganhar dinheiro com a receita da publicidade”. Todos nós vemos diariamente o poder das fake news e como são usadas para influenciar a mente das pessoas e forçá-las a tomar uma decisão errada. Se as fake news são tão poderosas, vamos usá-las para influenciar o cibercriminoso a tomar uma decisão errada e se expor antes de causar um grande dano.
O conceito é básico e direto. Quando fornecemos fake news e as pessoas as seguem, nós as enganamos, fazendo-as escolher o caminho errado. Essa é a ideia central por trás do uso da cibertecnologia de engano, conhecida como Deception, que faz o atacante acreditar que conseguiu acesso a dados restritos e o mantém ocupado até que a ameaça possa ser contida.
A ideia não é nova. Aqueles com um histórico no campo da cibersegurança podem se lembrar do conceito de “honeypot”. A Deception é uma evolução desses honeypots. Historicamente, os honeypots costumavam exigir muita intervenção manual, o que melhoramos drasticamente na tecnologia de Deception. Com as capacidades atuais, é possível automatizar muitas coisas: desde alimentar a “isca” e mantê-la atualizada e válida, até registrar o que acontece e disparar uma resposta de forma rápida e eficiente.
Os benefícios da abordagem de Deception são claros:
• Considerando que se utiliza um sistema que não é válido e que ninguém deveria usá-lo, se um invasor entrar e morder a isca, você pode ter certeza de que há um ataque em andamento: a quantidade de falsos positivos e falsos negativos diminui drasticamente;
• Você pode reunir informações sobre métodos e técnicas de ataque para que possa ajustar seus sistemas de segurança para bloquear o ataque mais recente e também ataques futuros;
• Como os invasores estarão ocupados tentando obter acesso aos seus sistemas falsos, os sistemas reais permanecerão seguros. Isso é ainda mais importante em ambientes altamente críticos, como os setores financeiro ou governamental, educação ou tecnologia operacional (OT) e ambientes de infraestrutura crítica.
Tudo isso é tão evidente que até mesmo a estrutura de cibersegurança MITRE deixou isso muito claro com as Táticas MITRE Shield (canalizar, coletar, conter, detectar, interromper, facilitar, legitimar e testar), onde a tecnologia de Deception tem casos de uso para cada um desses elementos. O MITRE Shield definiu técnicas de defesa ativa para melhorar a detecção de ameaças e ajudar o Centro de Operações de Segurança (SOC) a criar uma estratégia de defesa ativa. O foco principal é informar os profissionais de segurança sobre o envolvimento do atacante.
A detecção baseada em Deception foi projetada para identificar invasores na rede, independentemente do vetor de ataque. Ao contrário de outras formas de detecção, a solução não requer tempo para conhecer a rede e é eficaz na implantação. Com a Deception, a análise de ataques e a perícia se tornam muito mais práticas e eficazes, e os alertas de alta fidelidade permitem a automação de ações de resposta a incidentes, como bloqueio, quarentena e busca de ameaças.
Em um mundo onde as chances estão a favor dos cibercriminosos, as soluções de Deception igualam as condições, automatizando a criação de armadilhas dinâmicas que são espalhadas por todo o ambiente de TI. Como os invasores não conseguem determinar quais ativos são falsos e quais são reais, sua vantagem de tempo é reduzida ou totalmente eliminada. Quando não conseguem fazer essa distinção, os cibercriminosos são forçados a perder tempo com ativos falsos e, sem querer, avisam um administrador de segurança sobre sua presença.
Mesmo que tomem conhecimento da Deception, os invasores precisam ter cautela ao procurar os mecanismos de disparo embutidos no ambiente falso. Isso os obriga a alterar suas táticas, o que aumenta as chances de serem detectados pela equipe de segurança.
*Moshe Ben Simon, vice-presidente de Gestão de Produto da Fortinet e Martín Hoz, vice-presidente de Engenharia de Pré-Vendas e Serviços de Pós-Vendas da Fortinet na América Latina e Caribe