Hoy en día, la inteligencia de amenazas puede ayudar a nuestras organizaciones a cambiar las estrategias de seguridad de un enfoque reactivo a uno proactivo. Esto al brindarnos visibilidad y contexto de las amenazas en tiempo real. No obstante, aun cuando contamos con dispositivos de seguridad, fuentes de información, controles y mejores prácticas; siempre existirá un posible riesgo de sufrir un incidente de seguridad a causa de algún ciber criminal.

Es aquí donde La defensa activa (AD) gana valor, permitiéndonos generar acciones contra el atacante. Para entender un poco mejor el concepto nos remitimos a El arte de la guerra, de Sun Tzu, donde puede leerse: “La guerra se basa en el engaño. Por lo tanto, cuando es capaz de atacar, ha de aparentar incapacidad… Si está cerca del enemigo, ha de hacerle creer que está lejos; si está lejos, aparentar que se está cerca. Poner cebos para atraer al enemigo”. Este concepto es ampliamente usado por los cibercriminales, es por ello por lo que debemos adoptar este tipo de conceptos e interiorizarse dentro de nuestras estrategias con el fin de invertir la ecuación y defendernos. convirtiéndose en nuestra última línea de defensa.

La planificación de una defensa activa se puede dividir en tres categorías:

·      Engaño

·      Ataque

·      Contra ataque

El Ataque y el contra ataque como su nombre lo indica tienen una connotación ofensiva, donde el aplicarla, puede tener implicaciones legales o desencadenar en un sinfín de contraataques que terminaran siendo de poco beneficios para nuestros intereses; mientras que la primera, será nuestra estratagema, sin connotaciones ofensivas, permitiéndonos identificar las técnicas que están usando los ciber criminales para vulnerar nuestras organizaciones, y detectar la presencia de los mismo en caso de que lograran saltar nuestros controles de defensa.

El objetivo principal de la defensa activa es obtener información del atacante, sus técnicas, su posición, su alcance, todo esto con el fin de minimizar impacto en nuestra organización y trasladar los gastos al atacante, esto debido a que entre mas conocemos a nuestro oponente más complejo es para él atacarnos, bajo esta premisa lo obligamos a realizar mayores intentos y movimientos, lo que aumenta las probabilidades de sean detectados con facilidad.

Una forma de adoptar e implementar estas metodologías dentro de nuestras organizaciones es apoyándonos de de tecnologías como DeceptionGrid de Trapx Security, la cual cuenta con las siguientes características:

 

Actionable Intelligence

Just one touch of a Trap by an attacker sets off a high-confidence alert. DeceptionGrid integrates with key elements of the network and security ecosystem to contain attacks and enable a return to normal operations.

The Deception Product of Choice

DeceptionGrid analyzes your network and automatically provisions hundreds-to-thousands of Traps and Lures. Each Trap is tailor-made to be identical to your native environment. Attackers can never tell what’s real and what’s fake because each Trap is designed to look and behave exactly like your real assets. In addition, Traps can also be camouflaged as any specialized IoT and OT devices.

 

Deception Tokens

Deception Tokens (lures) appear as ordinary files, scripts and configurations, are embedded within real IT assets to bait and divert attackers away from real high value assets and into the traps.

Active Traps

Active Traps create a stream of false network traffic between deployed Traps to confuse and divert attackers that monitor the network traffic.

 

Emulated Traps

Medium Interaction Emulated Traps

Our patented emulated traps can be deployed at the largest enterprise scale through automation. You can select from a wide variety of servers, databases, workstations, switches, routers and Traps tailor-made to your organization’s native environment. After a Trap is interacted with and the cyber-attack is thwarted, the Trap will change its shape and location, so the attacker will never learn if something is a Trap or a real asset.

 

FullOS Traps

High Interaction (Full Operating System) Traps

DeceptionGrid enables the provision of full operating system (FullOS) Traps. Our medium interaction Traps automatically extend engaged attackers through our smart deception to our FullOS Traps for the deepest attacker diversion and engagement. FullOS Traps also enable you to clone existing assets – you can completely replicate actual production servers to further deceive attackers.