Sistemi di deception

Per anni la filosofia guida del settore della sicurezza è stata quella di ignorare gli attori delle minacce e concentrarsi sugli attacchi reali. I firewall sono stati implementati per limitare l’accesso alle reti aziendali. I sistemi di prevenzione delle intrusioni (IPS) sono stati implementati per bloccare worm noti e exploit di rete. L’antivirus aggiornato di frequente sull’endpoint ha aiutato a controllare la diffusione di software dannoso come Trojan, spyware e worm. I difensori non si preoccupavano di chi li stesse attaccando e come, ma solo della firma dell’attacco.

Con la comparsa di tecniche di attacco sempre più sofisticate, contrastare gli attacchi mirati è diventato il requisito più urgente per la difesa informatica. Si è passati cioè da una difesa più “passiva” ad una proattiva, dedicandosi maggiormente alla scoperta di nuovi meccanismi di attacco, tecniche e sorgenti di attacco. In tal senso il semplice aggregare i dati e le informazioni provenienti da varie fonti dati come gli agent distribuiti sui sistemi dei propri clienti non è più sufficiente e si sono sviluppate nuove tecniche di ricerca, in particolare si sono utilizzate tecniche di analisi più sofisticate, come quelle implementabili con sistemi di DECEPTION.

Per quanto riguarda la sicurezza IT, il concetto di inganno (deception) assume una duplice valenza: da una parte quello di proteggere i sistemi critici indirizzando gli attaccanti su opportune esche, dall’altra come campanello di allarme sulla presenza di eventuali hacker e sul corretto funzionamento delle varie tecnologie di protezione (firewall, sonde, ecc.). All’inizio infatti ci si è concentrati soprattutto sull’utilizzo di server separati progettati per rilevare le modifiche ai file, i tentativi di accesso e l’esfiltrazione dei dati. Spesso venivano schierati su Internet di fronte a reti DMZ con la speranza che gli aggressori perdessero tempo a frugare in questi server e permettessero contemporaneamente di identificare le tecniche e gli strumenti di cui disponevano.

I primi prodotti commerciali di deception non funzionavano efficacemente perché gli attacchi mirati non erano molto sofisticati e le difese primarie quali firewall, sonde IPS e gestione degli utenti privilegiati potevano affrontare la maggior parte di tali metodologie di attacco. Oggi che gli aggressori hanno acquisito una tale raffinatezza, scoprirli sulla rete aziendale è diventata una componente fondamentale della scoperta e della risposta alle violazioni di sicurezza.

Come evidenziato nei paragrafi precedenti tali tecniche non sono utilizzate solo all’interno di infrastrutture/reti aziendali ma sono utilizzate anche da molti vendor di prodotti di sicurezza come fonte dati per rilevare e analizzare appunto nuove tecniche di attacco e vulnerabilità da implementare sui sistemi di difesa dei propri clienti.

Una moderna soluzione di rilevazione tramite sistemi di deception generalmente è costituita da queste quattro componenti:

  • Honeypot: sono distribuiti in tutta la rete come macchine virtuali “allettanti” per eventuali attaccanti. Attraverso opportuni software ad hoc viene gestita la distribuzione di tali honeypot virtuali e il loro continuo monitoraggio. Un avviso che è in corso un attacco è di solito un buon indicatore del fallimento di alcuni controlli di sicurezza o in realtà che si sta verificando un attacco sofisticato come un Advanced Persistent Threat.
  • Honeynets. Una rete completa di endpoint honeypot è configurata per apparire come una rete reale. In questo modo gli aggressori possono essere monitorati mentre invadono un server, effettuano un’escalation dei privilegi e si indirizzano verso un dato obiettivo.
  • Utilizzo di dati fittizi. File con tali dati sono diffusi attraverso la rete, anche all’interno di sistemi di produzione. Sono abbinati a tecnologie/sistemi di data loss prevention (DLP) che inviano un allarme se vengono aperti, dando così all’organizzazione un avviso che si è verificata una violazione e probabilmente identificando dove si trova l’attaccante.
  • Utilizzo di false credenziali. L’idea è di seminare i social network, ad esempio LinkedIn, con false identità dei dipendenti. Se un team di sicurezza dovesse vedere tentati accesso utilizzando varianti di queste false identità sarebbe un avvertimento tempestivo che si stava verificando quella che nel gergo della sicurezza è definita come “ricognizione”. Questo, e l’utilizzo di tecniche di mining del dark web, è uno dei pochi modi in cui è possibile rilevare attività di ricognizione.