Mikel Gastesi

Opinión

¿Por qué aplicar tecnología de Deception a la caza de amenazas?

Guardar

Vivimos en una época en la que asumimos las brechas deseguridad como algo inevitable. Toda organización reconoce que, de un momento aotro, sufrirá una intrusión. Muchas de ellas consideran, además, que losmecanismos de ciberseguridad tradicionales están lejos de ser perfectos. Aquellasque ingenuamente piensan que esto no les ocurrirá, se dan de bruces contra larealidad en el momento en que un simple email de phishing tiene éxito a la horade sobrepasar sus defensas.

La aproximación de "confianza cero" (Zero TrustSecurity) nos hace desconfiar de todo y de todos. Ya no confiamos en losdispositivos que están dentro de nuestra red, y sabemos que la amenaza de unempleado descontento (¡o sobornado!) no es algo a subestimar. Por eso debemosproteger y vigilar toda nuestra red, y es aquí donde la tecnología de engañonos ayuda en diferentes aspectos:

Actúa primero

La seguridad siempre ha sido como el juego del gato y elratón, en el que el defensor siempre está un paso por detrás del enemigo. Con latecnología de Deception es posible actuar antes, creando entornos sintéticospersonalizados, diseñados para atraer al atacante, con la capacidad adicionalde desarrollar campañas de engaño adaptadas al tipo de atacante que se desea estudiaro detectar.

Inteligencia de amenazas relevante para la organización

Uno de los mayores problemas cuando se trata coninteligencia de amenazas es distinguir qué información es relevante para unaorganización y cuál no. La tecnología de Deception brinda a los equipos de cazade amenazas la capacidad de desplegar campañas de engaño que son parte de lasuperficie de ataque de sus empresas. Esto garantiza que cualquier actividaddetectada y la inteligencia recabada sea relevante para la organización.

Una solución proactiva

Las herramientas tradicionales de búsqueda de amenazasimplican mirar dentro de una organización para tratar de detectar anomalías ocomportamientos conocidos. La tecnología de Deception atrae a los atacantes alentorno sintético y construye una superficie de ataque diseñada para darlesacceso, a fin de investigar el ataque en el entorno creado. Esto es seguro parala empresa, ya que ninguna producción de TI está en riesgo. Los equipos de cazade amenazas no sólo estudian a los atacantes, sino que también reúneninformación sobre ellos, los desvían de su objetivo real, descubren sus motivosy frustran su actividad.

Inteligencia de amenazas fiable

No siempre se sabe de dónde proviene la inteligencia deamenazas; a menudo se tiene una idea sobre quién proporciona la información,pero no los detalles. Al ser nosotros mismos los que generamos la inteligencia,sabremos cuándo, dónde y cómo se obtiene la evidencia.

Evita la fatiga de alerta

Es probable que el volumen masivo de IOC que unaorganización está utilizando ya esté dando algunos o muchos falsos positivos.Esto hace la vida más difícil para sus analistas de SOC y, peor aún, les obligaa revisar algunas reglas para reducir el ruido y crea más puntos débiles en elsistema de defensa. Gracias a su diseño, la tecnología de Deception genera soloinformación y alertas que son relevantes para su organización.

Información fácil de manejar

Mantenerse actualizado es difícil y requiere mucho tiempo, y saber qué podría ser relevante para una organización no es una tarea trivial. La tecnología de Deception ofrece una vasta base de conocimiento de inteligencia, pero el analista verá solo la información relacionada con el incidente (IOC y TTP), así como los detalles del mismo y la información relacionada, permitiéndole ahorrar tiempo y reduciendo la necesidad de procesar grandes cantidades de datos innecesarios.

* Mikel Gastesi es Senior Threat Analyst en CounterCraft