Con Deception, las empresas pueden analizar sus medidas de seguridad existentes. El fabricante de engaños CyberTrap explica cómo funciona la tecnología, qué potencial ofrece y cómo los revendedores y las casas de sistemas pueden hacer negocio con ella.
Cuando se trata de innovaciones en seguridad informática, Estados Unidos e Israel suelen ir por delante. Los fabricantes de soluciones que trabajan con la tecnología Deception también proceden en gran medida de Estados Unidos, como Trap X, Shape Security y Fidelis.
Todavía no hay muchos fabricantes que se apoyen completamente en Deception, como Attivo e Illusive. En su lugar, ofrecen soluciones individuales que utilizan las funciones de Decepción. Algunos ejemplos son Fortinet con el Forti Deceptor y Rapid7 con InsightIDR.
Con la ayuda de Deception, los fabricantes dirigen a los ciberatacantes específicamente hacia las infraestructuras informáticas creadas para ello. Y esto se hace antes de que los atacantes puedan penetrar en la infraestructura real de la empresa. Los ciberdelincuentes se encuentran con el cebo lanzado, que parece un activo real, y luego aterrizan en un entorno ficticio. Allí, los equipos de seguridad pueden observar a los atacantes para analizar sus métodos.
Franz Weber, director general y consejero delegado de CyberTrap
El fabricante vienés se fundó en 2015 como una escisión de la consultora de gestión SEC Consult y desde entonces se ha dedicado a engañar a los ciberatacantes. Por su parte, nueve revendedores de Europa, entre ellos el distribuidor Exclusive Networks, y un revendedor de la India forman parte del programa de socios.
El programa se divide en los tres niveles Autorizado, Plata y Oro. El fabricante recluta nuevos socios con bajas barreras de entrada y reparto de ingresos. Además, CyberTrap recompensa a los clientes potenciales que conducen a un pedido. Esto es especialmente interesante para los consultores y proveedores de servicios que no abordan el negocio de las licencias.
El fabricante también ofrece a sus socios cursos de formación, versiones de demostración, eventos conjuntos y apoyo de marketing.
Una ventaja particular, según Franz Weber, director general y consejero delegado de CyberTrap, es que el engaño es todavía un tema de seguridad nuevo y poco conocido. Según él, los revendedores pueden seguir ocupando segmentos de mercado en este caso y encontrar poca competencia en el sector de las pymes.
La estrategia del honeypot se considera una de las medidas de protección más antiguas en el ámbito de la seguridad informática. Esto se debe a que hace más de 25 años, las empresas no sólo querían proteger sus datos, sino que también querían atrapar a los ciberdelincuentes para poder prevenir futuros ataques.
Utilizando los honeypots como trampas, las soluciones atraen a los ciberatacantes hacia una pista falsa. Los honeypots son ordenadores autónomos o sistemas informáticos que emulan objetivos de ciberataques. Para conseguir que los atacantes se interesen por el posible botín, por ejemplo, datos de clientes o bancarios, contraseñas, información económica, los fabricantes suelen configurar vulnerabilidades conocidas en el honeypot como un objetivo tentador y fácil de crackear.
Hasta hace algún tiempo, los honeypots eran el estado del arte para atraer a los atacantes a las trampas. Pero según CyberTrap, los honeypots ya no son lo más moderno. Los honeypots son muy estáticos y sólo cubren lo que se puede instalar físicamente en la red. El engaño, por otro lado, cubre significativamente más vectores de ataque e identifica a los atacantes en tres o cuatro pasos laterales.
CyberTrap es una solución SaaS multi-tenant para empresas de todos los tamaños. Complementa la infraestructura informática existente con sistemas adicionales que sirven exclusivamente como trampas para los ciberatacantes. En las trampas, el agente de vigilancia permite un análisis detallado para analizar las técnicas y tácticas de los atacantes. A través de RestAPI, toda la información y los datos pueden fluir hacia las respectivas herramientas de análisis de los socios.
Para satisfacer las diferentes necesidades de las grandes empresas y las PYMES, el fabricante ha desarrollado dos versiones diferentes de la solución Deception: Enterprise y Pro.
Con Enterprise, los socios obtienen la funcionalidad completa de la tecnología Deception. En los talleres de diseño, CyberTrap adapta los señuelos al entorno informático del cliente final. En cambio, la versión Pro está adaptada a las pequeñas y medianas empresas. Aquí no se necesitan todas las funciones, por lo que los Servicios de Engaño se limitan a los escuchadores de puertos RDP, SSH, SMB y TCP.
Los abonados necesitan puertos para comunicarse en redes IP. Cuando una aplicación proporciona un servicio en una red, abre un puerto para ello. Este puerto pasa al estado de "escucha", es decir, escucha y espera intentos de conexión.
El engaño proporciona datos forenses sobre el atacante en tiempo real. Los datos no tienen que determinarse de forma costosa post mortem después de un incidente.
Carsten Keil, director de ventas de CyberTrap
Con la ayuda de la tecnología, las empresas pueden comprender mejor el comportamiento de los ciberatacantes. "Los atacantes internos consideran que el cebo es un objetivo fácil y toman el camino de menor resistencia. Nos aprovechamos de ello para no cerrar todas las puertas a cal y canto", afirma Timo Bertsch, consultor de seguridad informática del proveedor de servicios gestionados y socio de CyberTrap, Twinsec.
Para atraer a los atacantes a las trampas, se despliegan cebos en los sistemas de la red productiva, los endpoints. Las trampas son sistemas reales y auténticos, no simulaciones ni emulaciones. Los ciberdelincuentes no pueden hacer ningún daño aquí, ya que sólo encuentran datos típicos del sistema, pero falsificados, como contraseñas e información sobre servicios. "Para lograr el máximo nivel de seguridad, recomendamos distribuir diferentes señuelos en todos los puntos finales, que se ajusten a las circunstancias de los diferentes departamentos", añade Weber.
CyberTrap también distingue entre el engaño de puntos finales, aplicaciones web y directorios activos. Las tres técnicas tienen en común que quieren distraer al ciberatacante de los servicios productivos y atraerlo a los servidores engañosamente similares.
En el Engaño del Directorio Activo, la solución engaña al atacante haciéndole creer que un usuario con derechos especiales para la administración central de TI está en un sistema. Esto hace que el sistema sea un objetivo tentador para el delincuente.
El Endpoint Deception agrupa varios servicios como el acceso remoto, las bases de datos, el almacenamiento de datos o la autenticación y los utiliza para engañar.
Y el Web Application Deception es ofrecido por CyberTrap para monitorizar las presencias en Internet o las aplicaciones web en busca de actividades delictivas. El entorno productivo está provisto de señuelos que redirigen al ciberatacante a un sistema trampa.
Además, el fabricante ofrece un engaño para los documentos con el servicio TrackDown. Se trata de PDFs de aspecto real o de MS Office. Se proporcionan con una baliza y se almacenan en los dispositivos finales. En cuanto estos documentos salen de la empresa y el ladrón los abre, la empresa recibe una alarma e información sobre el robo y el tipo de desencriptación en el cuadro de mandos.
En su sentido original, una baliza es una estación de radio que emite ondas de radio con fines de navegación, que pueden utilizarse para determinar posiciones. En informática, las balizas pueden ser pequeños transmisores Bluetooth, mensajes de estado en una WLAN o píxeles de seguimiento en un mensaje o en un sitio web. Las balizas contienen paquetes con información sobre, por ejemplo, el nombre de la red, las tasas de transmisión y el tipo de encriptación utilizado.
Se puede encontrar información más detallada sobre los posibles usos de una baliza aquí.
El esfuerzo de instalación de la versión Pro es menor y el número de dispositivos finales que pueden equiparse con balizas se limita a 900. Asimismo, se omiten funciones empresariales como la conexión de los sistemas SIEM, ya que no suelen utilizarse en las empresas más pequeñas. "La versión Pro es ideal para las PYMES, ya que pueden alcanzar un nuevo nivel de seguridad gracias a nuestras condiciones económicas", afirma Carsten Keil, Director de Ventas de CyberTrap.
Para estas pequeñas empresas o compañías que no tienen un Centro de Operaciones de Seguridad (SOC), pocos conocimientos de seguridad o apenas personal informático, los Servicios Gestionados de Seguridad (MSS) juegan un papel esencial. Por lo tanto, CyberTrap pone un enfoque especial en los servicios gestionados con Deception.
Los socios pueden participar activamente aquí como consultores en el diseño del entorno de Deception. Además, se encargan del funcionamiento de la solución en los clientes finales, así como del análisis de las alarmas.
"Buscamos socios en el canal que ofrezcan a sus clientes servicios gestionados y quieran incluir Deception como otro bloque de construcción en su cartera de seguridad", dice Weber.
La casa de sistemas austriaca Anovis ya utiliza la solución de CyberTrap como complemento a los servicios gestionados para la seguridad de la infraestructura de TI, así como una solución independiente. Según Gerhard Iby, jefe de ventas de Anovis, esto se traduce rápidamente en un "valor añadido tangible en términos de visibilidad y velocidad de detección de los ciberataques".
Pero ¿cómo se distingue la solución de la competencia Attivo o Illusive, según su propia presentación? "Por un lado, somos un fabricante europeo y nos centramos en el mercado DACH y en Europa, a diferencia de las empresas estadounidenses e israelíes", argumenta Weber. "Nuestro personal de apoyo y los desarrolladores hablan alemán e inglés. Además, nuestros señuelos funcionan completamente sin agentes y no necesitamos derechos de administrador para colocarlos en el entorno de TI".
Si las empresas quieren utilizar una solución Deception, no tienen que tirar a la basura todos los demás productos que compraron por mucho dinero. "Nuestra filosofía básica es que Deception complementa y no sustituye a otras soluciones", dice Keil.
Como complemento de Endpoint Detection and Response (EDR) o Extended Detection and Response (XDR), Deception es muy adecuado, según Weber. "Mientras que EDR y XDR suelen tener como objetivo la detección o la defensa, Deception ofrece la posibilidad complementaria de analizar el ataque y determinar el atacante. La información obtenida puede utilizarse en otras soluciones de seguridad".
Bertsch también está de acuerdo: "EDR encaja bien con la tecnología Deception y suele ser un proyecto en el camino hacia SIEM. Deception permite encontrar a los atacantes en la red desde el principio y puede conectarse como una fuente de datos altamente ponderada para un SIEM una vez que se haya completado la configuración"
CyberTrap también está desarrollando constantemente su propia solución. Actualmente, el fabricante está trabajando en la versión 3, que automatizará el análisis de los métodos de los ciberatacantes. "Los ataques se analizan, clasifican y agregan en términos de atacantes, fases de ataque, tácticas y técnicas", explica Weber. "Esto reduce el esfuerzo del analista. Además, se añaden otros servicios, por ejemplo del área OT".
La versión SaaS, que se lanzará próximamente, debería permitir a los socios conectar rápidamente a sus clientes con la plataforma Deception de CyberTrap e integrarla en su cartera de servicios.
Conjuntamente con la asociación técnica VGB, CyberTrap ya ha desarrollado una solución para el área OT (Operational Technology) y la presentará en la "VGB Conference Digitalization in Hydropower".