Confundarea criminalilor cibernetici cu rețelele iluzive
Am format rețele iluzive acum trei ani, hotărâți să rezolve problema atacurilor vizate. Știam că au existat atacuri extrem de sofisticate care răneau unele dintre cele mai mari organizații din lume.
Nefiind un mijloc de a detecta și de a opri amenințările persistente avansate (APT) de la atacatorii statelor naționale și infractorii cibernetici sofisticați a fost una dintre cele mai grave probleme cu care se confruntă liderii de afaceri și comunitatea cibernetică..
Am petrecut mulți ani lucrând la Check Point. Cu câțiva ani în urmă, am fost atins de Team8 pentru a aborda această problemă.
După luni întregi de brainstorming și cercetare, am ajuns la concluzia că este nevoie de o metodologie complet nouă. Dacă reacționați la atacator, care își actualizează constant mecanismele și instrumentele de atac, veți fi întotdeauna câțiva pași în urmă. Mai mult, folosind acreditările legitime, acești atacatori sustrag adesea detectarea prin mijloace tradiționale.
Așa că ne-am întrebat, există o paradigmă în care l-am putea pune pe atacator într-o poziție reactivă?
Aceasta este premisa pe care se bazează tehnologia noastră de înșelăciune.
Mai simplu, ce este exact tehnologia înșelăciunii?
Puterea produsului iluziv este cu adevărat activată numai după ce atacatorul a pătruns în rețea. După ce intră și se mișcă lateral, atunci vom intra în joc.
Pentru a răspunde la întrebarea dvs., trebuie mai întâi să înțelegeți natura unui atac vizat. Să presupunem că o bancă este atacată printr-o campanie de phishing. Un angajat a descărcat un PDF rău intenționat, iar atacatorul este acum în rețea. Atacatorul are un obiectiv bine definit pentru a ajunge la un set specific de date sau sistem. El este situat într-un punct final, dar nu este sigur unde este ținta sau cum să ajungă la acesta.
Imaginați-vă că încercați să vă găsiți drumul într-o casă întunecată în care nu ați mai fost niciodată, doar cu o mică lanternă, privind în jur pentru a vedea ce puteți exploata, evaluând unde sunt obiectele de valoare și cum să ajungeți la ele. Acest lucru este foarte complex și poate dura un atacator câteva luni.
Desigur, acest proces implică o cantitate semnificativă de încercare și eroare.
Înșelăciunile noastre măresc această provocare pentru atacator. Infuzăm mediul cu informații false, alături de informațiile reale, pentru a modifica viziunea realității atacatorului. De exemplu, dacă un atacator deține un punct final care oferă acces pentru a vedea trei acțiuni corporative reale, atacatorul ar putea vedea 10. Odată ce un atacator acționează asupra unei înșelăciuni, o alertă este declanșată și iluzive colectează date medico-legale bazate pe sursă.
Cum stabiliți o înșelăciune care este atât de ușor de implementat și relevantă pentru atacator, cu o soluție complet fără agent?
În centrul soluției noastre se află sistemul nostru de management al înșelăciunii (DMS), bazat pe inteligență artificială. Analizează mediul înconjurător și sugerează înșelăciunile care sunt necesare, care sunt instalate fără agent și cu foarte puțin efort de management uman. Odată operațional, DMS monitorizează continuu rețeaua și se adaptează automat la modificările din mediul corporativ și la comportamentul atacatorului.
Este esențial că înșelăciunile par autentice pentru atacator, astfel încât acestea să nu poată face distincția între ceea ce este real și ceea ce este fals. Cu View Attacker și caracteristicile medico-legale ale produsului nostru, analistul poate vedea mișcările atacatorului în timp real. Fiecare decizie pe care o ia atacatorul ne oferă mai multe informații despre intenția și tactica lor, care este folosită în continuare pentru a induce în eroare și a le prinde.
Deoarece clienții noștri includ organizații mondiale de top. Deoarece soluția noastră este lipsită de agent, nu aduce o sarcină suplimentară organizației IT și am fost atenți în proiectarea noastră pentru a construi un produs transparent pentru utilizatorul final.
Cine este clientul tău tipic?
Avem zeci de companii de frunte din întreaga lume ca clienți. Tehnologia noastră este desfășurată în mai multe sectoare, de la furnizorii de servicii medicale și de asigurări până la companiile de telecomunicații, deși avem un accent principal pe instituțiile financiare. Am avut multe succese cu băncile mari și am investit în crearea de soluții unice, cum ar fi Wire Transfer Guard, pentru a ajuta la provocările lor specifice.
Cum te descurci cu pozitive false?
Unul dintre avantajele majore ale tehnologiei noastre este că aveți întotdeauna încredere în alertele noastre. Sistemul nostru nu generează niciodată o notificare falsă pozitivă, doar reală, care este trimisă direct echipei de răspuns.
Aceasta a fost una dintre cele mai importante caracteristici atunci când am proiectat sistemul nostru, deoarece resursele false deșeuri pozitive și pot provoca daune semnificative. S-ar putea să ratezi alerte reale dacă ai atât de multe pozitive false sau petreci ore întregi analizând ceva care pare semnificativ, dar probabil nu este. Aceasta a fost o problemă în unele dintre cele mai recente încălcări de securitate expuse publicului; în cazul inundațiilor falselor pozitive, alertele reale și importante nu au primit niciodată atenția pe care ar fi trebuit să o aibă.
Cum îi prinzi pe atacatori în timp real?
Prima etapă este stabilirea decepțiilor pentru a permite detectarea. Odată operațional, iluzivul poate spune dacă există un atacator în rețea.
Odată prins, nu spunem doar „aveți un atacator”. Apucăm date criminalistice din sisteme pentru a vă spune ce procese rulează, ce conexiuni de rețea folosesc și multe alte detalii.
Oferim analiștilor posibilitatea de a monitoriza mișcarea și tactica lor. Iluzivul știe cât de departe este atacatorul de bunurile critice. Cu toate aceste informații, respondenții pot determina cel mai avantajos moment pentru a acționa – înainte ca atacatorul să ajungă la bijuteriile coroanei.
Există o artă către înșelăciune. Înțelegând însă comportamentul atacatorului putem crea înșelăciuni relevante pentru a-i atrage pe atacatori și a-l codifica într-o soluție automatizată care readuce controlul în mâinile clienților noștri.
17.04.2023 @ 21:33
tru a dezvolta înșelăciuni mai avansate și mai eficiente. Este o abordare continuă și evolutivă, care ne permite să rămânem înaintea atacatorilor și să îi punem într-o poziție reactivă. Cine este clientul tău tipic? Suntem specializați în soluții de securitate cibernetică pentru organizații mari și complexe, cum ar fi bănci, companii de asigurări, guverne și alte entități critice. Aceste organizații sunt cele mai vulnerabile la atacurile vizate și au nevoie de soluții de securitate cibernetică avansate și personalizate. Cum te descurci cu pozitive false? Înșelăciunile noastre sunt proiectate pentru a fi cât mai credibile posibil pentru atacator, astfel încât să nu poată face distincția între ceea ce este real și ceea ce este fals. Cu toate acestea, există întotdeauna posibilitatea de a avea pozitive false. În astfel de cazuri, analistul nostru va examina datele medico-legale și va face o evaluare pentru a determina dacă este o alertă falsă sau nu. Cum îi prinzi pe atacatori în timp real? Tehnologia noastră de înșelăciune ne permite să detectăm și să urmărim mișcările atacatorului în timp real. Cu View Attacker și caracteristicile medico-legale ale produsului nostru, analistul nostru poate vedea mișcările atacatorului și poate lua măsuri imediate pentru a preveni daunele.