Neste artigo, vamos falar sobre as vantagens de se estudar um adversário presente dentro de sua própria rede.

Podemos começar dizendo que essa é uma boa vantagem. A princípio, parece algo inusitado trabalhar com a ideia de deixar os atacantes entrarem na rede. Qual o propósito disso? E se eles tiverem sucesso e saírem num cenário de terra arrasada? Por qual motivo alguém de bom senso deixaria uma atacante continuar seu ataque?

E se isso não fosse tão arriscado assim, e você pudesse fazer isso sem que o potencial dano fosse alto? E se a informação obtida se tornasse valiosa para a segurança de sua empresa?

Quando adotamos um programa de Deception dentro de nossa arquitetura de segurança, é importante deixar que o atacante conduza o ataque (a tentativa no caso, já que estamos observando), ao invés de bloqueá-lo imediatamente. Você monitora e registra os detalhes do que está ocorrendo. Sua equipe ganha um bom entendimento sobre como os atacantes operam, a forma como os ataques alavancam vulnerabilidades de software, e como sua rede pode ser comprometida.


Quem está “enganando” quem?

De ataques de phishing, a esquemas elaborados de ataques contra executivos, os atacantes sempre usaram técnicas criativas de deception ao seu favor, simplesmente porque elas funcionam. Isso é um dos motivos pelos quais nós, no lado da defesa, geralmente ficamos para trás. Esperando ser atacados e de prontidão para responder. Imagine como seria bom estar posicionado realmente à frente dos atacantes, pensando 5 passos a frente deles. O deception pode ser usado para conquistar esse cenário. Se o deception não faz parte da sua estrutura de segurança, você deve cogitar usar esse tipo de solução.


5 Pontos-Chave para entender a solução de Deception

1 – Aprenda Sobre Seu Negócio

Para colocar em prática um programa bem sucedido de Deception, você precisa aprender sobre como seu negócio funciona. Isso inclui entender todos os elementos de uma operação de negócio, como os dados trafegam, quais dados são usados, e o que é criado.

Uma vez que seu adversário entra em sua rede, eles não atacam imediatamente, eles aprendem o máximo que podem sobre o que é mais importante para eles sobre sua empresa. Uma vez que aprendem o máximo que podem, eles identificam uma forma de roubar, aplicar um ransomware ou outra forma de ataque contra e empresa.


2 – Modelo de Ataque

Quais são as 5 principais superfícies de ataque que sua empresa está exposta e podem ser exploradas em um ataque? Ter um modelo de ameaças provê uma visão clara de como um atacante enxerga a sua empresa. Quando feito corretamente, isso ajuda a empresa não somente no nível tático, mas também de forma estratégica, mostrando como o negócio sem saber está criando oportunidades de alto risco e alto valor para os criminosos. Entender seus dados mais críticos e o caminho dos atacantes para chegar lá é excelente para se ter uma visão clara do todo.

Muitas empresas subestimam seu valor como alvo, não tendo a real compreensão de como os atacantes podem atingi-las por diversas razões, não apenas pelos dados que elas possuem. Um criminosos pode atingir sua empresa para na verdade chegar em um parceiro seu, por exemplo. Não importa o tamanho e a vertical, sua empresa pode ser um alvo.


3 – Seja o “dono” da sua infraestrutura

Hoje podemos ter a infraestrutura in-house, parcialmente alugada, híbrida, totalmente em nuvem, as possibilidades são grandes. Estamos aqui considerando como infraestrutura toda a tecnologia que suporta o negócio da empresa.

Mas, você realmente é o “dono” dessa infraestrutura?

Uma vez que o atacante está dentro do seu ambiente, ele busca pontos de alavancagem, encontra formas de aumentar o acesso, eles buscam formas de se tornarem os donos da sua infraestrutura, ou de parte dela.

Usar uma estratégia de defesa em camadas é essencial quando falamos de se implementar um programa de deception. Um programa de deception é muito mais do que um simples honeypot ou honeynet, comuns nas escolas de TI e Ciência da Computação. Um deception maduro é crível para o atacante, e concede ao defensor mais controle sobre potenciais ataques.


4 – Aprenda, lidere, elimine

Quando feito de forma correta, um programa de Deception pode lhe auxiliar a:

Aprender

O que é mais importante para seu negócio. De como os dados trafegam em sua rede, até quais dados são mais críticos para sua empresa. Além de compreender como sua empresa pode ser atacada.


Liderar

Quando um ataque acontece, e é importante ter um mindset de que eventualmente isso vai acontecer, você estará no controle. Ao invés de perder tempo correndo atrás de falsos-positivos, você estará à frente do atacante. O caminho que você impor ao atacante vai forçá-lo a gastar tempo e recurso. Isso vai revelar os métodos e táticas usadas, tanto para solucionar o incidente imediato quanto para aplicar essa inteligência em futuras ações de prevenção.


Eliminar

Quando você tiver coletado todos os dados sobre o atacante, você terá também exaurido potencialmente todos os recursos dele, criando assim um perfil sólido de comportamento. Esse perfil é fundamental para corrigir outros erros semelhantes presentes em seu ambiente e prevenir que outros atacantes possam explorá-los.

Combinar esses três elementos, aprender, liderar e eliminar em seu programa de Deception possui um grande valor. Os dados coletados podem se tornar inteligência que permite sua equipe melhorar suas skills, aumentando assim sua maturidade de segurança.


5 – Saia do mindset defensivo, torne-se Proativo

Firewalls, IDS/IPS, antimalware, são elementos essenciais de um programa de segurança, mas são elementos defensivos. O Deception por sua vez não é um elemento apenas defensivo. Um bom programa de Deception é proativo, trazendo à tona o que pode ser usado como alavancagem contra os atacantes. Um bom programa de Deception vai lhe ajudar a identificar gaps técnicos, de processos, e áreas onde o investimento deve ser reduzido , eliminado, redirecionado ou aumentado.