Os atacantes usam ataques de Remote Desktop Control (RDP) não apenas para acessar hosts comprometidos, mas também realizam scans para comprometer outros sistemas abertos e alcançar o objetivo do ataque. Técnicas e tecnologias de Deception interrompem esses ataques de diferentes formas. Primeiro, ao implementar os sistemas isca com serviços possíveis para o RDP, o atacante irá enxergar uma mistura de sistemas semelhantes e ganhar uma falsa percepção do tamanho do ambiente do alvo. Se eles engajarem com um dos sistemas isca, independente do atacante usar criptografia no tráfego para chegar lá, a isca vai identificar, acionar um alerta e gravar tudo que o atacante fizer. A informação forense vai fornecer à equipe de resposta a incidentes insights sobre o atacante, levando inteligência para melhora das defesas existentes e mitigando futuros ataques.

Além de iscas de rede, o Deception pode ser feito por meio de trilhas e credenciais falsas, incluindo credenciais específicas de RDP, levando os atacantes diretamente para as iscas e longe dos ativos reais. Não importa quão sofisticado foi o método empregado pelo atacante para realizar o comprometimento inicial, o Deception leva o atacante a se revelar, de forma que o time de respostas pode interromper o ataque e rapidamente remediar caso exista algum dano. Uma vez que a equipe descubra um host comprometido, eles podem buscar ativamente por outros sistemas acessados pelo atacante, incluindo conexões RDP para melhor compreender o escopo do comprometimento e remediá-lo.

Uma das fabricantes líderes para emprego do Deception no ambiente corporativo é a Attivo Networks, além de oferecer soluções de Deception propriamente ditas, a Attivo também conta com complementos como o ThreatPath. Essa solução permite que as equipes visualizem as relações de acesso entre sistemas e quais credenciais fornecem acesso para quais hosts. Com essa informação, eles podem facilmente identificar potenciais caminhos de ameaças que um atacante usa para se espalhar pela rede, e corrigir isso antes que seja explorado.

Deception é uma adição fácil e lógica para o arsenal das equipes de segurança, reforçando as defesas existentes e interrompendo os ataques, independente da complexidade de técnicas usada para iniciar o ataque.

A Attivo Networks é o mais novo parceiro de Segurança da Real Protect. A Real Protect acredita que as soluções de Deception são um passo importante para a maturidade de segurança das empresas, trazendo mais visibilidade sobre os ataques e formas de identificar rapidamente caso o ambiente esteja comprometido.