Imaginemos uma ratoeira, onde um pequeno pedaço de queijo é cuidadosamente colocado para atrair o “inimigo”, distraí-lo e impedi-lo de chegar à verdadeira comida. Sabias que o mesmo princípio pode ser aplicado à cibersegurança? Neste cenário, o rato é um ciberatacante e o queijo pode ser um ficheiro com informação sensível falsa. É isto que chamamos de tecnologia de engano (deception).

 

Utilizada como estratégia para desviar cibercriminosos dos verdadeiros ativos de uma organização, a tecnologia deception é, no seu âmago, uma abordagem de deteção e resposta a incidentes. O nosso Engenheiro de Cibersegurança Raphaël Cossec elabora: “A tecnologia de engano não se trata de impedir o atacante de entrar na rede da organização. Ele/ela já está dentro. Utilizamos um isco, que pode ser um ficheiro falso com, por exemplo, informação de início de sessão de um utilizador, para atrair o atacante e detetar se esse início de sessão é alguma vez concretizado. Podemos então recolher informação relevante como Indicadores de Comprometimento (IoC), como ele/ela se comporta, que tipo de ataques são lançados, para podermos identificar todos os dispositivos onde esse comportamento ocorre”, explica.


Esses iscos, ou engodos, também podem assumir a forma de servidores, bases de dados, ou até aplicações. O que importa é que o atacante perde tempo em ativos não relevantes, acredita ter violado o sistema da organização e estar a executar ciberataques prejudiciais, quando na verdade não há impacto na infraestrutura ou operações da empresa.

 

 

Porque é importante a tecnologia deception?

“A lógica por trás desta técnica é que nenhuma empresa está perfeitamente protegida. O objetivo é proporcionar uma segurança mais profunda e detetar ciberatacantes muito mais rapidamente”, afirma Raphaël. No entanto, não funciona isoladamente – deve ser complementar a serviços de segurança mais proativos e preventivos.


As principais vantagens de implementar tecnologia de engano são:

  • Deteção precoce de ameaças
    Atacantes que de outra forma poderiam passar despercebidos até causarem alguns danos podem ser detetados muito mais rapidamente com tecnologia deception, antes que tenham hipótese de prejudicar a organização.

  • Maior inteligência sobre ameaças
    Esta é uma forma eficaz de obter informações sobre ciberataques e atacantes específicos, que podem ser posteriormente utilizadas contra eles e transformadas em lições para o futuro.

  • Minimização de falsos positivos
    Como a tecnologia de engano é altamente direcionada, e apenas os ciberatacantes têm motivos para interagir com iscos, as equipas de segurança têm muito menos falsos positivos com que se preocupar. Com métodos de deteção mais tradicionais, os especialistas em segurança acabam por perder muito mais tempo a analisar alertas falsos.

  • Resposta a incidentes melhorada
    Enquanto os atacantes estão a interagir com ficheiros-isco, as equipas de resposta a incidentes utilizam esse tempo precioso para se prepararem, recolherem informações e responderem mais eficazmente a essas ameaças.

  • Vantagem psicológica
    Quando os atacantes têm conhecimento de que uma organização utiliza tecnologia deception, podem optar por não a visar, devido ao risco de exposição e recursos desperdiçados.

 

 

Que ameaças podem ser detetadas?

“Dependendo do quão madura e bem configurada está a tecnologia, a mesma pode detetar algo muito simples até algo muito complexo e ir desde a deteção de um único atacante menos experiente até um mais habilidoso, ou até mesmo um grupo organizado”, assegura Raphaël.


Entre algumas das ameaças cibernéticas mais prevalentes que afetam as empresas, e que a tecnologia de engano pode detetar, estão:

  • Roubo de credenciais
    A tecnologia deception pode facilmente apanhar atacantes em flagrante a tentar roubar ou usar indevidamente credenciais de utilizadores ativos.

  • Movimento lateral
    Os atacantes que conseguem entrar com sucesso no sistema de uma organização tentam frequentemente mover-se lateralmente, espalhar o ataque pela rede e danificar outros ativos críticos. Com a tecnologia de engano, tropeçam recorrentemente em armadilhas e são detetados no início do processo.

  • Implementação de Malware/Ransomware
    Software malicioso implementado por um atacante tentará espalhar-se para outros dispositivos da organização. É então atraído para o ambiente falso, que acionará um aviso para a equipa de segurança.

 

Que tipos de tecnologia deception existem?

O tipo mais popular são os honeypots que, explica Raphaël, “em determinada altura era sinónimo de tecnologia deception, porque era a única técnica existente”. Honeypots são, resumidamente, o que temos vindo a descrever até agora: sistemas, servidores ou dispositivos desenhados para imitar ativos reais e atrair atacantes, permitindo a deteção precoce e a análise de atividade maliciosa.


São muito mais complexos hoje em dia do que eram antes, já que não são apenas ativos estáticos únicos à espera de interação, mas ambientes falsos inteiros capazes de interagir entre si.


“E agora”, desenvolve o nosso Engenheiro de Cibersegurança, “existem mais soluções deception por aí, que são, na verdade, descendentes do termo 'honeypots'". Estas são apenas algumas que vale a pena mencionar:

  • Honey users
    Contas de utilizador falsas, geralmente criadas dentro do Active Directory da organização (e refinadas com um nome/descrição apelativo), capazes de atrair atacantes que tentam aplicar uma técnica de adivinhação de palavras-passe. Estas contas nunca são utilizadas para qualquer outro propósito além deste, nem associadas a utilizadores reais.

  • Honey credentials
    Nomes de utilizador e palavras-passe falsos estrategicamente colocados onde os atacantes têm tendência a procurar (ex.: e-mails; drives partilhadas). Se essas credenciais forem alguma vez usadas para autenticação, as equipas de segurança são notificadas.

  • Honeynets
    Uma rede de honeypots interligados, utilizada por equipas de segurança para investigar como os ciberatacantes trabalham numa escala maior. Uma vez que podem simular segmentos de rede inteiros, podem ser especialmente úteis para detetar movimentos laterais.

  • Armadilhas ‘honey’ compostas
    Também podem existir ambientes compostos que incluem computadores falsos, que promovem um alto nível de interação (Windows ou Linux falsos, entre outros); crumbs como ficheiros para atrair o atacante (ex.: credenciais falsas dentro de um ficheiro 'txt', ficheiros Remote Desktop Protocol (RDP) falsos, ou outros); uma rede falsa que conecta tudo isto; e uma consola para centralizar toda a informação.

 

 

Tecnologia de engano para pequenas empresas vs. grandes empresas

Embora seja mais aconselhável para empresas maduras, organizações de todos os tamanhos podem investir em tecnologia deception. No entanto, a forma como é implementada pode variar, de acordo com Raphaël Cossec: "Em pequenas organizações é mais fácil implementar manualmente uma conta falsa ou um conjunto de ficheiros falsos. Também é muito menos dispendioso. Para grandes organizações existem diferentes possibilidades e ferramentas, dependendo do que querem abordar. Imaginemos uma organização que quer proteger servidores ou endpoints: então um produto como o Acalvio é uma boa solução", exemplifica.


Atualmente, uma vez que esta é uma tecnologia muito direcionada e tecnicamente exigente, não é viável obter uma cobertura a 360º de todos os ativos. Portanto, se uma empresa procura proteger mais do que um âmbito, a chave é optar por um mix de soluções, dependendo do tamanho da organização. "Normalmente, a melhor estratégia é escolher a parte mais importante da empresa para proteger e alavancar a tecnologia de engano para esse propósito específico", aconselha Raphaël.

 

 

Quais são os riscos e desafios?

O maior tem a ver com a maturidade da empresa. “A organização precisa de ter bem claro o que quer proteger, e como quer proteger, porque não há garantia de cobertura 100% de cada ativo. Imaginemos que existem 100.000 ativos: todos precisam de estar conectados ao mesmo isco, por isso a configuração vai demorar muito tempo e cada solução precisa de ser de alguma forma feita à medida. Logo, é muito importante que as organizações sejam assertivas e estejam alinhadas com as possibilidades desta tecnologia desde o início”, enfatiza o nosso engenheiro. Em média, e apenas como referência, uma solução artesanal pode demorar 1 a 2 anos a ser implementada, enquanto uma solução já existente pode demorar 4 a 5 meses.


Também há aspetos éticos e morais a considerar. Um estudo recente sobre preocupações éticas relacionadas com a tecnologia deception frisa que “embora seja geralmente aceite que as organizações têm o direito de se defender contra ciberataques, o uso de técnicas de engano como honeypots pode ser visto como injusto ou pouco ético. Pode-se argumentar que manipula o atacante, levando-o a tomar uma ação que de outra forma poderia não ter tomado”.


O nosso especialista concorda, mas salienta que “a tecnologia deception é um tópico bastante novo, por isso é natural que ainda não existam diretrizes bem definidas”. Mas, mais uma vez: ter mais princípios éticos acordados, bem como regras e regulamentos estabelecidos, é um desafio mais amplo para o ciberespaço como um todo.
A oferta de Serviços Geridos da Alter Solutions inclui Managed SOC, Managed EDR, Managed NDR, Resposta a Incidentes e Gestão de Vulnerabilidades
Proteção 360º com os nossos Serviços de Ciberdefesa Geridos
Uma estratégia de cibersegurança abrangente pode alavancar serviços como Managed SOC, Managed EDR, Managed NDR, Resposta a Incidentes e Gestão de Vulnerabilidades.
Descobrir mais
Partilha este artigo