deception technology Piergiorgio Venuti

Deception: Ingannare gli Hacker per Proteggere la Tua Rete

Estimated reading time: 4 minuti

Deception: Confronto con gli Hacker sul Loro Terreno

“Ripaghiamo gli hacker con la loro stessa moneta utilizzando le stesse difese e tecniche che i malware utilizzano contro i sistemi informatici modellando il processo decisionale degli aggressori.”

Introduzione alla Deception

La Deception è un approccio di sicurezza informatica proattivo che utilizza trappole o esche (decoy) per ingannare gli attaccanti, spingendoli a rivelare la loro presenza. Trasformando il sistema informatico in un campo minato di trappole digitali, la Deception sconvolge il processo decisionale degli aggressori, mettendo in luce le loro tattiche, tecniche e procedure.

Uno dei principali fornitori di servizi di Deception è Secure Online Desktop. Questa azienda offre una soluzione di Active Defence Deception che fornisce una rete di inganno di alta interattività, progettata per ingannare e rilevare gli attaccanti.

Il Servizio Active Defence Deception di Secure Online Desktop

Il servizio di Active Defence Deception di Secure Online Desktop crea un ambiente di rete simulato che inganna gli attaccanti facendoli credere di aver violato un sistema. Questo ambiente è costituito da una varietà di “esche” digitali o “decoy” che simulano i sistemi informatici reali.

La soluzione di Secure Online Desktop utilizza anche tecniche di inganno avanzate come l’uso di credenziali false per attirare gli attaccanti verso le trappole. Inoltre, il servizio monitora continuamente l’ambiente di rete per rilevare qualsiasi attività sospetta o anomala. Quando un attacco viene rilevato, il sistema invia un allarme in tempo reale, fornendo dettagli sull’attaccante e sulle sue tattiche.

Deception nella Killchain: Un Approccio Basato sul MITRE Framework

La Deception può essere integrata in ogni fase della killchain, come descritto nel MITRE ATT&CK Framework.

Innanzitutto, nella fase di “Reconnaissance”, le trappole di Deception possono fornire informazioni false agli attaccanti, confondendo le loro ricerche preliminari. In seguito, durante la fase di “Weaponization” e “Delivery”, le trappole possono simulare vulnerabilità apparenti per attirare gli attaccanti.

Nella fase di “Exploitation” e “Installation”, l’attaccante, pensando di aver avuto successo, potrebbe cercare di installare malware o effettuare altre azioni dannose, rivelando ulteriormente le sue intenzioni e tattiche. Infine, durante le fasi di “Command & Control” e “Actions on Objectives”, l’inganno può continuare a monitorare l’attività dell’attaccante, fornendo informazioni preziose per prevenire futuri attacchi.

Casi Pratici di Successo della Deception

La Deception ha dimostrato di essere efficace in vari scenari reali. Ecco alcuni esempi:

  1. TrapX Security ↗: TrapX ha utilizzato la Deception per fermare un attacco di ransomware in un ospedale. Gli attaccanti erano stati ingannati dalle trappole digitali, permettendo al team di sicurezza di isolare e neutralizzare la minaccia.
  2. Illusive Networks ↗: Illusive ha utilizzato la Deception per aiutare un’organizzazione bancaria a prevenire un furto di dati. Gli attaccanti avevano tentato di accedere a credenziali false, rivelando la loro presenza e permettendo al team di sicurezza di bloccare l’attacco.
  3. Acalvio ↗: Acalvio ha utilizzato la Deception per bloccare un attacco di spear phishing in un’organizzazione di energia. Le trappole digitali hanno ingannato gli attaccanti, permettendo al team di sicurezza di identificare e fermare l’attacco.

L’Integrazione della Deception con i Servizi SOC

Il servizio di Active Defence Deceptiondella Secure Online Desktop può essere combinato con i servizi di un Security Operations Center (SOC) per aumentare ulteriormente la sicurezza della rete. Un SOC fornisce un team di esperti di sicurezza che monitora costantemente la rete per rilevare e rispondere a eventuali minacce.

L’integrazione della Deception con un SOC consente di combinare le informazioni raccolte dalle trappole digitali con altre fonti di dati di sicurezza per fornire una visione più completa dell’attività di rete. Inoltre, le informazioni raccolte dalla Deception possono essere utilizzate per migliorare le capacità di rilevamento e risposta del SOC.

Ad esempio, se una trappola rileva un attacco, il SOC può rapidamente isolare la parte della rete interessata e prendere misure per neutralizzare la minaccia. Allo stesso tempo, le informazioni sull’attacco possono essere utilizzate per aggiornare le firme di rilevamento del SOC e migliorare la sua capacità di rilevare attacchi simili in futuro.

Conclusione

La Deception rappresenta un passo avanti nella lotta contro gli attacchi informatici. Con la sua capacità di ingannare gli attaccanti, di monitorare le loro azioni e di fornire informazioni preziose sulle loro tattiche, la Deception può essere un elemento chiave di una strategia di difesa informatica efficace.

L’utilizzo del servizio di Active Defence Deception di Secure Online Desktop, combinato con un SOC, può fornire un livello di sicurezza senza precedenti, proteggendo la rete da attacchi informatici sempre più sofisticati.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS darkreading

RSS Full Disclosure

  • SEC Consult SA-20240220-0 :: Multiple Stored Cross-Site Scripting Vulnerabilities in OpenOLAT (Frentix GmbH) Febbraio 21, 2024
    Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Feb 20SEC Consult Vulnerability Lab Security Advisory < 20240220-0 > ======================================================================= title: Multiple Stored Cross-Site Scripting Vulnerabilities product: OpenOLAT (Frentix GmbH) vulnerable version:
  • Re: Buffer Overflow in graphviz via via a crafted config6a file Febbraio 21, 2024
    Posted by Matthew Fernandez on Feb 20The fix for this ended up landing in Graphviz 10.0.1, available at https://graphviz.org/download/. Details of this CVE (CVE-2023-46045) are now published, but the CPEs are incomplete. For those who track such things, the affected range is [2.36.0, 10.0.1).
  • CVE-2024-24681: Insecure AES key in Yealink Configuration Encrypt Tool Febbraio 21, 2024
    Posted by Jeroen J.A.W. Hermans via Fulldisclosure on Feb 20CloudAware Security Advisory CVE-2024-24681: Insecure AES key in Yealink Configuration Encrypt Tool ======================================================================== Summary ======================================================================== A single, vendorwide, hardcoded AES key in the configuration tool used to encrypt provisioning documents was leaked leading to a compromise of confidentiality of provisioning documents....
  • Microsoft Windows Defender / Backdoor:JS/Relvelshe.A / Detection Mitigation Bypass Febbraio 21, 2024
    Posted by hyp3rlinx on Feb 20[+] Credits: John Page (aka hyp3rlinx) [+] Website: hyp3rlinx.altervista.org [+] Source: https://hyp3rlinx.altervista.org/advisories/Windows_Defender_Backdoor_JS.Relvelshe.A_Detection_Mitigation_Bypass.txt [+] twitter.com/hyp3rlinx [+] ISR: ApparitionSec [Vendor] www.microsoft.com [Product] Windows Defender [Vulnerability Type] Detection Mitigation Bypass Backdoor:JS/Relvelshe.A [CVE Reference] N/A [Security Issue] Back in 2022 I released a...
  • Microsoft Windows Defender / VBScript Detection Bypass Febbraio 21, 2024
    Posted by hyp3rlinx on Feb 20[+] Credits: John Page (aka hyp3rlinx) [+] Website: hyp3rlinx.altervista.org [+] Source: https://hyp3rlinx.altervista.org/advisories/MICROSOFT_WINDOWS_DEFENDER_VBSCRIPT_TROJAN_MITIGATION_BYPASS.txt [+] twitter.com/hyp3rlinx [+] ISR: ApparitionSec [Vendor] www.microsoft.com [Product] Windows Defender [Vulnerability Type] Windows Defender VBScript Detection Mitigation Bypass TrojanWin32Powessere.G [CVE Reference] N/A [Security Issue]...
  • Microsoft Windows Defender / Trojan.Win32/Powessere.G / Detection Mitigation Bypass Part 3 Febbraio 21, 2024
    Posted by hyp3rlinx on Feb 20[+] Credits: John Page (aka hyp3rlinx) [+] Website: hyp3rlinx.altervista.org [+] Source: https://hyp3rlinx.altervista.org/advisories/MICROSOFT_WINDOWS_DEFENDER_TROJAN.WIN32.POWESSERE.G_MITIGATION_BYPASS_PART_3.txt [+] twitter.com/hyp3rlinx [+] ISR: ApparitionSec [Vendor] www.microsoft.com [Product] Windows Defender [Vulnerability Type] Windows Defender Detection Mitigation Bypass TrojanWin32Powessere.G [CVE Reference] N/A [Security Issue]...
  • 44CON 2024 September 18th - 20th CFP Febbraio 15, 2024
    Posted by Florent Daigniere via Fulldisclosure on Feb 1544CON is the UK&apos;s largest combined annual Security Conference and Training event. Taking place 18,19,20 of September at the Novotel London West near Hammersmith, London. We will have a fully dedicated conference facility, including catering, private bar, amazing coffee and a daily Gin O’Clock break.         _  […]
  • SEC Consult SA-20240212-0 :: Multiple Stored Cross-Site Scripting vulnerabilities in Statamic CMS Febbraio 14, 2024
    Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Feb 13SEC Consult Vulnerability Lab Security Advisory < 20240212-0 > ======================================================================= title: Multiple Stored Cross-Site Scripting vulnerabilities product: Statamic CMS vulnerable version: =3.4.17 CVE number: CVE-2024-24570 impact: high homepage: https://statamic.com/...
  • Stored XSS and RCE - adaptcmsv3.0.3 Febbraio 14, 2024
    Posted by Andrey Stoykov on Feb 13# Exploit Title: Stored XSS and RCE - adaptcmsv3.0.3 # Date: 02/2024 # Exploit Author: Andrey Stoykov # Version: 3.0.3 # Tested on: Ubuntu 22.04 # Blog: http://msecureltd.blogspot.com *Description* - It was found that adaptcms v3.0.3 was vulnerable to stored cross site scripting - Also the application allowed the […]
  • OXAS-ADV-2023-0007: OX App Suite Security Advisory Febbraio 14, 2024
    Posted by Martin Heiland via Fulldisclosure on Feb 13Dear subscribers, We&apos;re sharing our latest advisory with you and like to thank everyone who contributed in finding and solving those vulnerabilities. Feel free to join our bug bounty programs for OX App Suite, Dovecot and PowerDNS at YesWeHack. This advisory has also been published at https://documentation.open-xchange.com/appsuite/security/advisories/html/2023/oxas-adv-2023-0007.html. […]

Customers

Newsletter

{subscription_form_2}