deception technology Piergiorgio Venuti

Deception: Ingannare gli Hacker per Proteggere la Tua Rete

Estimated reading time: 4 minuti

Deception: Confronto con gli Hacker sul Loro Terreno

“Ripaghiamo gli hacker con la loro stessa moneta utilizzando le stesse difese e tecniche che i malware utilizzano contro i sistemi informatici modellando il processo decisionale degli aggressori.”

Introduzione alla Deception

La Deception è un approccio di sicurezza informatica proattivo che utilizza trappole o esche (decoy) per ingannare gli attaccanti, spingendoli a rivelare la loro presenza. Trasformando il sistema informatico in un campo minato di trappole digitali, la Deception sconvolge il processo decisionale degli aggressori, mettendo in luce le loro tattiche, tecniche e procedure.

Uno dei principali fornitori di servizi di Deception è Secure Online Desktop. Questa azienda offre una soluzione di Active Defence Deception che fornisce una rete di inganno di alta interattività, progettata per ingannare e rilevare gli attaccanti.

Il Servizio Active Defence Deception di Secure Online Desktop

Il servizio di Active Defence Deception di Secure Online Desktop crea un ambiente di rete simulato che inganna gli attaccanti facendoli credere di aver violato un sistema. Questo ambiente è costituito da una varietà di “esche” digitali o “decoy” che simulano i sistemi informatici reali.

La soluzione di Secure Online Desktop utilizza anche tecniche di inganno avanzate come l’uso di credenziali false per attirare gli attaccanti verso le trappole. Inoltre, il servizio monitora continuamente l’ambiente di rete per rilevare qualsiasi attività sospetta o anomala. Quando un attacco viene rilevato, il sistema invia un allarme in tempo reale, fornendo dettagli sull’attaccante e sulle sue tattiche.

Deception nella Killchain: Un Approccio Basato sul MITRE Framework

La Deception può essere integrata in ogni fase della killchain, come descritto nel MITRE ATT&CK Framework.

Innanzitutto, nella fase di “Reconnaissance”, le trappole di Deception possono fornire informazioni false agli attaccanti, confondendo le loro ricerche preliminari. In seguito, durante la fase di “Weaponization” e “Delivery”, le trappole possono simulare vulnerabilità apparenti per attirare gli attaccanti.

Nella fase di “Exploitation” e “Installation”, l’attaccante, pensando di aver avuto successo, potrebbe cercare di installare malware o effettuare altre azioni dannose, rivelando ulteriormente le sue intenzioni e tattiche. Infine, durante le fasi di “Command & Control” e “Actions on Objectives”, l’inganno può continuare a monitorare l’attività dell’attaccante, fornendo informazioni preziose per prevenire futuri attacchi.

Casi Pratici di Successo della Deception

La Deception ha dimostrato di essere efficace in vari scenari reali. Ecco alcuni esempi:

  1. TrapX Security ↗: TrapX ha utilizzato la Deception per fermare un attacco di ransomware in un ospedale. Gli attaccanti erano stati ingannati dalle trappole digitali, permettendo al team di sicurezza di isolare e neutralizzare la minaccia.
  2. Illusive Networks ↗: Illusive ha utilizzato la Deception per aiutare un’organizzazione bancaria a prevenire un furto di dati. Gli attaccanti avevano tentato di accedere a credenziali false, rivelando la loro presenza e permettendo al team di sicurezza di bloccare l’attacco.
  3. Acalvio ↗: Acalvio ha utilizzato la Deception per bloccare un attacco di spear phishing in un’organizzazione di energia. Le trappole digitali hanno ingannato gli attaccanti, permettendo al team di sicurezza di identificare e fermare l’attacco.

L’Integrazione della Deception con i Servizi SOC

Il servizio di Active Defence Deceptiondella Secure Online Desktop può essere combinato con i servizi di un Security Operations Center (SOC) per aumentare ulteriormente la sicurezza della rete. Un SOC fornisce un team di esperti di sicurezza che monitora costantemente la rete per rilevare e rispondere a eventuali minacce.

L’integrazione della Deception con un SOC consente di combinare le informazioni raccolte dalle trappole digitali con altre fonti di dati di sicurezza per fornire una visione più completa dell’attività di rete. Inoltre, le informazioni raccolte dalla Deception possono essere utilizzate per migliorare le capacità di rilevamento e risposta del SOC.

Ad esempio, se una trappola rileva un attacco, il SOC può rapidamente isolare la parte della rete interessata e prendere misure per neutralizzare la minaccia. Allo stesso tempo, le informazioni sull’attacco possono essere utilizzate per aggiornare le firme di rilevamento del SOC e migliorare la sua capacità di rilevare attacchi simili in futuro.

Conclusione

La Deception rappresenta un passo avanti nella lotta contro gli attacchi informatici. Con la sua capacità di ingannare gli attaccanti, di monitorare le loro azioni e di fornire informazioni preziose sulle loro tattiche, la Deception può essere un elemento chiave di una strategia di difesa informatica efficace.

L’utilizzo del servizio di Active Defence Deception di Secure Online Desktop, combinato con un SOC, può fornire un livello di sicurezza senza precedenti, proteggendo la rete da attacchi informatici sempre più sofisticati.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS darkreading

RSS Full Disclosure

  • 4 vulnerabilities in ibmsecurity Novembre 3, 2024
    Posted by Pierre Kim on Nov 03## Advisory Information Title: 4 vulnerabilities in ibmsecurity Advisory URL: https://pierrekim.github.io/advisories/2024-ibmsecurity.txt Blog URL: https://pierrekim.github.io/blog/2024-11-01-ibmsecurity-4-vulnerabilities.html Date published: 2024-11-01 Vendors contacted: IBM Release mode: Released CVE: CVE-2024-31871, CVE-2024-31872, CVE-2024-31873, CVE-2024-31874 ## Product description ## Vulnerability Summary Vulnerable versions:...
  • 32 vulnerabilities in IBM Security Verify Access Novembre 3, 2024
    Posted by Pierre Kim on Nov 03## Advisory Information Title: 32 vulnerabilities in IBM Security Verify Access Advisory URL: https://pierrekim.github.io/advisories/2024-ibm-security-verify-access.txt Blog URL: https://pierrekim.github.io/blog/2024-11-01-ibm-security-verify-access-32-vulnerabilities.html Date published: 2024-11-01 Vendors contacted: IBM Release mode: Released CVE: CVE-2022-2068, CVE-2023-30997, CVE-2023-30998, CVE-2023-31001, CVE-2023-31004, CVE-2023-31005,...
  • xlibre Xnest security advisory & bugfix releases Ottobre 31, 2024
    Posted by Enrico Weigelt, metux IT consult on Oct 31XLibre project security advisory --------------------------------- As Xlibre Xnest is based on Xorg, it is affected by some security issues which recently became known in Xorg: CVE-2024-9632: can be triggered by providing a modified bitmap to the X.Org server. CVE-2024-9632: Heap-based buffer overflow privilege escalation in _XkbSetCompatMap […]
  • APPLE-SA-10-29-2024-1 Safari 18.1 Ottobre 31, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 31APPLE-SA-10-29-2024-1 Safari 18.1 Safari 18.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121571. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. Safari Downloads Available for: macOS Ventura and macOS Sonoma Impact: An […]
  • SEC Consult SA-20241030-0 :: Query Filter Injection in Ping Identity PingIDM (formerly known as ForgeRock Identity Management) (CVE-2024-23600) Ottobre 31, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Oct 31SEC Consult Vulnerability Lab Security Advisory < 20241030-0 > ======================================================================= title: Query Filter Injection product: Ping Identity PingIDM (formerly known as ForgeRock Identity Management) vulnerable version: v7.0.0 - v7.5.0 (and older unsupported versions) fixed version: various patches; v8.0 CVE number:...
  • SEC Consult SA-20241023-0 :: Authenticated Remote Code Execution in Multiple Xerox printers (CVE-2024-6333) Ottobre 29, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Oct 28SEC Consult Vulnerability Lab Security Advisory < 20241023-0 > ======================================================================= title: Authenticated Remote Code Execution product: Multiple Xerox printers (EC80xx, AltaLink, VersaLink, WorkCentre)  vulnerable version: see vulnerable versions below fixed version: see solution section below CVE number: CVE-2024-6333...
  • APPLE-SA-10-28-2024-8 visionOS 2.1 Ottobre 29, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 28APPLE-SA-10-28-2024-8 visionOS 2.1 visionOS 2.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121566. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. App Support Available for: Apple Vision Pro Impact: A malicious app […]
  • APPLE-SA-10-28-2024-7 tvOS 18.1 Ottobre 29, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 28APPLE-SA-10-28-2024-7 tvOS 18.1 tvOS 18.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121569. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. App Support Available for: Apple TV HD and Apple TV 4K […]
  • APPLE-SA-10-28-2024-6 watchOS 11.1 Ottobre 29, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 28APPLE-SA-10-28-2024-6 watchOS 11.1 watchOS 11.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121565. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. Accessibility Available for: Apple Watch Series 6 and later Impact: An […]
  • APPLE-SA-10-28-2024-5 macOS Ventura 13.7.1 Ottobre 29, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 28APPLE-SA-10-28-2024-5 macOS Ventura 13.7.1 macOS Ventura 13.7.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121568. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. App Support Available for: macOS Ventura Impact: A malicious […]

Customers

Newsletter

{subscription_form_2}