Con Deception, le aziende possono analizzare le loro misure di sicurezza esistenti. Il produttore di inganni CyberTrap spiega come funziona la tecnologia, quali potenzialità offre e come i rivenditori e le system house possono fare affari con essa.
Quando si tratta di innovazioni nella sicurezza IT, gli Stati Uniti e Israele sono di solito in testa. I produttori di soluzioni che lavorano con la tecnologia Deception provengono anche in gran parte dall'America, come Trap X, Shape Security e Fidelis.
Non ci sono ancora molti produttori che si affidano completamente a Deception, come Attivo e Illusive. Invece, offrono soluzioni individuali che utilizzano le funzioni di Deception. Esempi sono Fortinet con il Forti Deceptor e Rapid7 con InsightIDR.
Con l'aiuto di Deception, i produttori dirigono i cyber-attaccanti specificamente nelle infrastrutture IT create per questo scopo. E questo viene fatto prima che gli aggressori possano penetrare nell'infrastruttura reale dell'azienda. I criminali informatici incontrano l'esca lanciata, che sembra un bene reale, e poi atterrano in un ambiente fittizio. Lì, i team di sicurezza possono osservare gli aggressori per analizzare i loro metodi.
In Germania, la domanda è ancora bassa, ed è per questo che i fornitori stanno cercando partner di distribuzione. Anche il produttore austriaco CyberTrap vuole decollare sul mercato DACH con l'omonima soluzione Deception.
Franz Weber, Managing Director e CEO di CyberTrap
Il produttore viennese è stato fondato nel 2015 come spin-off del consulente di gestione SEC Consult e da allora si è dedicato a ingannare i cyber attaccanti. Nel frattempo, nove rivenditori dall'Europa, tra cui il distributore Exclusive Networks, e un rivenditore dall'India fanno parte del programma partner.
Il programma è diviso in tre livelli Authorised, Silver e Gold. Il produttore recluta nuovi partner con basse barriere d'ingresso e condivisione dei ricavi. Inoltre, CyberTrap premia i lead che portano a un ordine. Questo è particolarmente interessante per i consulenti e i fornitori di servizi che non affrontano il business delle licenze.
Il produttore offre anche ai suoi partner corsi di formazione, versioni demo, eventi congiunti e supporto marketing.
Un vantaggio particolare, secondo Franz Weber, amministratore delegato e CEO di CyberTrap, è che l'inganno è ancora un argomento di sicurezza nuovo e poco conosciuto. Secondo lui, i rivenditori possono ancora occupare segmenti di mercato qui e incontrare poca concorrenza nel settore delle PMI.
La strategia honeypot è considerata una delle più antiche misure di protezione nel campo della sicurezza informatica. Questo perché più di 25 anni fa, le aziende non solo volevano proteggere i loro dati, ma anche catturare i cyber criminali per essere in grado di prevenire attacchi futuri.
Utilizzando le honeypots come trappole, le soluzioni attirano i cyber attaccanti su una falsa pista. Le honeypots sono computer autonomi o sistemi di computer che emulano obiettivi di attacchi informatici. Per far sì che gli aggressori si interessino al potenziale bottino, per esempio dati di clienti o banche, password, informazioni economiche, i produttori spesso configurano vulnerabilità note nell'honeypot come un obiettivo allettante e facile da craccare.
Fino a qualche tempo fa, le honeypots erano all'avanguardia per attirare gli aggressori nelle trappole. Ma secondo CyberTrap, le honeypots non sono più all'avanguardia. Le Honeypots sono molto statiche e coprono solo ciò che può essere fisicamente installato nella rete. Deception, d'altra parte, copre significativamente più vettori di attacco e identifica gli attaccanti entro tre o quattro passi laterali.
CyberTrap Pro e CyberTrap Enterprise
CyberTrap è una soluzione SaaS multi-tenant per aziende di tutte le dimensioni. Completa l'infrastruttura IT esistente con sistemi aggiuntivi che servono esclusivamente come trappole per gli attaccanti informatici. Sulle trappole, l'agente di monitoraggio permette un'analisi dettagliata per analizzare le tecniche e le tattiche degli attaccanti. Tramite RestAPI, tutte le informazioni e i dati possono fluire nei rispettivi strumenti di analisi dei partner.
Per soddisfare le diverse esigenze delle grandi aziende e delle PMI, il produttore ha sviluppato due diverse versioni della soluzione Deception: Enterprise e Pro.
Con Enterprise, i partner ottengono la funzionalità completa della tecnologia Deception. Per workshop di progettazione, CyberTrap adatta le esche al paesaggio IT del cliente finale. Al contrario, la versione Pro è adattata alle piccole e medie imprese. Qui, non tutte le funzioni sono necessarie, quindi i Deception Services sono limitati agli ascoltatori di porte RDP, SSH, SMB e TCP.
Gli abbonati hanno bisogno di porte per comunicare sulle reti IP. Quando un'applicazione fornisce un servizio in una rete, apre una porta per esso. Questa porta va nello stato "listen", cioè ascolta e aspetta i tentativi di connessione.
Deception fornisce dati forensi sull'attaccante in tempo reale. I dati non devono essere determinati a costo zero dopo un incidente.
Carsten Keil, direttore delle vendite di CyberTrap
Con l'aiuto della tecnologia, le aziende possono comprendere meglio il comportamento dei cyber attaccanti. "Come 'low-hanging-fruit', gli attaccanti interni considerano le esche bersagli facili e prendono il percorso di minor resistenza. Ne approfittiamo non chiudendo tutte le porte a chiave", dice Timo Bertsch, consulente di sicurezza IT presso il fornitore di servizi gestiti e partner di CyberTrap Twinsec.
Per attirare gli aggressori nelle trappole, le esche vengono srotolate sui sistemi della rete produttiva, gli endpoint. Le trappole sono sistemi reali e autentici, non simulazioni o emulazioni. I criminali informatici non possono fare alcun danno qui, poiché trovano solo dati tipici del sistema, ma falsificati come password e informazioni sui servizi. "Per raggiungere il massimo livello di sicurezza, si consiglia di distribuire diverse esche su tutti gli endpoint, abbinando le circostanze nei diversi dipartimenti", aggiunge Weber.
CyberTrap distingue anche tra inganno di endpoint, applicazioni web e active directory. Tutte e tre le tecniche hanno in comune il fatto che vogliono distrarre il cyber attaccante dai servizi produttivi e attirarlo sui server ingannevolmente simili.
In Active Directory Deception, la soluzione inganna l'attaccante facendogli credere che un utente con diritti speciali per l'amministrazione IT centrale sia su un sistema. Questo rende il sistema un bersaglio allettante per il criminale.
Endpoint Deception raggruppa diversi servizi come l'accesso remoto, i database, l'archiviazione dei dati o l'autenticazione e li usa per ingannare.
E Web Application Deception è offerto da CyberTrap per monitorare le presenze su Internet o le applicazioni web per attività criminali. L'ambiente produttivo è dotato di esche che reindirizzano l'attaccante informatico a un sistema di trappola.
Inoltre, il produttore offre un inganno per i documenti con il servizio TrackDown. Questi sono dei veri e propri PDF o MS Office. Questi sono dotati di un beacon e memorizzati sui dispositivi finali. Non appena questi documenti lasciano l'azienda e il ladro li apre, l'azienda riceve un allarme e le informazioni sul furto e il tipo di decrittazione nel dashboard.
Nel suo senso originale, un radiofaro è una stazione radio che emette onde radio a scopo di navigazione, che possono essere utilizzate per determinare le posizioni. Nell'informatica, i beacon possono essere piccoli trasmettitori Bluetooth, messaggi di stato in una WLAN o pixel di tracciamento in un messaggio o su un sito web. I beacon contengono pacchetti con informazioni su, per esempio, il nome della rete, la velocità di trasmissione e il tipo di crittografia utilizzato.
Informazioni più dettagliate sui possibili usi di un beacon possono essere trovate qui.
Lo sforzo di installazione della versione Pro è inferiore e il numero di dispositivi finali che possono essere dotati di beacon è limitato a 900. Allo stesso modo, le funzioni aziendali come la connessione dei sistemi SIEM sono omesse, dato che queste di solito non sono utilizzate nelle aziende più piccole. "La versione Pro è ideale per le PMI, in quanto possono raggiungere un nuovo livello di sicurezza grazie alle nostre condizioni economiche", dice Carsten Keil, direttore commerciale di CyberTrap.
Per queste piccole aziende o società che non hanno un Security Operations Centre (SOC), poco know-how sulla sicurezza o quasi nessuno staff IT, i Managed Security Services (MSS) giocano un ruolo essenziale. CyberTrap pone quindi un'attenzione particolare ai servizi gestiti con Deception.
I partner possono diventare attivi qui come consulenti nella progettazione dell'ambiente Deception. Inoltre, si occupano del funzionamento della soluzione presso i clienti finali e dell'analisi degli allarmi.
"Stiamo cercando partner nel canale che offrono ai loro clienti servizi gestiti e vogliono includere Deception come un altro elemento del loro portafoglio di sicurezza", dice Weber.
La system house austriaca Anovis utilizza già la soluzione CyberTrap come supplemento ai servizi gestiti per la sicurezza delle infrastrutture IT e come soluzione stand-alone. Secondo Gerhard Iby, responsabile delle vendite di Anovis, questo si traduce rapidamente in "un valore aggiunto tangibile in termini di visibilità e velocità di rilevamento degli attacchi informatici".
Ma come si distingue la soluzione dalla concorrenza Attivo o Illusive, secondo la sua stessa presentazione? "Per prima cosa, siamo un produttore europeo e ci concentriamo sul mercato DACH e sull'Europa, a differenza delle aziende americane e israeliane", sostiene Weber. "Il nostro personale di supporto e gli sviluppatori parlano tedesco e inglese. Inoltre, le nostre esche funzionano completamente senza agenti e non abbiamo bisogno di diritti di amministrazione per collocarle nel paesaggio informatico"."
Se le aziende vogliono utilizzare una soluzione Deception, non devono buttare nella spazzatura tutti gli altri prodotti che hanno comprato per un sacco di soldi. "La nostra filosofia di base è che Deception integra e non sostituisce altre soluzioni", dice Keil.
Come complemento a Endpoint Detection and Response (EDR) o Extended Detection and Response (XDR), Deception è molto adatto, secondo Weber. "Mentre EDR e XDR di solito hanno come obiettivo il rilevamento o la difesa, Deception offre la possibilità complementare di analizzare l'attacco e determinare l'attaccante. Le intuizioni acquisite da questo possono poi essere utilizzate in altre soluzioni di sicurezza."
Anche Bertsch è d'accordo: "L'EDR si adatta bene alla tecnologia Deception ed è spesso un progetto sulla strada del SIEM. Deception permette di trovare gli aggressori nella rete fin dall'inizio e può essere collegato come fonte di dati altamente ponderata per un SIEM una volta che la configurazione è completa."
CyberTrap sta anche sviluppando costantemente la propria soluzione. Attualmente, il produttore sta lavorando alla versione 3, che automatizzerà l'analisi dei metodi dei cyber attaccanti. "Gli attacchi vengono analizzati, classificati e aggregati in termini di aggressori, fasi di attacco, tattiche e tecniche", spiega Weber. "Questo riduce lo sforzo per l'analista. Inoltre, vengono aggiunti altri servizi, per esempio dall'area OT."
La versione SaaS che sarà presto disponibile dovrebbe permettere ai partner di collegare rapidamente i loro clienti alla piattaforma Deception di CyberTrap e integrarla nel loro portafoglio di servizi.
Insieme all'associazione tecnica VGB, CyberTrap ha già sviluppato una soluzione per l'area OT (Operational Technology) e la presenterà alla "VGB Conference Digitalization in Hydropower".