Să spun că asigurarea securității cibernetice înseamnă o amestecătură de soluții tehnice și procese care diferă de la caz la caz și care costă, este un truism. Să spun că piața este plină de soluții comerciale și open-source din care pare dificil de ales, iarăși este un truism.

În mod tradițional, scopul principal al unui honeypot (borcan cu miere) este de a atrage un atacator departe de rețeaua adevărată a organizației și de a aduna informații despre el și despre acțiunile sale (amenințările pe care le reprezintă). Din acest motiv sînt proiectate și instalate (sau cel puțin așa ar trebui) în mod izolat de rețeaua reală pe care intenționează să o protejeze: par să conțină informații sau resurse de valoare pentru atacator pentru a-l atrage și a-i menține interesul către și în interiorul rețelei și nu către și în interiorul activelor reale ale rețelei. Chiar dacă în timp s-a dovedit că ”cine-i meseriaș” se prinde că ”a băgat mîna în borcanul cu miere” și că sînt ușor de ocolit, pun aici o listă cu astfel de tehnologii.

”Decoy systems”/”deception systems” (sistemele de momit – cine pescuiește știe ce este acela un ”momitor” sau ”momîie” de exemplu) sînt încorporate în rețeaua adevărată/producție. Chiar dacă pot captura, de asemenea, unele informații despre atacatori (dar mai puțin decât o face un honeypot), nu acesta este scopul lor principal ci acela de a ascunde adevăratele active ale rețelei, de a deruta atacatorul cu privire la adevărata topologie a rețelei și de a ridica alerte cu privire la atac (trimite de exemplu informații către SIEM sau IDS)

”Momeala” crește probabilitatea ca un atacator să interacționeze cu un activ fals și, prin urmare, să declanșeze o alertă. Momeliile pot fi, de asemenea, folosite pentru a face o rețea omogenă să pară mai eterogenă, făcând astfel suprafața de atac reală mult mai puțin evidentă. De exemplu, dacă rețeaua de protejat are doar servere care rulează Windows Server xxxx, momelile pot fi configurate cu mai multe servere Windows Server xxxx și alte verisiuni și un număr mai mare de mașini client (există soluții comerciale care emulează inclusiv sisteme SCADA). Ca rezultat, nu numai că va crește cantitatea de active pe care atacatorii trebuie să o ia în considerare, ci și numărul de diferite tipuri de potențiali vectori de atac de care atacatorii cred că pot profita (recunoașterea, culegerea de informații se complică/durează)

Profesioniștii s-au întrebat pe bună dreptate cît sînt de eficiente ”deception systems” în practică?

În 2019 a fost prezentat pentru prima dată la o conferință un studiu (Tularosa Study: An Experimental Design and Implementation to Quantify the Effectiveness of Cyber Deception – Kimberly Ferguson-Walter,Temmie Shade, Andrew Rogers U.S.Department of Defense) care a presupus:

• 138 de pentesteri profesioniști („red-teamers”)
• exercițiu de testare de penetrare de o zi întreagă într-o rețea de testare
• Kali Linux furnizat „pentru a fi utilizat pentru recunoaștere și exploatarea sistemului”
• 25 de mașini Windows, 25 de mașini Linux reale, dublate cu ”momeli” în cadrul testului.

Concluzia principală s studiului în condițiile utilizării sistemelor ”momeală” pe lîngă sistemele reale:

Fiecare participant a declanșat o alertă pe o ”mașină momeală” înainte de a exploata o mașină reală!

Consider Deception as an effective first step into security detection, deception should be a consideration, fast to deploy and with an extremely low false- positive rate, it is an excellent first step into security monitoring. – Gartner