Decepción
Las técnicas de decepción están diseñadas para engañar a los atacantes, ralentizar su progreso, desviar su atención o exponer sus métodos. El objetivo es crear un entorno donde los atacantes revelen sus herramientas, técnicas y procedimientos (TTPs) mientras creen que están alcanzando sus objetivos.
Aspectos Clave de la Decepción:
-
Honeypots (Sistemas Trampa):
- Sistemas o archivos simulados diseñados para atraer a los atacantes.
- Imitan recursos legítimos, pero no contienen datos reales.
- Se utilizan para estudiar patrones de ataque, recopilar inteligencia y distraer a los atacantes.
-
Honeynets (Redes Trampa):
- Conjuntos de honeypots que simulan un entorno completo.
- Son útiles para observar ataques coordinados o técnicas de explotación más avanzadas.
-
Sistemas Señuelo:
- Sistemas o servicios falsos dentro de la red, como bases de datos, servidores web o servidores de aplicaciones ficticios.
- Diseñados para desviar a los atacantes de los activos reales.
-
Credenciales Engañosas:
- Credenciales falsas colocadas deliberadamente en ubicaciones accesibles (por ejemplo, archivos o memoria) para atraer a los atacantes hacia sistemas señuelo.
-
Respuestas Engañosas:
- Respuestas automatizadas diseñadas para confundir a los atacantes durante sus intentos de reconocimiento o explotación.
Beneficios de la Decepción:
- Detección Temprana: Alerta a los defensores cuando los atacantes interactúan con los señuelos.
- Recopilación de Inteligencia: Ofrece información sobre las herramientas, técnicas y motivos del atacante.
- Mitigación de Riesgos: Reduce la exposición de los sistemas reales mientras los atacantes se centran en los señuelos.
- Interrupción del Ataque: Desperdicia tiempo y recursos de los atacantes.
Disrupción
Las técnicas de disrupción buscan interrumpir o detener un ataque en curso para minimizar daños y mitigar riesgos. Estas acciones son defensivas y están dirigidas a impedir que los atacantes logren sus objetivos.
Aspectos Clave de la Disrupción:
-
Segmentación de la Red:
- Aísla sistemas o segmentos comprometidos para prevenir movimientos laterales.
- Se implementa utilizando VLANs, firewalls y listas de control de acceso (ACL).
-
Filtrado de Tráfico:
- Bloquea tráfico malicioso mediante sistemas de prevención de intrusiones (IPS) o firewalls.
- Puede basarse en firmas específicas o en detección de anomalías.
-
Mitigación de DDoS:
- Incluye técnicas como limitación de velocidad, bloqueo de IPs y el uso de redes de entrega de contenido (CDN) para manejar ataques de Denegación de Servicio Distribuido (DDoS).
-
Implementación de Kill Switch:
- Detiene servicios, procesos o comunicaciones específicos para neutralizar amenazas (por ejemplo, detener procesos de cifrado de ransomware).
-
Terminación de Sesiones:
- Finaliza sesiones no autorizadas o conexiones sospechosas para prevenir explotación adicional.
-
Aplicación de Parches en Tiempo Real:
- Despliegue rápido de parches o soluciones temporales para abordar vulnerabilidades conocidas que estén siendo explotadas.
-
Sistemas de Respuesta Activa:
- Herramientas como EDR (Endpoint Detection and Response) y NDR (Network Detection and Response) identifican y neutralizan amenazas en tiempo real.
Decepción y Disrupción en la Práctica
-
Integración en una Arquitectura de Confianza Cero:
- Estas técnicas se alinean con los principios de Confianza Cero, verificando cada interacción y asumiendo que no existe confianza dentro de la red.
-
Rol en la Respuesta a Incidentes:
- La decepción contribuye a la inteligencia de amenazas, mientras que la disrupción se enfoca en la contención y erradicación.
-
Ejemplos en Acción:
- Utilizar un honeypot para atraer a un operador de ransomware, recopilar información sobre sus actividades y emplear tácticas de disrupción, como aislar el sistema infectado.
Estas técnicas son componentes esenciales de una estrategia de defensa en profundidad y fortalecen la capacidad de una organización para resistir amenazas avanzadas y otros ciberataques.
