Con l’espressione Threat Deception si intende il sistema di sicurezza che agisce partendo dal punto di vista di un hacker, studiandone le modalità di attacco per riprodurre dei veri e propri sistemi trappola appositamente creati al fine di adescarlo su di essi, cosi’ da renderne piu’ immediata l’individuazione e il blocco.
La Deception Technology è una categoria emergente di cybersecurity. Nel 2016, Lawrence Pingree, all’epoca VP di Gartner e membro del Gartner Blog Network, scriveva sul blog, a questo proposito: «…I called out that there’s a broad-based opportunity for providers of prevention and detection technologies to apply the principles of deception into their products. Several providers are now using and building deception capabilities into their products, and we expect this to continue.».
Un pò di storia.
Negli anni ’90 la Deception Technology nasce come uno strumento finalizzato ad analizzare le modalità con cui avviene un attacco informatico e a raccogliere un certo numero di informazioni. Nel corso degli anni, un ristretto gruppo di compagnie informatiche ha saputo percepire le potenzialità di questo meccanismo e ha portato la Deception Technology a un livello superiore, dando vita ad un vero e proprio strumento di sicurezza, proattivo e avanzato: il sistema automatizza la creazione di traps (esche), comunemente note anche con il termine “honeypot” che emulano stampanti, workstation, server e altre tecnologie, utilizzando sia software con licenza reale che accurate simulazioni, difficilmente riconoscibili e che si integrano alle risorse IT già esistenti, rendendo difficoltosa la distinzione delle une dalle altre anche all’occhio esperto dell’aggressore. Il malintenzionato cerca di introdursi nella rete attraverso questi honeypot, o “strumenti-esca”, mentre il sistema di sicurezza procede ad un’analisi del malware e attiva l’allarme.
I suoi due maggiori vantaggi possono essere così sintetizzati:
- in primo luogo, questa tecnologia è in grado di individuare e bloccare l’attività criminosa praticamente in tempo reale, proteggendo i devices contro il cosiddetto 0-day Exploit e fornendo quelle informazioni sulle dinamiche di attacco che avvengono all’interno di una rete, che restano invece invisibili ad altri strumenti di sicurezza informatica;
- in secondo luogo, gli allarmi attivati da questo sistema hanno sempre un alto grado di probabilità (vale a dire che raramente si rivelano immotivati), a differenza, ad esempio, di quanto accade con altri sistemi di difesa, come i firewall o gli end-point security che, in talune circostanze, generano una enorme quantità di alerts, non sempre giustificati: immaginiamo quante grane questo procuri ad aziende con centinaia di devices attivi che non possono essere tutti verificati in tempo reale dai team di sicurezza. Secondo alcuni ricercatori, la Deception Technology, invece, attiverebbe gli allarmi addirittura in base ad un processo binario: la probabilità di veridicità degli allarmi è ridotta a due valori, 0% e 100%.
Che la Deception Technology avesse tutti i requisiti per diventare uno dei principali strumenti di sicurezza informatica già dalla sua prima elaborazione, lo avevano già capito gli esperti di Gartner, che nel 2016 avevano previsto quanto rapidamente sarebbe diventato uno strumento indispensabile per le aziende; nello stesso anno la Market Research Media aveva anche previsto che il valore di mercato di questa nuova tecnologia sarebbe cresciuto del 19% negli anni compresi tra il 2017 e il 2022 e che a partire dal 2018 sarebbe cresciuto al 10% il numero delle aziende dotate di questa nuova tecnologia.
Per concludere, sebbene sia universalmente condiviso che un sistema di sicurezza inattaccabile non esiste, la Deception Technology, almeno stando ai suoi più ferventi estimatori, è ciò che, allo stato attuale, ci si avvicina di più, nonostante fino ad oggi abbia ricevuto meno attenzioni di altri sistemi di sicurezza.
Per avere maggiori informazioni su questa tecnologia contatta Core Sistemi cliccando qui.
Potremmo riassumere questa considerazione ancora una volta con le parole di Lawrence Pingree: «Is deception a panacea? Absolutely not, but it is a far far underutilized technique that can provide serious security advantages against attackers, especially for those that are more advanced. […] some organizations don’t properly appreciate that deception techniques can be used in their security program to thwart attackers just as much as detect them. This should change, and I think this movement has already begun».