Uma estratégia de segurança defensiva testada e comprovada, a fraude cibernética planta deliberadamente iscas para detectar e analisar atividades maliciosas em um ambiente de TI. Isso pode incluir servidores ou controladores de domínio falsos, bancos de dados com registros fabricados, credenciais plantadas ou até mesmo compartilhamentos de arquivos com dados falsos.
Eles são projetados para parecerem perfeitamente legítimos, mas como não desempenham nenhuma função comercial, qualquer interação com eles é, por definição, suspeita.
Diretor Técnico de Garantia de Segurança Cibernética da Six Degrees.
Historicamente, as táticas de fraude cibernética tendiam a ser estáticas e isoladas, baseadas em honeypots e hosts secretos colocados em redes para atrair invasores.
O artigo continua abaixo
Recentemente, no entanto, a ênfase e a sofisticação mudaram significativamente, passando de configurações de armadilhas experimentais para capacidades estruturadas, automatizadas e integradas na empresa.
Como tal, os objetivos gerais mudaram, concentrando-se menos nos atacantes e na criação de uma visibilidade antecipada e confiante do comportamento do adversário.
Como é a fraude cibernética moderna?
Então, como isso se encaixa em uma estratégia de segurança hoje? Em termos gerais, as plataformas de fraude atuais, disponíveis em vários fornecedores comerciais, automatizam a implantação e o gerenciamento de iscas confiáveis e integram-se às ferramentas de segurança existentes.
Esses sistemas não reproduzem apenas a aparência; eles imitam o comportamento de maneira confiável, simulando serviços ativos como RDP, SSH ou aplicativos da web.
Os sistemas mais avançados vão ainda mais longe, criando padrões falsos de atividade do usuário, tráfego de rede e respostas de serviço para aumentar a credibilidade. Além disso, os processos associados de monitoramento e análise são integrados e alimentados diretamente nos fluxos de trabalho SIEM, EDR ou MDR para correlacionar a atividade com outras telemetrias de segurança.
Quaisquer alertas gerados são projetados para serem altamente confiáveis por padrão, porque os usuários legítimos não devem ter motivos para interagir com ativos falsos. Para as organizações que seguem esse caminho, elas obtêm não apenas um ambiente paralelo de pesquisa de segurança, mas também uma camada de geração de inteligência incorporada em sua infraestrutura real.
Entendendo seu verdadeiro valor
Tolerar ou não a fraude cibernética é uma questão importante, e respondê-la requer entender onde ela se encaixa na pilha de segurança.
Muitos controles de segurança tradicionais acionam alertas ou respostas somente quando atividades maliciosas são expostas, como escalonamento de privilégios ou vazamento de dados, entre muitos outros sinais de alerta.
Nesse ponto, entretanto, um invasor já pode estar estabelecido dentro dos limites da rede. Em vez disso, o papel do engano é uma atividade potencialmente prejudicial que pode ser identificada mais cedo no ciclo de vida do ataque, particularmente nas tentativas de validar conhecimentos e credenciais.
A visão resultante pode ser muito detalhada, e o monitoramento de quais iscas são acessadas revela quais serviços ou sistemas são de interesse, enquanto as tentativas de usar credenciais plantadas podem destacar quais contas ou níveis de privilégio estão sendo visados.
O engano eficaz também pode identificar padrões comportamentais que podem ajudar a distinguir a varredura oportunista das tentativas de intrusão deliberadas e direcionadas. Em termos básicos, desperdiça tempo e recursos que os adversários prefeririam gastar em atividades reais de violação.
Estabelecendo as bases certas
A fraude cibernética eficaz não envolve apenas a integração de uma plataforma ou serviço à sua infraestrutura de segurança existente. Desde o início, deve ser visto como um controlo adicional e não como um substituto para uma higiene de segurança básica e uma forte disciplina de configuração.
Por exemplo, se os chamarizes não forem relevantes para o ambiente, correm o risco de parecer artificiais e de reduzir a credibilidade. Por outro lado, se espelharem demasiado a infra-estrutura real, existe o risco de revelar inadvertidamente informações úteis sobre a arquitectura ou convenções de nomenclatura.
A integração de telemetria e alertas de fraude em fluxos de trabalho SOC e caminhos de escalonamento é essencial; caso contrário, a fraude corre o risco de se tornar outra fonte de dados isolada.
Junte todos estes desafios e, como acontece com qualquer capacidade de detecção, o sucesso depende menos da tecnologia em si e mais da capacidade da organização de agir de acordo com o que ela revela.
As organizações interessadas em seguir o caminho da fraude cibernética devem basear os seus esforços num plano estruturado. Isto deve começar com uma avaliação honesta da maturidade de segurança da organização, incluindo capacidade de monitoramento, processos de resposta a incidentes e capacidade de analista.
As principais questões a serem consideradas no processo de campo devem ser:
- Qual é o principal objetivo da propagação do engano? É a detecção precoce, a melhoria da inteligência contra ameaças, o atraso do invasor ou uma combinação desses resultados?
- Os controles básicos, como gerenciamento de patches e governança de identidade, estão funcionando de maneira eficaz antes que o engano seja aplicado em camadas?
- Como os alertas de fraude se alinharão aos processos SOC existentes e os manuais e caminhos de escalonamento serão definidos antecipadamente?
- Como será integrada a telemetria antifraude nas plataformas SIEM, EDR ou MDR para evitar a criação de silos de monitorização paralela?
- Quem será responsável por ajustar e revisar resultados fraudulentos? Isso será feito internamente ou por meio de um provedor de segurança gerenciado?
- A fraude é tratada como uma capacidade de médio a longo prazo que se desenvolve juntamente com uma maturidade de segurança mais ampla, e não como uma compra única de tecnologia?
Como disse recentemente o NCSC, a fraude cibernética “não é plug-and-play” e “sem uma estratégia clara, as organizações correm o risco de implementar ferramentas que criam mais ruído do que visão”. Mas, apesar dos desafios, permanece um “caso convincente para o aumento do uso da fraude cibernética”.
Em última análise, as organizações que acertarem, sem dúvida, colocar-se-ão numa boa posição para melhorar a sua postura geral de segurança.
Apresentamos o melhor curso online de segurança cibernética.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
