Deception technology

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca

La Deception technology è una nuova categoria di sicurezza informatica specializzata nella difesa da attacchi avanzati.

È una tecnologia basata sul tentativo di inganno degli attaccanti, per mezzo di prodotti precisi, automatizzati e che forniscono informazioni dettagliate sulle attività dannose svolte all'interno delle reti interne che, da altri mezzi di difesa, potrebbero non essere rilevate.

I prodotti della deception technology sono in grado di rilevare, analizzare e quindi di neutralizzare attacchi come gli zero-day in tempo reale.

Differenze con le tecnologie esistenti[modifica | modifica wikitesto]

Le tecnologie esistenti di difesa cercano di sorvegliare un perimetro che, nonostante il continuo miglioramento di firewalls e di end-points, risulta essere molto difficile difendere con una totale sicurezza. Può succedere quindi che un aggressore penetri nella rete e che vi si aggiri per mesi raccogliendo informazioni e dati sensibili. L'euristica odierna è in grado di trovare un malintenzionato all'interno della rete e quindi di generare un avviso, che però si mimetizza tra le altre migliaia, se non milioni di segnalazioni, superflue. A partire dal 2014 gli attacchi informatici hanno subito un'impennata e ci sono numerose prove di come i crackers riescano a superare le difese tradizionali con una sempre maggiore facilità.

La Deception Technology cerca di osservare la situazione dal punto di vista dell'attaccante e di analizzarla con le sue armi. Si integra con le tecnologie esistenti con le quali condivide informazioni e alle quali fornisce avvisi frutto di un processo binario, riducendo così la probabilità di attacco a vero o falso. Qualsiasi azione, non prevista, sulle trappole viene segnalata e innesca i procedimenti necessari a sventare un attacco in corso. Questo modo di operare risulta vantaggioso rispetto ai metodi probabilistici classici.

La Deception Technology non è una strategia di difesa che può sostituire quelle già esistenti. È un'integrazione di esse necessaria nel caso le tecniche di difesa del perimetro della rete falliscano.

Descrizione[modifica | modifica wikitesto]

La Deception Technology automatizza la creazione di trappole all'interno della rete emulando o integrando risorse software esistenti. Le emulazioni possono avvenire anche su dispositivi come bancomat[1], sistemi di vendita, router, dispositivi medici e molto altro. Le esche utilizzate per attirare gli aggressori sono quindi file che si mescolano tra quelli delle risorse IT esistenti e solitamente, per attirare l'attenzione più in fretta, vengono spacciate per risorse degne di nota.

Una volta penetrati, gli attaccanti, cercheranno di stabilire una backdoor con la quale esfiltrare dati sensibili. Nello spostarsi all'interno della VLAN e nell'analizzare i file che la compongono, il contatto con la trappola è quasi immediato ed è quindi quasi immediato lo scattare dell'allarme. Essendo la trappola una risorsa apparentemente importante, l'aggressore, è facile che vi continui ad iniettare malware che in automatico la deception technology analizzerà in modo dinamico fornendo un report al personale addetto alla sicurezza. L'automazione è anche nell'identificazione e nell'isolamento di end-points sospetti appartenenti alla rete compromessa, attraverso indici di compromissione (IOC).

Questa tecnologia inoltre fornisce una grande varietà di percorsi implementativi che si adattano alle richieste del cliente aziendale e/o governativo.

Applicazioni particolari[modifica | modifica wikitesto]

I dispositivi appartenenti all'IoT (internet of things) non vengono solitamente analizzati in profondità dalle forme di difesa classiche e rimangono quindi i primi obiettivi dell'attaccante all'interno della rete.

La Deception Technology può identificare gli attaccanti, che si stanno muovendo nella rete, dall'interno di questi dispositivi. Nonostante essi utilizzano un sistema operativo incorporato e che quindi non permettono di essere scansionati facilmente con questa tecnologia si possono definire protetti.

La Deception Technology è stata associata, infatti, anche alla scoperta del Zombie Zero[2], un attacco informatico che prevedeva un malware installato nei lettori di codici a barre prodotti.

Un ulteriore esempio sono i dispositivi medici sono particolarmente vulnerabili all'interno della rete sanitaria. Gli ultimi cyber attacchi documentati a dispositivi medici, hanno fatto riferimento a macchinari per i raggi X, per le TAC,per le risonanze magnetiche e per ecografie. Questi attacchi si ritiene che siano stati effettuati in numerosi ospedali con successo in quanto risulta difficile contrastarli senza una tecnologia apposita[3].

Inoltre la Deception Technology è in grado di contrastare efficacemente il continuo aumento dei ransomware[4], grande minaccia oggigiorno. L'inganno ha lo scopo di reindirizzare il malware all'interno di una zona in cui non può fare danni, mentre vengono avvisati i responsabili della sicurezza e mentre vengono isolate le zone infettate della rete.

Storia[modifica | modifica wikitesto]

Gli Honeypots sono considerati il padre della Deception Technlogy, in quanto sono risorse informatiche non protette e attraenti in grado di ritardare e spesso anche far terminare un attacco. La maggior parte dei primi honeypots presentava problemi riguardo alla funzionalità, all'integrita e all'efficacia a causa della mancanza quasi totale di un'automazione che ne prevedesse un'ampia diffusione. Una strategia di implementazione e configurazione manuale, in un'azienda con migliaia di VLANS, risulterebbe essere assai troppo costosa.

Attualmente gli honeypots, essendosi evoluti, hanno ridotto il divario con la Deception Technology tanto da essere considerati una tecnologia dell'inganno di bassa fascia.

Marketing[modifica | modifica wikitesto]

La Deception Technology nel 2016, a livello globale, aveva un mercato che oscillava tra i 50 e i 100 milioni di dollari, ma è in continua crescita. L'incremento degli attacchi informatici ha portato a un conseguente incremento del mercato dei mezzi di difesa e tra le dieci migliori tecnologie esistenti si è piazzata anche quella dell'inganno. Questo traguardo ha fatto e sta facendo lievitare il valore e il mercato di questa tecnologia che è previsto salire ad oltre 1 miliardo[5] di dollari entro il 2020. Market Research Media stima un valore cumulativo di circa 12 miliardi di dollari tra il 2017 e il 2022[6].

Note[modifica | modifica wikitesto]

  1. ^ (EN) Payment Quarterly | Q4 2016, in issuu. URL consultato il 18 dicembre 2017.
  2. ^ (EN) Kurt Marko, How a Scanner Infected Corporate Systems and Stole Data: Beware Trojan Peripherals, in Forbes. URL consultato il 18 dicembre 2017.
  3. ^ The Dangerous State Of Medical Cybersecurity, in Surgical Products, 13 luglio 2016. URL consultato il 18 dicembre 2017 (archiviato dall'url originale il 17 agosto 2017).
  4. ^ (EN) TrapX launches ransomware deception tool, CryptoTrap, in Healthcare IT News, 25 agosto 2016. URL consultato il 18 dicembre 2017.
  5. ^ (EN) Maria Korolov, Deception technology grows and evolves, in CIO. URL consultato il 18 dicembre 2017 (archiviato dall'url originale il 4 novembre 2016).
  6. ^ (EN) Deception Cybersecurity Market Forecast 2017-2022, in Market Analysis, 27 settembre 2017. URL consultato il 18 dicembre 2017 (archiviato dall'url originale il 21 marzo 2018).

Voci correlate[modifica | modifica wikitesto]

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica
Estratto da "https://it.wikipedia.org/w/index.php?title=Deception_technology&oldid=134278807"