Duke ngatërruar kriminelët në internet me rrjetet iluzive


Ne formuam rrjete iluzive tre vjet më parë, të vendosur për të zgjidhur çështjen e sulmeve të synuara. Ne e dinim se kishte sulme jashtëzakonisht të sofistikuara që dëmtonin disa nga organizatat më të mëdha në botë.

Të mos kesh një mjet për të zbuluar dhe ndaluar kërcënimet e përparuara të vazhdueshme (APT) nga sulmuesit e shtetit komb dhe kriminelët e sofistikuar kibernetikë ka qenë një nga çështjet më serioze me të cilat përballen drejtuesit e biznesit dhe komunitetin kibernetik.

Kam kaluar shumë vite duke punuar në Check Point. Disa vjet më parë, unë u përgjova nga Team8 për të adresuar këtë çështje.

Pas muajsh të stuhisë së trurit dhe hulumtimeve, ne arritëm në përfundimin se ishte e nevojshme një metodologji plotësisht e re. Nëse jeni duke reaguar ndaj sulmuesit, i cili vazhdimisht azhurnon mekanizmat e tij dhe mjetet e sulmit, gjithmonë do të jeni disa hapa pas. Për më tepër, duke përdorur letrat kredenciale, këta sulmues shpesh i shmangen zbulimit përmes mjeteve tradicionale.

Kështu që e pyetëm veten, a ekziston një paradigmë ku mund ta vendosnim sulmuesin në një pozitë reaguese?

Kjo është premisa në të cilën bazohet teknologjia jonë e mashtrimit.

E thënë thjesht, çfarë saktësisht është teknologjia e mashtrimit?

Fuqia e produktit iluziv aktivizohet me të vërtetë vetëm pasi sulmuesi të ketë depërtuar në rrjet. Sapo të hyjnë dhe të lëvizin anash, kjo është kur të futemi në lojë.

Për t’iu përgjigjur pyetjes suaj, së pari duhet të kuptoni natyrën e një sulmi të synuar. Le të themi se një bankë po sulmohet përmes një fushate phishing. Një punonjës ka shkarkuar një PDF me qëllim të keq dhe sulmuesi tani është brenda rrjetit. Sulmuesi ka një objektiv të përcaktuar mirë për të arritur në një grup specifik të të dhënave ose të sistemit. Ai është i vendosur në një pikë përfundimi, por nuk është i sigurt se ku është objektivi i tij, ose si ta arrini atë.

Imagjinoni të përpiqeni të gjeni rrugën tuaj në një shtëpi të errët që nuk keni qenë kurrë më parë, me vetëm një elektrik dore të vogël, duke shikuar përreth për të parë se çfarë mund të shfrytëzoni, duke vlerësuar se ku gjenden gjërat e vlefshme dhe si t’i arrini ato. Kjo është shumë komplekse dhe mund të marrë një sulmues disa muaj.

Natyrisht, ky proces përfshin një sasi të konsiderueshme gjykimi dhe gabimi.

Mashtrimet tona e zmadhojnë këtë sfidë për sulmuesin. Ne injektojmë mjedisin me informacion të rremë së bashku me informacionin e vërtetë për të ndryshuar pamjen e sulmuesit për realitetin. Për shembull, nëse një sulmues zbarkon në një pikë përfundimtare që siguron hyrje për të parë tre aksione të vërteta të korporatës, sulmuesi mund të shohë 10. Sapo një sulmues të veprojë mbi një mashtrim, një alarm paralajmërohet dhe iluziv grumbullon të dhëna mjeko-ligjore të bazuara në burim..

Si e përcaktoni një mashtrim që është i thjeshtë për t’u vendosur dhe i rëndësishëm për sulmuesin, me një zgjidhje krejtësisht pa agjente?

Në zemër të zgjidhjes sonë është Sistemi ynë i Menaxhimit të Mashtrimit (DMS) i drejtuar nga inteligjenca artificiale. Analizon mjedisin dhe sugjeron mashtrimet që janë të nevojshme, të cilat instalohen pa një agjent, dhe me shumë pak përpjekje për menaxhimin njerëzor. Pasi të jetë operacional, DMS monitoron vazhdimisht rrjetin dhe përshtatet automatikisht në ndryshimet në mjedisin e korporatës, dhe në sjelljen e sulmuesit.

Criticalshtë kritike që mashtrimet duken autentike për sulmuesin, kështu që ata nuk mund të bëjnë dallimin midis asaj që është e vërtetë dhe asaj që është e rreme. Me pamjen e Sulmuesit dhe veçoritë e mjekësisë ligjore të produktit tonë, analisti mund të shohë lëvizjet e sulmuesit në kohë reale. Decisiondo vendim që merr sulmuesi na jep më shumë informacion në lidhje me qëllimin dhe taktikat e tyre, i cili përdoret më tej për të mashtruar dhe bllokuar ata.

Ndërsa klientët tanë përfshijnë organizatat kryesore globale. Për shkak se zgjidhja jonë është e pa agjentë, ajo nuk i jep ngarkesë shtesë organizatës IT dhe ne kemi qenë të kujdesshëm në hartimin tonë për të ndërtuar një produkt që është transparent për përdoruesit përfundimtar.

Kush është klienti juaj tipik?

Ne kemi dhjetëra kompani udhëheqëse në të gjithë botën si klientët tanë. Teknologjia jonë është e vendosur në sektorë të shumtë, nga shërbimi shëndetësor dhe ofruesit e sigurimeve deri tek kompanitë e telekomunikacionit, ”megjithëse ne kemi një fokus kryesor në institucionet financiare. Ne kemi pasur shumë sukses me bankat e mëdha, dhe investojmë në krijimin e zgjidhjeve unike, të tilla si Garda e Transferimit me Wire, për të ndihmuar në sfidat e tyre specifike.

Si i trajtoni pozitat false?

Një nga përfitimet kryesore të teknologjisë sonë është se gjithmonë mund t’i besoni alarmeve tona. Sistemi ynë kurrë nuk gjeneron një paralajmërim të rremë pozitiv, vetëm të vërtetë, i cili dërgohet direkt te ekipi i përgjigjes së incidentit.

Kjo ishte një nga karakteristikat më të rëndësishme kur hartuam sistemin tonë sepse false pozitive burimet e mbeturinave dhe mund të shkaktojnë dëme të konsiderueshme. Ju mund të humbisni alarmet e vërteta nëse keni kaq shumë pozitive false, ose shpenzoni orë të tëra duke analizuar diçka që duket e rëndësishme, por me siguri nuk është. Kjo ishte një çështje në disa nga shkeljet më të fundit të publikuara të sigurisë;.

Si i kapni sulmuesit në kohë reale?

Faza e parë është krijimi i mashtrimeve për të mundësuar zbulimin. Pasi operacional, iluziv mund të tregojë nëse ka një sulmues brenda rrjetit.

Pasi të jemi kapur, ne nuk themi vetëm “ju keni një sulmues”. Ne rrëmbejmë të dhëna mjekoligjore nga sistemet për t’ju thënë se cilat procese po zhvillojnë, cilat lidhje rrjeti përdorin përdorimin e tyre dhe shumë detaje të tjera.

Ne u japim mundësinë analistëve që më pas të monitorojnë lëvizjen dhe taktikat e tyre. Illusive e di se sa larg është sulmuesi nga pasuritë kritike. Me gjithë këtë informacion, përgjigësit mund të përcaktojnë kohën më të favorshme për të vepruar — përpara se sulmuesi të arrijë në xhevahiret e kurorës.

Ka një art të mashtrimit. Por duke kuptuar sjelljen e sulmuesit mund të krijojmë mashtrime përkatëse për të joshur sulmuesit – dhe e kodifikuar atë në një zgjidhje të automatizuar që e vë kontrollin përsëri në duart e klientëve tanë.

 

 

 

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map