Os atacantes usam ataques de Remote Desktop Control (RDP) não apenas para acessar hosts comprometidos, mas também realizam scans para comprometer outros sistemas abertos e alcançar o objetivo do ataque. Técnicas e tecnologias de Deception interrompem esses ataques de diferentes formas. Primeiro, ao implementar os sistemas isca com serviços possíveis para o RDP, o atacante irá enxergar uma mistura de sistemas semelhantes e ganhar uma falsa percepção do tamanho do ambiente do alvo. Se eles engajarem com um dos sistemas isca, independente do atacante usar criptografia no tráfego para chegar lá, a isca vai identificar, acionar um alerta e gravar tudo que o atacante fizer. A informação forense vai fornecer à equipe de resposta a incidentes insights sobre o atacante, levando inteligência para melhora das defesas existentes e mitigando futuros ataques.
Além de iscas de rede, o Deception pode ser feito por meio de trilhas e credenciais falsas, incluindo credenciais específicas de RDP, levando os atacantes diretamente para as iscas e longe dos ativos reais. Não importa quão sofisticado foi o método empregado pelo atacante para realizar o comprometimento inicial, o Deception leva o atacante a se revelar, de forma que o time de respostas pode interromper o ataque e rapidamente remediar caso exista algum dano. Uma vez que a equipe descubra um host comprometido, eles podem buscar ativamente por outros sistemas acessados pelo atacante, incluindo conexões RDP para melhor compreender o escopo do comprometimento e remediá-lo.
Nenhum comentário:
Postar um comentário