Ma cosa significa? Perché potrebbe essere un aspetto da considerare in futuro?
Ma cosa sta facendo SAP a proposito di Deceptive Application e RASP? Cosa significano queste sigle?
Security Deception
Un approccio alla security da un punto di vista diverso. Oggi più che mai i sistemi sono complessi ed è difficile renderli sicuri, ad esempio per delle credenziali sottratte o zero days.
Per questo motivo utilizzare dei sistemi "non reali", per studiare dei comportamenti malevoli può essere importante. Anche per capire come muoversi in condizioni dove spesso non si sa come anticipare eventuali problematiche (es. zero day attack). O comunque identificare possibili attacchi e dirottarli verso macchine clone non critiche.
Creare dei sistemi reali in tutto e per tutti ma non veri. Solo per capire se questi siano vulnerabili e valutare gli effetti di un eventuale attacco.
Che cosa significa RASP?
Si tratta di un acronimo che significa Runtime Application Self-Protection l'idea è quella di avere applicazioni in grado di accorgersi quando "c'è qualcosa che non torna" e quindi agire di conseguenza.
Parti di codice o librerie che riescono ad attivarsi nel momento in cui si verificano determinati eventi per proteggere l'applicazione stessa da attacchi in corso.
Quali le caratteristiche principali di queste applicazioni:
- L'accorgersi di potenziali pattern di comportamento critici
- L'individuazione di attacchi in real time
- La possibilità di dirottare eventuali attacchi su macchine dummy o honeypot
- Il fare perdere tempo. Ovvero una volta che l'attaccante è arrivato ad una honeypot, farlo lavorare senza arrivare ad un obiettivo
- Utilizzare le conoscenze acquisite nelle macchine honeypot durante gli attacchi per proteggere le macchine reali
Ma cosa sta facendo SAP a riguardo?
L'idea allo studio da parte di SAP è quella di creare dei honeytoken ovvero dei pattern specifici di riconoscimento di attacchi in modo da usare macchine/applicazione honeypot su cui direzionare attacchi e acquisire conoscenza su di essi.
Gli honeytoken potrebbero essere applicati a diversi livelli della tecnologia ad oggi in uso, applicazioni, database, piattaforme e così via. Approfondisci qui
Ma oltre agli honeytokens quali sono gli altri strumenti che possono essere potenzialmente presi in considerazione?
- Sessioni sospette (Session tainting)
- Identificare una sessione considerata critica in base alle azioni compiute da un certo attaccante
- Dirottamento (Session switching)
- Il dirottamento delle sessioni sospette verso sistemi dummy
- Generazione dei dati fasulli, ma potenzialmente reali (Honeypot data generation)
- Dati fittizi ma così falsi da sembrare veri. Questo per indurre un attaccante a credere nella bontà dei dati. Nonostante sia in una macchina costruita ad hoc
- Controllo del comportamento (Honeypot monitoring)
- Il controllo del comportamento degli attaccanti all'interno delle macchine create per lo scopo
- Generazione dei log
- Analisi e generazione dei log per finalità di correlazione
- Generazione di pattern di comportamento
- Dalle analisi/dati rilevate ottenere dei pattern ricorrenti
Solo una progettazione specifica di applicazioni di questo tipo potrebbe supportare questo tipo di tecnologia. Vedremo!