Tutti conoscono il principio di defense in depth: firewall, IDS, EDR, SIEM, ogni layer aggiunge protezione. Ma quasi nessuno applica lo stesso principio alla deception. Deception in depth significa avere elementi ingannevoli su ogni livello dell'infrastruttura - dalla rete al sistema operativo, dall'applicazione ai dati.
L'idea e semplice: se un attaccante bypassa un layer di difesa, dovrebbe immediatamente interagire con un elemento di deception che rivela la sua presenza. Non un singolo honeypot messo in un angolo della rete - un tessuto di trappole integrate in ogni livello. Honeytoken nei database, honeycredential nell'Active Directory, honeyfile sui file server, honeypot nella rete.
Stratificazione pratica
Con Mirage ho implementato questo approccio. Layer di rete: servizi honeypot (SSH, HTTP, database) che emulano sistemi reali. Layer di sistema: file e credenziali esca che, se toccati, triggerano alert immediati. Layer applicativo: API endpoint finti che registrano ogni interazione. Layer dati: record esca nei database che non vengono mai acceduti legittimamente.
Il punto critico e l'integrazione con i sistemi di detection. Un honeypot isolato e utile. Un honeypot che, al primo contatto, attiva un playbook SOAR, crea un caso di incident response, arricchisce automaticamente l'IOC con threat intelligence, e puo bloccare l'attaccante su tutta l'infrastruttura in 30 secondi - questo e un game changer. L'integrazione tra Mirage e Presidio rende possibile esattamente questo.
Il costo e sorprendentemente basso. Gli elementi di deception non richiedono hardware dedicato - sono servizi leggeri che girano su infrastruttura esistente. Il vero investimento e nel design: posizionare gli elementi di deception dove un attaccante li trovera naturalmente durante la fase di ricognizione o movimento laterale. E qui che l'esperienza in offensive security fa la differenza.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →