La deception e la tecnica difensiva piu sottovalutata in cybersecurity. Mentre tutti investono in firewall, EDR e SIEM, pochi considerano una domanda semplice: e se potessimo far credere all'attaccante di aver trovato qualcosa di prezioso, mentre in realta stiamo guardando ogni sua mossa?
Mirage e nato da questa intuizione. E una piattaforma di deception con 11 container Docker che emula servizi vulnerabili - SSH, HTTP, database - e usa AI (GPT-4o-mini) per generare risposte realistiche agli attaccanti. Quando qualcuno fa SSH nel nostro honeypot, non trova un semplice banner "access denied." Trova un sistema che sembra reale, con file system, utenti, e risposte coerenti.
Perche la deception funziona
Il vantaggio fondamentale della deception e che qualsiasi interazione e un vero positivo. Nessun utente legittimo dovrebbe mai toccare un honeypot. Se qualcuno ci interagisce, e perche sta facendo qualcosa che non dovrebbe. Zero falsi positivi. In un mondo dove gli analisti SOC sono sommersi da alert, questa proprieta e oro.
La pipeline di Mirage processa ogni evento attraverso NATS JetStream, arricchisce con VirusTotal e AbuseIPDB, costruisce profili degli attaccanti, e - la parte cruciale - manda tutto a Presidio via bridge dedicato. Cosi un tentativo di accesso al honeypot puo triggerare automaticamente un playbook SOAR, creare un caso in DFIR-IRIS, e bloccare l'IP su tutta l'infrastruttura.
Con oltre 60.000 eventi catturati e 92 attaccanti profilati, i dati confermano quello che sapevo in teoria: la deception non e un lusso, e un force multiplier. E il costo di deployment, usando infrastruttura propria e componenti open source, e una frazione delle soluzioni commerciali.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →