Cloud Active Defense è una soluzione open source che integra esche nell'infrastruttura cloud. Ciò crea un dilemma per gli aggressori: o rischiano di attaccare ed essere scoperti immediatamente, oppure evitano le trappole e ne riducono l’efficacia. Chiunque, comprese le piccole imprese, può utilizzarlo gratuitamente e iniziare a ricevere avvisi di segnale elevato.
Laddove gli honeypot sono efficaci nel rilevare i movimenti laterali una volta che l’applicazione iniziale è compromessa, Cloud Active Defense porta l’inganno direttamente a quell’applicazione iniziale.
“Lo facciamo inserendo trappole nelle risposte HTTP. Queste trappole sono invisibili agli utenti normali e molto allettanti per gli aggressori. Ciò crea una situazione in cui gli aggressori devono costantemente indovinare: è una trappola o un exploit? Questa ipotesi rallenta il processo di attacco e può spingere gli aggressori a ignorare vettori di attacco validi perché sospettano che siano trappole. Inoltre, poiché le risposte delle applicazioni non possono più essere attendibili al 100%, perfezionare il payload dell'exploit diventa doloroso. Cedric HebertCISO – Sviluppatore di innovazione SAP e Cloud Active Defense, ha dichiarato a Help Net Security.
Piani futuri e download
“A breve termine, prevediamo di rendere gli avvisi generati per il sistema SIEM più facili da digerire per una risposta più rapida. Prevediamo inoltre di rilasciare codice per facilitare la distribuzione su un cluster Kubernetes, dove ciascuna applicazione può essere configurata in modo indipendente. Nel Nel medio periodo vogliamo lavorare per proporre strategie di risposta: certo, il blocco di un indirizzo IP potrebbe essere un'opzione, ma quello che immaginiamo è, una volta rilevato, dare la possibilità di indirizzare la sessione attiva su una copia dell'applicazione “dove non si possono fare ulteriori danni”, ha concluso Hebert.
Cloud Active Defense è disponibile gratuitamente su github.
Devi leggere: