Arctic Wolf komt met Decipio, een ‘community-shared defensive cybersecuritytool’ die securityteams helpt om aanvallers te onderscheppen op het moment dat ze logingegevens binnen een netwerk proberen te stelen. De tool is toegankelijk via een besloten community-bètaprogramma waarbij toegang per aanvraag wordt beoordeeld en alleen wordt verleend aan geverifieerde cybersecurityprofessionals.
Het stelen van logingegevens blijft een van de meest voorkomende manieren waarop cyberaanvallen beginnen en is een van de moeilijkste aanvallen om in een vroeg stadium te detecteren. Het Annual Threat Report van Arctic Wolf laat keer op keer zien dat gestolen inloggegevens worden gebruikt als initiële aanvalsvector. Decipio is ontwikkeld om dit patroon te doorbreken, door activiteiten rond het stelen van inloggegevens in een vroeg stadium te detecteren, niet pas wanneer deze al zijn ingezet voor laterale verplaatsing of om schade aan te richten.
“Aangezien aanvallers steeds sneller automatiseren en stiller opereren, kunnen verdedigers het zich niet veroorloven om pas te reageren nadat de schade is aangericht”, zegt Ismael Valenzuela, VP Threat Intelligence Research bij Arctic Wolf. “Decipio staat voor een ‘defense-first’-benadering om AI-gestuurde aanvallen tegen te gaan en is ontwikkeld om aanvallers te identificeren op het moment dat ze voor het eerst actief worden, zodat verdedigers een voorsprong hebben. Door deze tool met de community te delen, nodigen we professionals uit om actief mee te bouwen aan een verantwoorde toepassing van AI binnen cybersecurity.”
Zo werkt Decipio
Wanneer een computer een ander systeem op een netwerk niet kan vinden, vraagt hij andere devices in de buurt om hulp. Aanvallers zijn op zoek naar die verzoeken en reageren erop alsof zij het gevraagde systeem zijn, waardoor ze computers misleiden om logingegevens prijs te geven. Decipio zet dat gedrag om in een verklikker-signaal. De tool verstuurt zorgvuldig samengestelde netwerkverzoeken voor nep-netwerkbronnen die nooit zouden mogen bestaan. Legitieme systemen negeren deze, maar aanvallers kunnen dat niet. Als iemand reageert, weet Decipio dat er iets verdachts aan de hand is, waarbij slechts een minimale afstemmingsprocedure en minimale historische context nodig zijn. Het signaal is eenduidig: een reactie betekent dat de detectieval is afgegaan. Decipio bevestigt vervolgens het gedrag, legt duidelijk bewijs vast en presenteert dit op een manier die verdedigers gemakkelijk kunnen begrijpen en onderzoeken.
In een tijd waarin massale scraping en geautomatiseerd hergebruik door AI aan de orde van de dag is, kan het volledig open source maken van defensieve tools onbedoeld juist die technieken versnellen die verdedigers proberen te detecteren en te voorkomen. Dankzij de beperkte toegang (‘gated access’) kan Arctic Wolf zinvolle defensieve mogelijkheden delen met geverifieerde professionals en er tegelijkertijd voor zorgen dat deze verantwoord worden gebruikt.
Meer informatie over en toegangsverzoeken tot Decipio zijn hier te vinden: https://arcticwolf.com/decipio/.
