Under Telia Cygate Tech Days visade Martin Kling från Fortinet hur deras lösning FortiDeceptor förvandlar nätverket till en fälla. Istället för att bara försvara sig med brandväggar och EDR skapas en miljö där angriparen aktivt luras in i felaktiga system och avslöjar sig själv.
Bedragaren som skyddar
FortiDeceptor bygger på klassiska honeypot-principer, men med en ny twist. Lösningen sätter ut förfalskade enheter (decoys), filer (lures) och identiteter (tokens) som får angriparen att tro att hen rör sig mot ett mål – när hen i själva verket rör sig i ett övervakat sandlådelandskap.
Till skillnad från traditionella honeypots är FortiDeceptor lätt att distribuera och underhålla. Med färdiga mallar för Windows, Linux och andra system är det enkelt att få till trovärdiga miljöer som angriparen inte kan skilja från verkliga mål.
Förhindra sabotage i OT-miljöer
Martin Kling visade också hur FortiDeceptor spelar en särskilt viktig roll i OT- och IoT-sammanhang. Där saknas ofta inbyggda säkerhetsfunktioner, och angripare kan få kontroll över exempelvis dörrar, pumpar eller produktionslinor.
Genom att bygga in fällor i den typen av miljöer, utan att påverka driften, kan man upptäcka attacker innan de får konsekvenser. En central aspekt i förhållande till regelverk som NIS2.
– Tidig upptäckt är avgörande, för ju längre en angripare rör sig i miljön, desto större är risken att loggar går förlorade, åtgärder försenas och skadorna blir omfattande, säger Martin.
Fem nyckelinsikter från sessionen:
• Tidig upptäckt minskar skadorna dramatiskt så stoppa angriparen innan ransomeware eller sabotage slår till.
• FortiDeceptor förvändlar nätverket till ett övervakat minfält med falska servrar och fällor.
• OT-miljöer är särskilt sårbara och är därför extra viktiga att skydda med deception-teknik.
• Angripare tänker som vi: de scannar, gissar och försöker förstå nätverksstrukturen.
• Mindre brus, mer precision – FortiDeceptor kan avgöra om ett intrång är riktat och allvarligt genom att analysera beteendemönster.
