Detección temprana del atacante
Servicios señuelo, credenciales y hosts revelan movimiento lateral y reconocimiento antes de que los atacantes lleguen a sistemas reales.
Deception y Disrupción de Adversarios
Entornos de deception de alta fidelidad y telemetría que exponen el movimiento del atacante temprano, reducen el tiempo de permanencia y permiten la disrupción proactiva.
Convierte la curiosidad del atacante en su contra
El deception es una de las técnicas defensivas modernas más efectivas. En lugar de depender únicamente de controles preventivos, coloca objetivos atractivos, pero totalmente controlados, dentro de su red. Cuando un atacante explora, escanea o interactúa con estos activos de deception, Cyber Defence recibe telemetría de alta confianza y bajo ruido que indica comportamiento no autorizado.
A diferencia de los controles de seguridad normales, el deception no es reactivo: revela activamente la intención del adversario, movimiento lateral, pruebas de credenciales, enumeración y actividades de preparación mucho antes de que un incidente se vuelva disruptivo. Nuestra plataforma de deception, entregada como dispositivos ligeros basados en Docker, se integra directamente con SOC365 para monitoreo en tiempo real y opciones de disrupción automatizada.
Capacidades
Qué logra el deception
El deception está diseñado para exponer el comportamiento del atacante de manera temprana y con prácticamente cero falsos positivos.
Cero falsos positivos
Solo la actividad adversaria dispara alertas de deception; los usuarios legítimos nunca interactúan con los señuelos.
Observación escalonada del adversario
SOC365 puede observar TTPs del atacante en entornos de deception sin riesgo para los sistemas de producción.
deception de credenciales e identidad
Credenciales falsas, tokens y claves API plantadas exponen ataques de password spraying, abuso de tokens y reproducción de credenciales.
Infraestructura señuelo
Servidores emulados, comparticiones de archivos, servicios OT, endpoints web, bases de datos y banners de servicios atraen a los atacantes hacia trampas controladas.
Disrupción automatizada
Con Pulsar, los eventos de deception pueden iniciar bloqueos automáticos, aislamiento, limitación de tasa o escalamiento de honeypots.
Cómo funciona la plataforma de deception
Los dispositivos de deception de Cyber Defence se entregan como imágenes Docker contenedorizadas, aptas para desplegarse en redes internas, DMZ, cargas de trabajo en la nube, sitios remotos, segmentos OT o VLANs aisladas.
Cada dispositivo de deception aloja múltiples módulos honeypot: SSH, RDP, SMB, HTTP/S, señuelos de protocolos OT/ICS, comparticiones de archivos falsas, trampas de credenciales y servicios beacon. Los desencadenantes de interacción se envían de manera segura a SOC365 mediante transporte cifrado, generando incidentes de alta confianza para la revisión del analista.
Como los dispositivos de deception no requieren acceso entrante, son seguros para desplegarse en entornos de alta seguridad con segmentación estricta.
Casos de uso
Dónde el deception es más efectivo
Movimiento lateral interno
Colocar señuelos cerca de sistemas de producción expone movimientos internos e intentos de escalamiento de privilegios.
Entornos OT y ICS
Dispositivos PLC/RTU señuelo detectan sondeos no autorizados sin afectar el equipo operativo.
Cargas de trabajo en la nube
APIs señuelo, credenciales falsas de servicios y trampas de almacenamiento en la nube revelan mal uso de identidad y claves API.
Sitios remotos y sucursales
Despliegue nodos de deception ligeros en oficinas remotas y embarcaciones para detectar compromisos locales.
Enclaves de datos de alto valor
Servidores de archivos, comparticiones y credenciales falsas destacan intentos de exfiltración temprana de datos.
Visibilidad de amenazas internas
Los activos señuelo no son tocados por usuarios legítimos, lo que los hace ideales para detectar mal uso interno.
Despliegue deception en su entorno
El deception mejora significativamente la capacidad de su SOC para detectar adversarios de manera temprana y con confianza. Cyber Defence proporciona orientación de despliegue, imágenes de dispositivos e integración con SOC365 como parte de su servicio.
Para pasos técnicos de despliegue, instalación y detalles de orquestación, consulte la Guía de Despliegue.