Deception technology (Teknologi pengelabuan), yang sering disebut juga sebagai *cyber deception*, adalah kategori alat dan teknik keamanan yang dirancang untuk mendeteksi dan mengalihkan pergerakan lateral penyerang begitu mereka berhasil masuk ke dalam jaringan. Teknologi ini memungkinkan defender untuk mengidentifikasi berbagai metode serangan tanpa harus bergantung pada signature yang sudah dikenal atau pencocokan pola.
Teknologi ini dikenal karena memberikan peringatan yang andal, karena setiap interaksi dengan sistem pengelabuan secara definisi dianggap sebagai “akses tidak sah”. Selain mengaburkan permukaan serangan dan membuat penyerang kesulitan melakukan eksplorasi tanpa terdeteksi, teknologi ini juga akan mengarahkan penyerang ke server khusus (engagement server) yang akan mengumpulkan intelijen tentang alat, metode, dan perilaku si penyerang. Integrasi dengan pihak ketiga juga bisa digunakan untuk mengotomatiskan respons yang sesuai, seperti isolasi, pemblokiran, dan threat hunting.
Gartner memprediksi bahwa pada tahun 2022, 25% dari seluruh proyek deteksi dan respons ancaman akan menyertakan fitur dan fungsionalitas deception.
Pertumbuhan Pasar Teknologi Deception
Peningkatan adopsi teknologi pengelabuan berasal dari kebutuhan akan deteksi ancaman yang skalabel di berbagai permukaan serangan, termasuk:
- Active Directory (AD)
- aplikasi perangkat lunak,
- virtual private cloud
- Internet of Things (IoT)
- SCADA
- sistem Point of Sale (PoS)
Insiden seperti kasus SolarWinds juga menyoroti pentingnya deteksi pergerakan lateral dan eskalasi hak akses dalam jaringan.
Organisasi standar pun mulai mengadopsi teknologi deception, seperti yang dilakukan oleh National Institute of Standards and Technology (NIST) yang telah menambahkan teknologi ini dalam beberapa pedoman terbarunya. Begitu juga dengan kerangka kerja MITRE ATT&CK yang membantu organisasi memahami bagaimana deception bisa masuk dalam tumpukan keamanan mereka untuk menggagalkan teknik dan taktik serangan—khususnya dalam hal penemuan aset, pergerakan lateral, eskalasi hak akses, dan pengumpulan data.
Cara Kerja Deception
Awalnya dianggap hanya cocok untuk organisasi besar dengan tim keamanan yang matang, kini platform deception telah berevolusi menjadi solusi yang praktis dan efektif untuk perusahaan dari segala ukuran.
Perusahaan mencari solusi cyber deception karena ingin perlindungan menyeluruh terhadap permukaan serangan, deteksi dini, dan pemahaman lebih baik terhadap lawannya. Platform deception menjawab kebutuhan ini lewat kemampuan deployment yang skalabel, kemudahan penggunaan, dan integrasi yang mulus dengan solusi keamanan yang sudah ada.
Tidak seperti solusi SIEM (Security Information and Event Management) yang melaporkan apa yang sudah terjadi melalui log, teknologi deception justru melaporkan apa yang bisa terjadi secara proaktif. Deception berbasis pada deteksi teknik, bukan pada signature atau pola, yang membuatnya jadi lebih efektif.
Teknologi deception akan memberikan peringatan saat mendeteksi aktivitas awal seperti penemuan sistem, pengintaian, dan eskalasi hak akses. Defender dapat mengatur umpan dan decoy, menyembunyikan aset produksi, dan mengarahkan penyerang ke informasi palsu yang akan menggagalkan serangan mereka. Decoy ini meniru aset IT asli dalam jaringan dan menjalankan sistem operasi (OS) asli atau yang disimulasikan. Decoy ini menyediakan layanan yang didesain untuk menipu penyerang agar mengira mereka telah menemukan sistem yang rentan. Teknologi ini juga bisa mengurangi permukaan serangan dengan menemukan dan memperbaiki kredensial yang terbuka dan bisa dimanfaatkan penyerang.
Saat penyerang berinteraksi dengan aset palsu, tim keamanan akan menerima peringatan berkualitas tinggi yang disertai dengan intelijen tentang serangan tersebut. Dengan informasi ini—mulai dari alat, metode, hingga niat penyerang—defender bisa menonaktifkan serangan, memperkuat strategi pertahanan, dan menyamakan kedudukan dengan lawan.
Penyerang juga akan mendapatkan gambaran yang kabur tentang permukaan serangan, yang memperlambat mereka, memaksa mereka melakukan kesalahan, menggunakan lebih banyak sumber daya, dan pada akhirnya meningkatkan biaya serangan.
Untuk perusahaan yang sedang melakukan security assessment, teknologi deception sangat berguna untuk mendeteksi penyerang sejak awal dan mencatat aktivitas mereka. Kemampuan ini membuat deception menjadi salah satu cara paling efektif untuk menangani ransomware. Teknologi ini sangat andal dalam mendeteksi penyusup yang mencoba bergerak lateral di dalam jaringan—bahkan jika mereka menggunakan kredensial yang sah.
Implementasi
Teknologi deception tersedia dalam bentuk platform penuh (deception fabric), sebagai fitur dari platform yang lebih besar, maupun sebagai solusi mandiri. Platform deception canggih menggunakan machine learning agar bisa digunakan dan dijalankan dengan cepat dan akurat tanpa mengganggu fungsi jaringan lainnya. Integrasi native dengan infrastruktur keamanan yang sudah ada bisa memberikan alur berbagi informasi serangan secara mulus dan memfasilitasi otomatisasi. Manfaatnya antara lain: pemblokiran otomatis, isolasi, threat hunting, playbook yang bisa diulang untuk mempercepat respons insiden, dan integrasi dengan solusi SOAR.
Platform deception yang paling canggih juga akan menyediakan teknologi penyembunyian (*concealment*), yang bisa menyembunyikan dan menolak akses ke data asli. Alih-alih mencampurkan aset palsu di antara aset produksi, teknologi ini dapat menyembunyikan aset asli dari pandangan penyerang. Bahkan bisa mengembalikan data palsu untuk mengacaukan dan menggagalkan serangan lebih lanjut. Cakupannya termasuk objek AD, kredensial, file, folder, drive eksternal, serta share jaringan dan cloud. Fitur ini sangat ampuh sebagai pencegah ransomware, karena penyerang tidak bisa menemukan dan mengambil alih kontrol domain, mengenkripsi, atau mencuri data dari drive yang tidak bisa mereka akses.
Keuntungan
Cyber deception melengkapi kontrol keamanan yang sudah ada dengan mendeteksi aktivitas seperti penemuan aset, pergerakan lateral, eskalasi hak akses, dan pengumpulan informasi—hal-hal yang biasanya sulit dideteksi oleh alat lain. Teknologi ini sangat skalabel, sehingga dapat melindungi permukaan serangan yang terus berkembang.
Banyak aktivitas serangan yang bisa terdeteksi melalui deception adalah aktivitas yang secara tradisional sulit untuk diidentifikasi. Contohnya termasuk pergerakan lateral, pencurian dan penggunaan ulang kredensial, pengintaian internal, serangan man-in-the-middle (MiTM), serta serangan terhadap layanan direktori seperti LDAP atau AD.
Kemampuan untuk menipu, mengarahkan, dan membelokkan penyerang dari aset penting membuat mereka gagal mencapai tujuan dan membuka cara mereka bergerak dalam jaringan. Hal ini juga berdampak pada peningkatan biaya serangan, karena penyerang harus membedakan mana yang asli dan mana yang palsu, dan bahkan bisa memaksa mereka mengulang seluruh proses serangan dari awal.