Deception: perché una trappola vale più di un altro alert

La giornata tipica di chi difende è fatta di una cosa sola: alert, e quasi tutti falsi positivi. L'intera industria della sicurezza è costruita sull'idea di "trovare l'attaccante nel rumore". La deception ribalta il problema. Invece di cercare l'ago nel pagliaio, piazza dei fili tesi che solo un intruso può far scattare. La proprietà che la definisce è questa: un utente legittimo non ha alcun motivo di toccare un'esca, quindi ogni singola interazione è un vero positivo. In un mondo di alert fatigue, un allarme che non può essere un falso positivo vale oro.

Il vantaggio fondamentale: zero falsi positivi

La detection è probabilistica: si chiede "questo comportamento è malevolo?" e vive perennemente nel dubbio - più dati raccogli, più falsi positivi generi. La deception è deterministica: si chiede "qualcuno ha toccato l'esca?", e la risposta è sì o no. È un'inversione anche dell'economia della difesa: la detection fa lavorare di più il difensore man mano che i dati crescono; la deception fa lavorare di più l'attaccante, che non può più distinguere il reale dal finto e a ogni mossa rischia di far scattare un filo. È un principio vecchio quanto solido: lo formalizzò Lance Spitzner con l'Honeynet Project già intorno al 2000 - qualsiasi traffico verso un honeypot è, per definizione, sospetto.

Non è solo "un honeypot": lo spettro della deception

Ridurre la deception a "un server-trappola" è un errore. È uno spettro. Ci sono i canary token (o honeytoken): credenziali finte, una falsa chiave API, una falsa chiave AWS, un documento-esca - economici, li semini ovunque, e se qualcuno li usa hai un segnale di compromissione pulito. Thinkst con i suoi Canary e il servizio gratuito canarytokens.org hanno reso questo approccio mainstream. Ci sono gli honeypot veri e propri: servizi finti (SSH, HTTP, database) che sembrano reali e registrano ogni mossa - a bassa interazione (emulati, economici, sicuri) o ad alta interazione (sistemi quasi reali, intel più ricca ma più rischio). Ci sono le honeynet, interi ambienti finti per studiare il comportamento degli avversari. E ci sono account, file e host-esca sparsi nella rete reale come fili tesi. MITRE ha persino formalizzato il tutto in un framework, MITRE Engage, dedicato all'ingaggio e all'inganno dell'avversario.

Dove conta davvero: il movimento laterale

Un honeypot esposto su Internet cattura quasi solo rumore: bot e scanner automatici. Il valore vero della deception è interno. Una volta che un attaccante è entrato - via phishing, ClickFix, credenziali rubate - si muove lateralmente, cercando credenziali e bersagli. È il momento più pericoloso, ed è proprio quello che la detection classica spesso si perde. Un account-amministratore esca, una falsa condivisione "backup", un honeytoken dentro il password manager: queste trappole scattano esattamente nel punto e nel momento giusti, sulla tattica di lateral movement della matrice MITRE ATT&CK. È così che la deception abbassa il tempo di detection: non aspetti di riconoscere l'attaccante, lo fai inciampare.

Come si costruisce: cosa ho imparato con Mirage

La sfida moderna della deception è la credibilità: un honeypot fatto male è un cartello che dice "honeypot qui", e l'attaccante esperto se ne va. È il problema che ho affrontato costruendo Mirage, la mia piattaforma di deception. Architettura a container che emula servizi vulnerabili - SSH, HTTP, database - con un LLM leggero che genera risposte coerenti e realistiche: chi entra non trova un banner "access denied", trova un sistema che sembra vero, con file system, utenti e risposte sensate.

Ma il pezzo che conta non è l'esca: è cosa succede dopo. Ogni interazione viene arricchita (VirusTotal, AbuseIPDB), trasformata in un profilo dell'attaccante, e - la parte cruciale - inviata all'XDR (Presidio). Così un singolo tocco su un'esca fa scattare in automatico un playbook SOAR: apre un caso, blocca l'IP sull'intera infrastruttura. La deception non è una curiosità a sé stante; è un feed ad altissimo segnale dentro la pipeline di risposta. Il valore è nell'integrazione, esattamente come per un XDR.

I limiti onesti

La deception non è una bacchetta magica, e venderla come tale sarebbe disonesto. Rileva, non previene: ti dice che qualcuno è entrato, non gli impedisce di entrare. Le esche devono essere credibili: una trappola evidente è peggio di niente, perché insegna all'attaccante a riconoscerle. Gli honeypot ad alta interazione portano rischio: un sistema quasi-reale può diventare un trampolino se non è isolato come si deve. E soprattutto la deception completa detection e prevenzione, non le sostituisce. È un livello in più, non l'unico livello.

Una guida per iniziare

• Parti dai canary token: sono il punto di ROI più alto - gratuiti con canarytokens.org, o gestiti con Thinkst.
• Semina esche dentro la rete, non solo sul perimetro: è lì che catturi il movimento laterale.
• Rendile credibili: nomi realistici, posizioni plausibili, contenuti coerenti.
• Collegale alla risposta: un'esca toccata deve far scattare qualcosa - una notifica, un playbook - non finire in un log che nessuno legge.
• Piazzale dove va l'attaccante: condivisioni "admin", store di credenziali, server di backup.

La conclusione

La detection si chiede "questo è malevolo?" e convive con il dubbio. La deception si chiede "qualcuno ha toccato la cosa che solo un attaccante toccherebbe?" e risponde con certezza. Nell'era dell'alert fatigue, l'allarme dal segnale più alto che puoi costruire è quello che non può essere un falso positivo. Smetti di cercare l'ago nel pagliaio: tendi il filo, e aspetta che inciampino.