Arctic Wolf introduceert een nieuwe beveiligingstool die zich richt op een bekend probleem in cybersecurity: het vroegtijdig detecteren van diefstal van inloggegevens. Met Decipio wil het bedrijf securityteams helpen om aanvallers te identificeren op het moment dat zij binnen een netwerk actief worden, nog voordat zij daadwerkelijk schade kunnen aanrichten.

De tool van Arctic Wolf wordt beschikbaar gesteld via een besloten bètaprogramma. Toegang is niet vrij, maar wordt per aanvraag beoordeeld en alleen verleend aan geverifieerde cybersecurityprofessionals. Daarmee kiest de leverancier bewust voor een gecontroleerde verspreiding van de technologie.

Het stelen van logingegevens blijft volgens het eigen dreigingsonderzoek van Arctic Wolf een van de meest gebruikte toegangspunten voor aanvallers. Die methode is bovendien lastig vroeg te detecteren, omdat de activiteiten vaak opgaan in normaal netwerkverkeer. Decipio is ontwikkeld om juist dat moment zichtbaar te maken, nog voordat gestolen credentials worden ingezet voor laterale bewegingen of verdere compromittering.

Volgens Ismael Valenzuela, verantwoordelijk voor threat intelligence research bij Arctic Wolf, verschuift het speelveld door automatisering en stillere aanvalstechnieken. Hij stelt dat organisaties het zich niet kunnen permitteren om pas te reageren nadat een aanval al effect heeft gehad. In zijn visie is Decipio opgezet vanuit een benadering waarbij verdediging vooropstaat en waarbij aanvallers zo vroeg mogelijk worden geïdentificeerd. Hij benadrukt daarnaast dat het delen van de tool binnen een gecontroleerde community bedoeld is om gezamenlijk te werken aan een verantwoorde inzet van AI in cybersecurity.

Decipio keert bekend aanvalspatroon om

De werking van Decipio grijpt in op een bekend mechanisme binnen netwerken. Systemen die een andere machine niet kunnen vinden, sturen verzoeken rond om alsnog een verbinding te leggen. Aanvallers maken daar misbruik van door zich voor te doen als het gezochte systeem en zo inloggegevens te onderscheppen. Decipio draait dat principe om en zet het in als detectiemiddel. De tool genereert netwerkverzoeken naar fictieve bronnen die in een normale situatie niet zouden mogen bestaan. Legitieme systemen negeren dergelijke verzoeken, maar kwaadaardige actoren reageren er juist op.

Op het moment dat er een reactie binnenkomt, fungeert dat als een direct signaal dat er iets niet klopt. Volgens Arctic Wolf is daarvoor weinig afstemming of historische data nodig. De tool registreert het gedrag, legt bewijsmateriaal vast en presenteert dit op een manier die analyse door securityteams moet vereenvoudigen.

De keuze om Decipio niet volledig open source te maken hangt samen met bredere ontwikkelingen rond AI en automatisering. Arctic Wolf wijst erop dat open beschikbaarheid van defensieve technieken ook kan leiden tot versnelling van aanvallen, bijvoorbeeld door grootschalige scraping en hergebruik. Door de toegang te beperken, probeert het bedrijf een balans te vinden tussen samenwerking met de community en het beperken van misbruik.