Arctic Wolf heeft een nieuwe beveiligingstool ontwikkeld die zich richt op het vroegtijdig opsporen van diefstal van inloggegevens. Met Decipio wil het bedrijf securityteams ondersteunen bij het identificeren van aanvallers zodra zij actief worden binnen een netwerk, nog voordat zij schade kunnen veroorzaken.

De tool wordt aangeboden via een besloten bètaprogramma, waarbij toegang alleen wordt verleend aan geverifieerde cybersecurityprofessionals na beoordeling van hun aanvraag. Deze gecontroleerde verspreiding is een bewuste keuze van Arctic Wolf. Uit het eigen dreigingsonderzoek blijkt dat het stelen van credentials een van de meest gebruikte methoden is voor aanvallers om toegang te krijgen. Het vroeg detecteren van deze activiteiten is lastig omdat ze vaak opgaan in normaal netwerkverkeer. Decipio is specifiek ontworpen om dit gedrag zichtbaar te maken, nog voordat gestolen inloggegevens worden gebruikt voor laterale bewegingen of verdere compromittering.

Volgens Ismael Valenzuela, verantwoordelijk voor threat intelligence research bij Arctic Wolf, verandert het dreigingslandschap door automatisering en steeds subtielere aanvalstechnieken. Organisaties kunnen het zich niet veroorloven om pas te reageren nadat een aanval effect heeft gehad. Decipio is daarom ontwikkeld met een proactieve verdedigingsstrategie, waarbij aanvallers zo vroeg mogelijk worden opgespoord. Het delen van de tool binnen een gecontroleerde community moet bijdragen aan een verantwoorde inzet van AI in cybersecurity.

Decipio maakt gebruik van een omgekeerde techniek van een bekend netwerkmechanisme. Normaal gesproken sturen systemen verzoeken rond om verbinding te maken met een andere machine die ze niet kunnen vinden. Aanvallers misbruiken dit door zich voor te doen als die machine om zo inloggegevens te onderscheppen. Decipio genereert juist netwerkverzoeken naar fictieve bronnen die niet zouden mogen bestaan. Legitieme systemen negeren deze, maar kwaadaardige actoren reageren erop. Een reactie is een direct signaal dat er iets mis is. De tool registreert dit gedrag, legt bewijsmateriaal vast en presenteert dit overzichtelijk voor analyse door securityteams, zonder dat daarvoor veel afstemming of historische data nodig is.

Arctic Wolf kiest er bewust voor Decipio niet volledig open source te maken vanwege de risico's rond AI en automatisering. Open beschikbaarheid van defensieve technieken kan ook leiden tot versnelling van aanvallen, bijvoorbeeld door grootschalige scraping en hergebruik. Door de toegang te beperken, zoekt het bedrijf een balans tussen samenwerking binnen de community en het voorkomen van misbruik.