Renforcez vos cyberdéfenses grâce à nos deux techniques de tromperie

Les stratégies de déception sont un ensemble de technologies et de techniques utilisées dans un environnement informatique dans le but d’attirer un adversaire.

Par exemple, ces technologies pourraient permettre à un attaquant de se connecter à un environnement renforcé et contrôlé, qui ressemble à un environnement réel, puis vous permettre de capturer toute activité frauduleuse qu’il effectuera.

Ils attirent les adversaires qui sont toujours à la recherche de fruits à portée de main qu’ils peuvent rapidement exploiter.

Ces « pièges » permettent aux organisations de détecter les activités malveillantes en créant des signaux plus forts qui sont souvent ignorés par les solutions traditionnelles telles que les logiciels antivirus. Par exemple, un pirate qui a obtenu les identifiants d’un domaine et qui se connecte d’une machine à l’autre pour obtenir des données sensibles (les antivirus ne s’en aperçoivent pas).

L’objectif de ces stratégies est double :

1. Détection précoce des attaquants qui opèrent sous le radar entre les lignes de défense traditionnelles (points finaux et pare-feu, par exemple).
2. Recueillir des informations sur le comportement de l’attaquant et, par conséquent, fournir une réponse plus efficace.

À une époque où le temps et la rapidité sont des éléments clés de la cyberguerre, la déception est un aspect crucial pour une raison simple : réduire le temps qu’un attaquant passera à cibler vos actifs les plus critiques et garder une longueur d’avance sur l’adversaire !

En effet, en mettant en œuvre des technologies de déception telles que les pots de miel, vous détournerez l’attention de l’adversaire de vos précieux actifs critiques. Pendant ce temps, vous apprendrez comment ils opèrent, vous aurez plus de temps pour préparer votre réponse et vous serez en mesure d’avoir une longueur d’avance.

Deuxièmement, la déception vous permet de détecter des comportements suspects sur votre réseau dans les phases initiales d’un schéma d’attaque commun. En fait, ils seront particulièrement utiles pendant les phases de découverte et de déplacement latéral d’une attaque (cf. le cadre ATT&CK de MITRE).

Il existe de nombreuses technologies différentes en matière de tromperie, telles que les pots de miel, les émulations de services, les canaris et les honeytokens. Dans notre cas, nous nous concentrons principalement sur les pots de miel et les canaris. Ce sont les plus couramment utilisés et ils existent sous la forme de solutions commerciales ou de logiciels libres prêts à l’emploi.

Un pot de miel est un mécanisme de sécurité informatique mis en place pour détecter et contrer les tentatives d’utilisation non autorisée des systèmes d’information. Il en existe deux types :

• Passif : rien de plus qu’un leurre (par exemple, un port ouvert).
• Actif : collecte des informations auprès de l’attaquant, met à jour les pare-feu, crée des indicateurs de compromission (IoC). Nous analysons les actions enregistrées ultérieurement.

Il existe également des pots de miel internes et externes :

• Interne : conçu pour aider à identifier les menaces internes. Ils génèrent une quantité raisonnable de journaux et peuvent facilement aider à identifier tout accès non autorisé.
• Externe : en fonction de l’exposition du pot de miel, la quantité de logs peut devenir très importante et nécessiter des modules supplémentaires (par exemple, Log Correlation), mais ils peuvent aider à comprendre le comportement d’un pirate. Par exemple, vous pouvez créer un sous-domaine de type « honeypot » pour identifier les activités suspectes afin de mettre en place des mécanismes de défense sur vos vrais sous-domaines.

Attention : un pot de miel externe doit être isolé du reste de votre infrastructure, sinon vous risquez de laisser entrer le pirate. Dans le cas d’un réseau interne, le pirate est déjà à l’intérieur du réseau. Il est donc très important de tenir compte de la sécurité lors de la mise en place, car dans les deux cas, une sécurité et une isolation inadéquates pourraient néanmoins permettre au pirate de mieux s’implanter.

Les canaris sont des fichiers placés dans des zones où un utilisateur normal ne se rendrait pas. Le jeton est inséré dans le fichier. Ces fichiers sont surveillés et si un acteur malveillant ouvre le fichier, une alerte est automatiquement déclenchée. Et bien qu’il ne recueille pas de journaux pour une utilisation ultérieure, il vous donne la certitude que quelqu’un accède à quelque chose qu’il ne devrait pas. Par exemple, un fichier « password.xls » placé sur le bureau.

Le principal avantage d’une telle stratégie est le retour sur investissement (ROI). En effet, elles restent très efficaces avec un faible investissement en temps et en ressources.

Comme nous l’avons déjà mentionné, s’ils sont bien conçus, ils éloigneront les attaquants de vos actifs réels, alerteront votre équipe et lui permettront d’apprendre et d’adapter sa stratégie de réponse.

Deuxièmement, ils s’adaptent aussi bien aux grandes qu’aux petites organisations.

Enfin, il s’agit d’actifs utiles qui enrichiront vos capacités de cybersécurité ou votre SOC et aideront vos analystes à faire face à une cyberattaque en cours. Toutefois, ils ne doivent pas être considérés comme une solution miracle et doivent être intégrés dans une stratégie globale de cybersécurité.

Comme indiqué au début de l’article, les principaux cas d’utilisation de la tromperie sont la détection et les enquêtes.
Les techniques sont donc utilisées :

• En temps réel : en service sur votre réseau à des fins de détection.
• Lors d’une cyber-attaque : pour la collecte de cyber-renseignements (IoCs).

Le pot de miel étant un composant de détection autonome, il est particulièrement utile dans les environnements où un logiciel ne peut pas être installé sur le système d’information.

Bien qu’ils puissent être déployés sur n’importe quel réseau, leur valeur est encore plus grande sur les réseaux dont les capacités de surveillance et de détection d’événements sont limitées. En outre, leur conception portable et autonome leur permet d’être déployés parallèlement à vos autres services sans en affecter les performances.

Aucune de ces solutions n’est coûteuse, mais leur conception est cruciale et doit être prise en compte pour éviter qu’elles ne paraissent suspectes, faute de quoi les pirates les éviteront complètement. Un large éventail de solutions s’offre à vous, tout dépend de vos besoins et de vos ressources.

Les canaris sont faciles à déployer et, après une conception initiale, ils ne requièrent aucun effort puisqu’ils serviront simplement de pièges et vous alerteront au cas où quelqu’un y accéderait. Cependant, ils ne peuvent pas prendre de mesures automatisées.

Exemple de canaris gratuits : https://canarytokens.org/generate

Les pots de miel, en revanche, peuvent être plus complexes à mettre en place. Ils nécessitent la mise en œuvre de services et leur configuration correcte. En fonction de la quantité de journaux générés (par exemple, un pot de miel externe enregistrera les tentatives d’attaques réelles, mais aussi les analyses générales de l’internet), vous pourriez éventuellement avoir besoin de services supplémentaires. En général, vous essayez d’émuler des services bien connus avec des pots de miel (par exemple, un service web, un service ftp, un service de bureau à distance, un service de partage de fichiers, …) pour attirer les pirates.

Exemple d’outils : https://www.activecountermeasures.com/free-tools/adhd/

Comme indiqué précédemment, pour que ces solutions soient efficaces, elles doivent être correctement configurées. Dans le cas contraire, le pirate informatique pourrait accéder à l’ensemble de votre infrastructure. Il est important de les mettre en œuvre correctement et les experts en cybersécurité peuvent vous aider à cet égard.

Deuxièmement, vous devez tenir compte de vos ressources. Les pots de miel collectent des journaux, ce qui peut générer des tonnes de trafic. Vous devez être en mesure de collecter et de traiter ces journaux pour qu’ils soient utiles. Nous importons les logs dans votre SIEM et les analysons pour fournir des informations précieuses sur l’attaquant et son comportement.

Vous pouvez confier ces services à des experts si vous ne disposez pas des capacités internes nécessaires pour les gérer vous-même.

Lorsque vous entamez un tel projet, voici quelques points à vérifier :

• De quelle technique trompeuse avez-vous besoin ?
• Quels sont vos actifs critiques et où devez-vous déployer vos solutions de déception ?
• Si vous souhaitez déployer des pots de miel, quels sont les services les plus pertinents à émuler (HTTP, FTP, TELNET, …) ?
• Combien de temps souhaitez-vous conserver les registres ?
• Quel doit être votre canal d’alerte (mail, SMS, slack, …) ?
• De quelles ressources informatiques avez-vous besoin ?
• Disposez-vous des effectifs nécessaires pour lancer un tel projet ?
• Disposez-vous du personnel nécessaire pour examiner les alertes ?
• Disposez-vous d’un plan d’intervention en cas de détection d’une activité suspecte ?