Cybersécurité : CommVault se met à l’heure des leurres

CommVault vient d’annoncer le lancement d’un programme d’accès anticipé à son nouveau service ThreatWise. Celui-ci s’appuie sur des leurres, et plus précisément sur ceux de TrapX, jeune pousse rachetée en février.

Début 2016, Greg Enriquez, alors PDG de TrapX, assurait que les nouveaux outils de leurre ne nécessitent pas d’installation et d’administration aussi complexe qu’un pot de miel traditionnel. « Les pots de miel sont utilisés depuis la fin des années 90, et beaucoup d’organisations auraient aimé en mettre en place. Mais il fallait des personnes très compétentes pour cela, et il fallait les construire soi-même, travailler avec des outils Open Source spécifiques, et généralement utiliser ses systèmes complets. Dès lors, il fallait appliquer correctifs et mises à jour et les administrer en s’assurant qu’ils n’étaient pas détournés ».

TrapX a développé la solution DeceptionGrid, et revendiquait un niveau élevé d’automatisation de ces processus en s’appuyant sur l’émulation pour simplifier l’administration : « c’est l’émulation d’un système d’exploitation ; pas un véritable système d’exploitation. Ainsi, il ne peut pas être utilisé contre vous ou exploité au-delà de la compromission initiale. Le contrôle est complet sur cet environnement. Nous alertons dès l’approche initiale des attaquants, soit pour actualiser les autres outils de sécurité, soit pour attirer les attaquants plus avant. Nous déployons un VLAN, analysons ce qui s’y trouve, et disposons un environnement émulé près des actifs de production en plaçant en liste blanche tout ce qui, en interne, peut avoir à accéder à ces actifs ».

Début 2020, TrapX a ajouté à DeceptionGrid des leurres émulant les progiciels SAP. L’éditeur disposait alors déjà de capacités d’émulation de serveurs, postes de travail – y compris macOS –, systèmes de stockage, équipements réseau, systèmes de VoIP, Scada (ICS), ou encore objets connectés, terminaux de point de vente et systèmes médicaux.

Récemment, Sanjay Mirchandani, PDG de CommVault, expliquait à nos confrères de SearchDatabackup (groupe TechTarget), la logique du rachat de TrapX : « sa mise en œuvre constitue une approche proactive qui fonctionne avec toutes les douves et les murs et les signaux à l’extérieur, elle fonctionne avec tout cela pour obtenir un signal de bonne qualité qui dit : “cela semble bizarre ; les données sont peut-être peut-être corrompues ou compromises”. Nous pouvons alors nous assurer que ce que nous sauvegardons est une version propre, des données qui n’ont pas été altérées ».

CommVault n’est pas le seul à s’intéresser aux leurres. Début mai, SentinelOne a finalisé l’acquisition d’Attivo Networks. Précédemment, Digital Defense avait misé sur la technologie de cette jeune pousse pour ajouter une couche de protection supplémentaire aux actifs identifiés comme à risque avec sa plateforme de gestion des vulnérabilités.