TechTarget

Getty Images/Blend Images

Conseil

Comment les leurres améliorent la chasse aux menaces et la réponse à incident

Les technologies de leurre peuvent aider à accélérer la détection des menaces et leur progression dans le système d’information. Et dès lors à améliorer l’efficacité des réponses.

Dave Shackleford
par
Publié le: 07 nov. 2018

Un nouveau segment du marché de la cybersécurité est apparu ces dernières années, combinant défense active avec le concept traditionnel des pots de miel, ou honeypots voire honeynets (un réseau de pots de miel), ces pièges à attaquants bien connus. Ces outils, relevant des technologies de leurre, peuvent être configurés pour intercepter les attaques en cours en attirant l'attaquant vers des systèmes et des applications fonctionnant expressément pour les occuper pendant que les défenseurs observent leur comportement et apprennent ce qu'ils font, travaillent pour bloquer ou répondre à leurs actions, ou aux deux.

L'un des principaux avantages de l'utilisation de leurres est qu'il y très peu de faux positifs à en attendre – quiconque accède à des systèmes ou à des données leurres est, soit activement engagé dans un comportement d'attaque, soit en violation intentionnelle ou accidentelle des politiques internes.

Comment fonctionnent les technologies de leurre

Les outils de leurre imitent souvent des systèmes et des actifs réels pour attirer les attaquants. Afin de mieux imiter la réalité, les outils de cette catégorie devraient inclure : de multiples types de leurres de système d'exploitation ; des leurres (honeytokens) qui peuvent être utilisés dans l'environnement de diversion ; des documents et des informations capables d’intéresser un attaquant (fausses données sensibles) et des déploiements flexibles avec des réseaux internes types recouvrant serveurs et postes de travail ; des environnements cloud et une infrastructure informatique spécialisée, comme des plateformes de contrôle industriel (ICS/Scada) ou de traitement de paiement par carte bancaire.

Les leurres peuvent détecter de nombreuses activités : reconnaissance précoce des utilisateurs et des systèmes, exploitation de vulnérabilités, détournement d’identifiants, déplacement latéral, attaques contre les annuaires, interceptions de communications, ou encore accès à des données sensibles et tentatives d’exfiltration.

Les cas d’usages des leurres

Il existe de nombreux cas d'utilisation des leurres et de nombreuses manières dont ils aident et améliorent les activités de chasse aux menaces et de réponse à incident.

Tout d'abord, les activités de chasse aux menaces peuvent être immédiatement déclenchées lorsqu'un des pièges est activé. Cela permet d’abréger le jeu du chat et de la souris, ainsi que les faux positifs qui surviennent souvent avec les autres techniques de détection. Et bien sûr, les actions de remédiation s’en retrouvent accélérées.

Grâce aux leurres, les équipes de sécurité peuvent se concentrer immédiatement sur les actifs affectés pour les examiner et surveiller la progression de la menace. La collecte d’indicateurs de compromission susceptibles de renseignement sur l’attaquant, voire sur ses intentions, est également accélérée.

En outre, les leurres peuvent être utilisés pour modifier dynamiquement l’environnement perçu par l’attaquant pour le tenir occupé plus longtemps et en apprendre plus sur lui. Qui plus est, certains leurres peuvent embarquer des marqueurs traçables qui peuvent révéler l'emplacement d'un attaquant s'il télécharge ou exfiltre des fichiers.

Enfin, les leurres peuvent être utilisés dans des exercices d’entraînement red team/blue team (attaque/défense) pour construire et améliorer les contrôles défensifs et affiner les processus d'intervention en cas d'incident à partir de modèles d'attaque observés dans l'environnement. Certains systèmes de leurres proposent des API permettant de les intégrer à d'autres systèmes de surveillance et de remédiation, pour automatiser et améliorer tous les aspects du cycle de détection et de réponse.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close