Leurres : 5 mesures à prendre pour combattre les cyber-attaquants

Les technologies de leurre gagnent en popularité en entreprise, comme moyen de détection des incidents et d’améliorer des capacités de réaction. Les différentes options proposées par les éditeurs et les logiciels libres diffèrent considérablement en termes de profondeur et d'étendue de la couverture ainsi que des caractéristiques offertes. Mais il existe des moyens universellement applicables avec lesquels les outils techniques de leurre peuvent aider à améliorer les tactiques défensives. Voici cinq mesures à prendre pour améliorer immédiatement ses capacités de détection et d'intervention en utilisant les leurres :

1. Hiérarchiser et ajuster les systèmes de corrélation et d’alerte au sein du centre opérationnel de sécurité (SOC). L'un des avantages les plus précieux des leurres est la grande précision des résultats et des alertes générées. Les leurres ne sont essentiellement en place que pour attirer les attaquants et ceux dont les intentions sont malveillantes ou suspectes. Par conséquent, seules des alertes légitimes devraient être générées, avec peu de faux positifs, voire aucun. Certains peuvent survenir lorsqu'un utilisateur accède accidentellement à la mauvaise ressource, par exemple, mais au-delà, aucune utilisation légitime ne devrait pouvoir justifier l’accès aux leurres. Dès lors, les équipes du SOC peuvent accorder la priorité la plus élevée aux alertes provenant des systèmes de leurres. Ce qui peut accélérer les enquêtes et la remédiation.
2. Construire des cas d’usage et des playbooks pour les menaces internes. En plus de détecter les attaquants furtifs qui ont pu avoir accès à l'environnement, les leurres sont efficaces pour piéger les indélicats internes. Ceux-ci cherchent généralement à accéder à des informations sensibles et le seul processus de recherche mènera le curieux à des leurres. De quoi aider à la détection de ces menaces et à la réaction. Et cela s’en avoir à s’inquiéter des questions de confidentialité, puisque les soi-disant informations sensibles sont fausses…
3. Envisager de nouvelles tactiques de réponse automatisée. L'une des caractéristiques les plus puissantes des leurres est la capacité à effectuer des actions et des réponses automatisées, soit directement avec les outils eux-mêmes, soit par l'intégration avec d'autres solutions, comme des plateformes d’automatisation et d’orchestration.
4. Développer des renseignements sur les menaces hautement tactiques. De nombreux membres de la communauté du renseignement sur les menaces diront que la meilleure information est souvent générée à partir de son propre environnement. Et les systèmes de leurres peuvent grandement aider à la production de ces données. Les informations critiques comme les indicateurs de compromission, peuvent être facilement collectés dans des environnements leurres et utilisés pour chercher ces mêmes indicateurs et tactiques ailleurs dans l'environnement.
5. Minimiser (ou améliorer) le temps de réponse de la défense. Enfin, les leurres, avec leur détection rapide des mauvais comportements, peuvent offrir un niveau de contrôle plus granulaire sur la durée pendant laquelle les attaquants conservent réellement un accès à l'environnement. Le temps pendant lequel un attaquant rôde dans l'environnement est une chose que toutes les équipes de sécurité veulent réduire, à moins que leur but ne soit d'observer l'attaquant en action. Avec les leurres, il est possible d’ajuster cet intervalle de temps comme on le souhaite, peut-être en fonction d'attaques ou de cas d’usage spécifiques.

Comme nous pouvons le constater, les systèmes de leurres sont très prometteurs, car ils permettent d'affiner et peut-être même de réinventer de nombreux processus de sécurité défensifs essentiels.