DE­CEP­TIVE SE­CU­RI­TY

OU COM­MENT LEUR­RER L’AT­TA­QUANT !

L'Informaticien - - T E N D A N C E S’ 1 8 - B. G.

LA SÉ­CU­RI­TÉ PAR DÉ­CEP­TION – OU DE­CEP­TIVE SE­CU­RI­TY, EN AN­GLAIS – SE PRÉ­SENTE COMME UNE NOU­VELLE AP­PROCHE POUR CONTRER DES AT­TAQUES COMME LES ME­NACES PER­SIS­TANTES AVAN­CÉES ( APT) EN LEURRANT ET EN DÉCOURAGEA­NT LES AT­TA­QUANTS. LE POINT SUR CES TECH­NIQUES QUI REM­PORTENT L’ADHÉ­SION DE NOM­BREUSES EN­TRE­PRISES.

Les tech­niques de dé­cep­tion émergent dans les ar­se­naux de la cy­ber­dé­fense. Elles com­plètent les tech­niques de dé­fense exis­tantes qui ont du mal à suivre le rythme et les mé­thodes des at­taques nou­velles. Ces tech­niques clas­siques ont de plus le dé­faut de gé­né­rer de nom­breuses alertes ame­nant à man­quer celles les plus cri­tiques. Les tech­niques de dé­cep­tion se placent du point de vue de l’at­ta­quant dans ses ac­tions d’in­tru­sion, de mou­ve­ment sur le ré­seau et d’ex­fil­tra­tion des don­nées. Elles visent à com­plé­men­ter les tech­no­lo­gies pré­sentes dans l’en­tre­prise pour ap­por­ter une plus grande vi­si­bi­li­té sur le ré­seau, don­ner des alertes per­ti­nentes et ap­por­ter une connais­sance pré­cise sur l’at­taque me­née. Le prin­cipe en lui- même est simple : dé­ployer des pièges ou des leurres pour trom­per ou déso­rien­ter l’at­ta­quant. Chaque er­reur de ce der­nier se trans­forme alors en alerte à très forte pro­ba­bi­li­té d’in­ci­dent. Elle per­met au dé­fen­seur de ga­gner du temps mais aus­si d’ana­ly­ser l’at­taque pour mieux la contrer, ou l’ar­rê­ter. Une des li­mites des « pots de miel » étaient de de­man­der des res­sources et d’être dif­fi­ci­le­ment dé­ployer à une vaste échelle. Les tech­niques « de­cep­tive » visent jus­te­ment à adres­ser ces deux pro­blèmes. Les tech­niques de dé­cep­tion visent à dé­ployer des leurres de ma­nière in­dus­trielle et sur des pé­ri­mètres éten­dus. Deux tech­niques existent : dé­ploie­ment d’en­vi­ron­ne­ment leurre dé­dié ou dé­ploie­ment d’agents leurre dans un en­vi­ron­ne­ment exis­tant. Si l’in­dus­tria­li­sa­tion re­pré­sente une avan­cée ma­jeure, ce­la ne jus­ti­fie pas d’y voir une nou­velle ca­té­go­rie d’outils, ils ont sur­tout la ca­pa­ci­té à mieux dis­si­mu­ler les leurres en ra­con­tant une his­toire à l’at­ta­quant pour mieux le gui­der vers les pièges. Des in­for­ma­tions, ap­pe­lées miettes, sont dis­sé­mi­nées dans l’en­vi­ron­ne­ment exis­tant. Elles ont deux buts dis­tincts : un mé­ca­nisme de pro­tec­tion en gui­dant les at­ta­quants vers de fausses pistes et un but de dé­tec­tion des at­taques. Cha­cune des miettes re­pré­sente un in­dice pour l’at­ta­quant en ex­plo­rant les dif­fé­rentes res­sources qui une fois in­ter­pré­tées mènent l’at­ta­quant vers les pièges. La dif­fi­cul­té consiste à créer des scé­na­rios plau­sibles et va­riés pour pié­ger les at­ta­quants. Les dé­ploie­ments à large échelle de leurres servent à aug­men­ter les chances de dé­tec­tion. Dès que l’at­ta­quant a pris contact avec un leurre il est re­pé­ré et peut être étu­dié ou blo­qué sui­vant les choix réa­li­sés. Cer­taines so­lu­tions poussent même jus­qu’à in­toxi­quer l’at­ta­quant en lui four­nis­sant de fausses in­for­ma­tions, lui fai­sant croire qu’il a réus­si son at­taque.

De nom­breux avan­tages

La mise en place de leurre est trans­pa­rente pour les équipes IT et les uti­li­sa­teurs dans l’en­tre­prise. Les taux de fausses alertes est faible puis­qu’une uti­li­sa­tion lé­gi­time n’a au­cun be­soin d’al­ler vers ces leurres. Il n’est de plus be­soin de connaître préa­la­ble­ment le type d’at­taque pour être ef­fi­cace et ne né­ces­site pas de mise à jour conti­nue. Même si une connais­sance du ré­seau est né­ces­saire, les so­lu­tions de dé­cep­tion ne né­ces­sitent pas d’ap­pren­tis­sage ni de seuil de règles. Elle est donc ef­fi­cace dès son dé­ploie­ment et n’est pas vul­né­rable pen­dant cette phase de dé­fi­ni­tion de la « nor­ma­li­té » du ré­seau. Si un lien avec des outils de cor­ré­la­tion comme des SIEM peuvent être un plus, il n’est pas obli­ga­toire d’en avoir un, le seul fait d’avoir pris contact avec un leurre suf­fit à lan­cer une alerte qu’il faut ana­ly­ser. Les leurres peuvent se dé­ployer sur des en­vi­ron­ne­ments sou­vent dif­fi­ciles à pro­té­ger comme des en­vi­ron­ne­ments IoT et ap­por­ter une pro­tec­tion que ne couvre pas les outils clas­siques de sé­cu­ri­té. Ain­si la so­lu­tion Ma­zeRun­ner de Cym­me­tria pro­pose des leurres pour les en­vi­ron­ne­ments SCADA. TrapX est un autre ac­teur pro­po­sant de dé­ployer des leurres pour pro­té­ger des en­vi­ron­ne­ments IoT avec sa so­lu­tion De­cep­tion Grid. ❍

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.