Agence web » Actualités du digital » Renverser les rôles sur les pirates informatiques –

Renverser les rôles sur les pirates informatiques –

ParTremplin Numérique Publié le
Shutterstock / Barbol

Il est temps de renverser la situation sur les acteurs de la menace et de leur donner un avant-goût de leur propre médecine. Ces plates-formes défensives utilisent l’arme préférée des méchants contre eux: la tromperie.

Technologies de déception

Certaines cyberattaques se produisent en très peu de temps. Par exemple, quelqu’un reçoit un e-mail de phishing. Ils ne reconnaissent pas cela comme une cyberattaque. Ils essaient d’ouvrir la pièce jointe malveillante. La pièce jointe contient un petit programme de téléchargement qui s’installe sur leur ordinateur. Fidèle à son nom, le téléchargeur récupère le malware réel sur le serveur de l’acteur de la menace et l’installe. Le malware téléchargé peut être un ransomware, un adware, un cryptojacker, un cheval de Troie d’accès à distance (RAT) ou tout autre logiciel malveillant qui profitera à l’acteur de la menace aux frais de la victime.

En revanche, les cyberattaques qui impliquent infiltration ne sont pas des événements rapides et automatisés. Ce sont des processus en plusieurs étapes. L’infection initiale peut être un RAT transmis par un e-mail de phishing, mais c’est à ce moment que le travail des acteurs de la menace commence réellement. Le RAT peut être utilisé par l’acteur de la menace pour se connecter à un réseau compromis à sa guise, autant de fois qu’il le souhaite. C’est leur propre porte dérobée privée.

À leur guise, ils peuvent naviguer soigneusement dans votre réseau, observer les événements, surveiller l’activité et déterminer des éléments tels que l’emplacement de stockage de vos sauvegardes. Le jeu final pourrait encore être une attaque de ransomware. Mais si l’organisation victime est suffisamment précieuse, les acteurs de la menace doivent prendre le temps de s’assurer que leurs logiciels malveillants peuvent accéder à toutes les parties du réseau, y compris les sauvegardes. Ils veulent une propagation maximale de l’infection.

Peut-être qu’ils ne prévoient pas d’attaque de ransomware. Mais quelle que soit leur intention, lorsque les acteurs de la menace accèdent à votre réseau, ils sont des étrangers dans un pays étrange. Ils ne connaissent pas la topologie de votre réseau, la segmentation, les noms de serveurs, le logiciel de sauvegarde, etc. Pour obtenir ces informations, ils ont besoin de cartographier votre réseau en espionnant, en observant et en faisant le travail pour déterminer quoi. C’est appelé se déplacer latéralement à travers le réseau. Il est fait pour mapper le réseau, dans le cadre de l’élévation des privilèges, et pour trouver des actifs et des cibles de grande valeur.

Les technologies de déception rendent ce mouvement latéral difficile, voire impossible. Ils détectent quand quelqu’un essaie de se frayer un chemin dans votre réseau et envoient des alertes pour informer le personnel.

C’est ainsi que fonctionnent les technologies de déception.

Leurres et pots de miel

Une plate-forme de tromperie déploie de faux actifs réseau qui ressemblent à de vrais appareils pour l’acteur de la menace lorsqu’il explore votre réseau. Ce sont des leurres convaincants qui répondent comme si l’acteur menaçant sondait ou enquêtait sur un appareil réel. Mais comme personne ne devrait interagir avec les actifs leurres, toute activité sur eux est suspecte et susceptible d’être malveillante.

Vous pouvez assimiler une plate-forme de tromperie à une sorte de «détecteur de mouvement» pour votre réseau. Si quelqu’un barbote dans une zone, il ne devrait pas – qu’il s’agisse d’un acteur menaçant ou d’un employé fouineur et fouineur – il sera pris en flagrant délit.

L’un des avantages des plateformes de tromperie est qu’elles détectent l’activité. Ils n’ont pas besoin de mettre à jour une base de données de logiciels malveillants ou d’autres signatures, et ils ne peuvent pas être surpris par les menaces zero-day. Ils ne souffrent pas de faux positifs. S’il détecte une activité sur un actif de tromperie, il se passe quelque chose que vous devez examiner.

Les actifs de tromperie peuvent se faire passer pour:

  • Des ordinateurs
  • Imprimantes
  • Serveurs de fichiers
  • Les routeurs
  • Commutateurs
  • Pare-feu
  • Équipement de point de vente (POS)
  • Guichets automatiques (GAB)
  • Appareils Internet des objets (IoT)
  • Capteurs et contrôleurs industriels

Un système de tromperie vous permettra de choisir le type d’actifs de tromperie que vous souhaitez installer, mais il est généralement plus facile de permettre à la plate-forme de tromperie d’examiner votre réseau et de le remplir automatiquement avec des actifs fantômes du type couramment trouvé sur un réseau de votre type. Certains fournisseurs de plates-formes de tromperie proposent un service pour créer un actif de tromperie selon vos spécifications, pour imiter un type particulier d’appareil que vous souhaitez déployer sur votre réseau. Cela signifie que vous pouvez avoir des versions leurres de chaque type d’appareil réel sur votre réseau.

Les systèmes de tromperie peuvent également créer et surveiller des leurres et des pots de miel autres que des appareils, tels que des fichiers de configuration, des fichiers journaux et des documents susceptibles d’intéresser un acteur de la menace qui essayait de comprendre votre réseau. Dès qu’un de ces leurres est visualisé, supprimé ou copié, une alerte est déclenchée.

Des indices subtils, connus sous le nom de fil d’Ariane, peuvent être laissés dans le réseau pour pointer vers des actifs fantômes de grande valeur. Ceci est fait pour éloigner les acteurs de la menace des appareils réels et les orienter vers ce qui semble être des cibles de choix.

Un système de détection d’intrusion (IDS) tente de détecter les activités malveillantes en analysant le trafic réseau sur votre réseau réel. Une plate-forme de tromperie tente de diriger l’activité malveillante hors de votre véritable réseau et dans la zone fantôme.

Appareils fantômes, trafic fantôme

Étonnamment, les actifs de tromperie ne mettent aucune pression sur votre réseau, ni ne l’inondent de trafic. Ils ne sont pas réellement sur votre réseau comme un véritable appareil jusqu’à ce que quelqu’un essaie d’interagir avec eux. Ce sont des appareils virtuels résidant dans une ferme d’appareils ou une ferme de déception dans un environnement virtualisé qui peut être sur site ou dans le cloud. Le système de tromperie fabrique des preuves de l’existence des actifs de tromperie sur le véritable réseau.

Pour rendre les actifs de tromperie aussi réels que possible, un trafic réseau leurre est créé et même une fausse activité de l’utilisateur. Dès que quelqu’un essaie d’interagir avec un actif de tromperie, il prend vie en millisecondes – entièrement tourné dans la ferme de tromperie – afin qu’il présente des réponses et des actions du monde réel à l’acteur de la menace pendant que des alertes sont émises au personnel d’assistance.

À la connaissance de l’infiltrateur, il s’agit d’un véritable serveur, d’un guichet automatique, d’un appareil médical ou d’un autre authentique appareil en réseau.

Des actifs de tromperie peuvent être créés qui contiennent en fait un système d’exploitation complet. Ces environnements contrôlés sont utilisés pour permettre à l’acteur de la menace de mener à bien ses actions malveillantes tout en enregistrant et en surveillant ces actions afin de mieux comprendre leurs intentions. Ces informations peuvent être utilisées pour mieux prévenir leur récurrence.

En plus de déclencher des alertes, la plateforme de tromperie peut invoquer d’autres réponses. Il peut sandbox l’actif de tromperie afin que toutes les menaces injectées telles que les logiciels malveillants soient contenues. Il peut mettre en quarantaine les serveurs fantômes, ou il peut expirer les informations d’authentification pour le compte que l’acteur de la menace utilise.

Destiné aux entreprises

Les plates-formes de tromperie se trouvent le plus confortablement dans le réseau à l’échelle de l’entreprise. Les réseaux d’entreprise sont suffisamment grands pour nécessiter une cartographie minutieuse de la part de l’acteur de la menace et peuvent contenir de manière convaincante plusieurs, voire des milliers, de périphériques fantômes. Si un acteur de la menace voit que le réseau d’une petite entreprise est peuplé de manière disproportionnée d’appareils en réseau, il peut soupçonner qu’une plate-forme de tromperie est en jeu. Les réseaux plus grands camouflent naturellement les appareils supplémentaires.

Les acteurs de la menace sont conscients des plates-formes de tromperie, c’est pourquoi les actifs de tromperie doivent être répliqués de manière si précise et convaincante et doivent réagir avec des réponses apparemment réelles.

Bien sûr, vous devez toujours faire tout ce que vous pouvez pour empêcher l’attaquant de la menace d’accéder à votre réseau. Mais s’ils parviennent à pénétrer à l’intérieur, vous devez avoir quelque chose qui détectera leur présence et contiendra leurs actions. Et si cela les éloigne des actifs authentiques et les éloigne d’actifs fantômes, tant mieux.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.