Le piratage informatique revient souvent à fouiller dans un sac sans regarder à l’intérieur. S’il s’agit de votre sac, vous savez où regarder et à quoi ressemblent les objets. Vous pouvez saisir un stylo en quelques secondes, tandis qu’une autre personne peut prendre un eyeliner.
De plus, ils peuvent faire du grabuge dans leur recherche. Ils fouilleront le sac plus longtemps que vous ne le feriez, et le bruit qu’ils font augmente le risque que vous les entendiez. Si vous ne l’avez pas fait, le désordre dans votre sac vous indique que quelqu’un a fouillé dans vos affaires. La technologie de la tromperie fonctionne de la même manière.
Qu’est-ce que la technologie de la tromperie ?
La technologie de la déception fait référence à l’ensemble des tactiques, des outils et des leurres que les équipes bleues utilisent pour détourner les attaquants des biens de sécurité les plus précieux. Au premier coup d’œil, l’emplacement et les propriétés du leurre semblent légitimes. En effet, le leurre doit être suffisamment attrayant pour qu’un attaquant le considère comme suffisamment précieux pour interagir avec lui.
L’interaction d’un attaquant avec des leurres dans un environnement de sécurité génère des données qui donnent aux défenseurs un aperçu de l’élément humain à l’origine d’une attaque. L’interaction peut aider les défenseurs à découvrir ce qu’un attaquant veut et comment il compte l’obtenir.
Pourquoi les équipes bleues utilisent-elles la technologie de la déception ?
Aucune technologie n’est invincible, c’est pourquoi les équipes de sécurité partent du principe qu’il y a une brèche par défaut. Une grande partie de la cybersécurité consiste à déterminer quels actifs ou utilisateurs ont été compromis et comment les récupérer. Pour ce faire, les opérateurs de l’équipe bleue doivent connaître l’étendue de l’environnement de sécurité qu’ils protègent et les biens qui s’y trouvent. La technologie de déception est l’une de ces mesures de protection.
Rappelons que l’objectif de la technologie de déception est d’amener les attaquants à interagir avec des leurres et de les détourner des biens de valeur. Pourquoi ? Tout se résume à une question de temps. Le temps est précieux en cybersécurité, et ni l’attaquant ni le défenseur n’en ont jamais assez. L’interaction avec un leurre fait perdre du temps à l’attaquant et donne au défenseur plus de temps pour répondre à une menace.
Plus précisément, si un attaquant pense que le leurre avec lequel il a interagi est une vraie affaire, il n’a aucun intérêt à rester à découvert. Il exfiltre les données volées et s’en va (généralement). En revanche, si un attaquant avisé se rend rapidement compte que l’actif est faux, il sait qu’il a été démasqué et ne peut pas rester longtemps sur le réseau. Dans les deux cas, l’attaquant perd du temps et l’équipe de sécurité est prévenue et dispose de plus de temps pour répondre aux menaces.
Comment fonctionne la technologie de la tromperie
Une grande partie de la technologie de la tromperie est automatisée. Le leurre est généralement constitué de données ayant une certaine valeur pour les pirates : bases de données, informations d’identification, serveurs et fichiers. Ces biens ont la même apparence et le même fonctionnement que les vrais biens, et travaillent même parfois en parallèle avec les vrais biens.
La principale différence est qu’il s’agit de leurres. Par exemple, les bases de données leurres peuvent contenir de faux noms d’utilisateur et mots de passe administratifs liés à un serveur leurre. Cela signifie que les activités impliquant une paire de noms d’utilisateur et de mots de passe sur un serveur leurre – ou même sur un vrai serveur – sont bloquées. De même, les identifiants leurres contiennent de faux jetons, hachages ou tickets Kerberos qui redirigent le pirate vers un bac à sable.
En outre, les leurres sont truqués pour alerter les équipes de sécurité sur la présence du suspect. Lorsqu’un attaquant se connecte à un serveur leurre, par exemple, l’activité avertit les opérateurs de l’équipe bleue du centre d’opérations de sécurité (SOC). Entre-temps, le système continue d’enregistrer les activités de l’attaquant, comme les fichiers auxquels il a accédé (par exemple, dans les attaques par vol d’informations d’identification) et la manière dont il a exécuté l’attaque (par exemple, mouvement latéral et attaques de type « man-in-the-middle »).
Le matin, je suis heureux de voir mon ennemi étendu sous l’arbre.
Un système de déception bien configuré peut minimiser les dommages que les attaquants peuvent infliger à vos actifs de sécurité, voire les stopper net. Et comme il est en grande partie automatisé, vous n’avez pas besoin d’arroser et d’ensoleiller cet arbre jour et nuit. Vous pouvez le déployer et orienter les ressources du SOC vers des mesures de sécurité qui nécessitent une approche plus concrète.