TEHTRIS DECEPTIVE RESPONSE

TEHTRIS DECEPTIVE RESPONSE et ses honeypots simulent de fausses machines et services afin de leurrer les intrus.

Deceptive Response

TEHTRIS Deceptive Response fournit un système d’alarme efficace en temps réel, en amont des intrusions, apportant ainsi une vue complémentaire pour la sécurité de vos systèmes et infrastructures. En ajoutant de fausses ressources sur votre réseau, ces capteurs leurrent les agresseurs, et vous offrent des rapports et tableaux de bord d’évènements.

Contrairement aux produits qui doivent brasser des milliards de données, avec le risque de générer de fausses alertes, le service TEHTRIS Deceptive Response ne sera sollicité que lorsqu’une interaction existe envers lui, car usuellement, personne n’est censé jouer ou agresser ces fausses machines qui ne sont pas officiellement présentes sur le réseau pour des notions de production.

Quand un pirate cible un réseau équipé de TEHTRIS Deceptive Response, il prendra le risque de tomber sur les mauvaises machines, les fameux leurres, déclenchant ainsi une alarme. Le pirate n’a pas le droit de se tromper, ce qui va complexifier ses sessions d’exploration interne, et ses déplacements latéraux.

 

Dernières mises à jour

Pourquoi tehtris DECEPTIVE RESPONSE ?

EXTENSIBLE AU NIVEAU RÉSEAU

TEHTRIS Deceptive Response peut couvrir tous les VLANs d’une zone réseau sans avoir besoin de déployer manuellement une fausse machine dans chaque VLAN.

INTÉGRATION SANS RISQUE

TEHTRIS Deceptive Response ne modifie pas les systèmes en production, ajoutant simplement de fausses machines, sans risquer de perturber les éléments en place.

PUISSANCE AUGMENTÉE

TEHTRIS Deceptive Response comprend une flotte de honeypots nativement intégrée à la TEHTRIS XDR Platform avec des outils de SOAR, de CTI, de Hunting, de Compliance, de gestion d’incidents, etc.

SIMPLICITÉ

TEHTRIS Deceptive Response simplifie considérablement la complexité des projets de honeypots, en mode opéré, avec TEHTRIS qui assure le déploiement et le maintien en condition opérationnelle.

SÉCURITÉ

TEHTRIS Deceptive Response fonctionne sur des appliances utilisant la distribution TEHTRIX dont la totalité du disque est chiffrée, avec des mécanismes avancés de protection comme du RBAC dans le kernel et des protections anti-0-day.

LÉGITIMITÉ

Le Co-Fondateur de TEHTRIS a inventé des honeypots pendant plus de 20 ans en étant invité par des armées ou des services de renseignements dans le monde entier, et a notamment mené des études sur la contre-attaque ou sur les réponses à incident dynamiques et proportionnelles.

TEHTRIS SOAR

Security Orchestration, Automation and Response

En matière de cybersécurité, orchestrer les évènements et réagir aux menaces avec efficacité et célérité représente un enjeu fondamental. L’un des meilleurs moyens pour y parvenir consiste à se doter d’une automatisation et d’une intelligence artificielle particulièrement puissantes. C’est ce que TEHTRIS vous propose avec son SOAR intégré à la TEHTRIS XDR Platform.

Découvrez notre manière de créer de l’hyper automatisation ! 

Conformité Mitre Att&ck

MITRE ATT&CK est une base de connaissances avec une modélisation du comportement d’un cyber agresseur, reflétant les différentes phases du cycle de vie des attaques en fonction des plateformes ciblées : Windows, Mac, Linux, mobiles, etc.

Découvrez la compatibilité de TEHTRIS XDR avec MITRE ATT&CK

© 2020 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

quelques chiffres

999 jour

pour déployer
TEHTRIS DECEPTIVE RESPONSE

+ 0 millions

d'alertes importantes
chaque mois

+ 999 milliard

d'interactions surveillées dans le monde annuellement par les honeypots de TEHTRIS

FAQ

TEHTRIS Deceptive Response couvre toutes les couches réseaux du niveau 3 au niveau 7, afin d’offrir la possibilité aux attaquants d’interagir à distance, mais avec de fausses machines. Nous proposons ainsi de fausses couches au niveau réseau (IP+ICMP, TCP, UDP), et de fausses couches applicatives pour simuler des accès SSH, Web, services Windows, etc.

TEHTRIS Deceptive Response se déploie très simplement, en positionnant chaque appliance virtuelle dédiée à ce métier au cœur de votre infrastructure. Un simple boot de notre ISO d’installation, et 4 réponses basiques plus tard, vous avez vos propres honeypots qui s’installent dans votre réseau, sachant que tout le service est opéré à distance par TEHTRIS, en mode SaaS.

Un leurre informatique est un système capable de faire croire à un attaquant qu’il est en train d’interagir avec une vraie machine, un vrai service, un vrai fichier, etc., de votre entreprise, alors que ce n’est pas le cas. Il existe de nombreux leurres, mais certains sont évidemment faiblement efficaces, ou très connus et peu gênants pour les pirates.

En déployant TEHTRIS Deceptive Response, vous créez de la valeur de plusieurs façons différentes. Les pirates vont perdre du temps au lieu d’attaquer vos vraies machines, vous offrant ainsi la possibilité d’être mieux préparés lors des crises. Par ailleurs, ils seront détectés en amont de leur attaque lorsqu’ils sont encore en train de cartographier vos réseaux. Et enfin, vous aurez la possibilité de comprendre leurs méthodologies opérationnelles afin de mieux protéger vos réseaux.

Nous proposons plusieurs niveaux d’interactions tout en maximisant notre objectif qui demeure de faire gagner du temps et de l’information à l’encontre des agresseurs. Sans sombrer dans le piège de la haute interaction qui coûterait trop cher humainement à un SOC peinant déjà à suivre les logs des vraies machines en production, nous avons décidé de créer un système tactique, très orienté terrain, combinant des interactions faibles ou au-delà, pour être informé en phase amont d’une attaque.

Nous pensons qu’il vaut mieux déployer les leurres à l’intérieur du réseau, dans des zones très sensibles par exemple, telles que vos datacenters, des usines critiques, etc. Nous avons également des clients qui ont déployé TEHTRIS Deceptive Response sur des brins réseaux où il n’y a quasiment aucune interaction, comme une DMZ assez fermée. Ainsi, le jour où un pirate rentrera sur un des sites web exposés, il va rapidement être détecté s’il commence une phase d’exploration pour découvrir s’il peut descendre au-delà de cette DMZ, vers le réseau interne, en visitant les machines voisines. Nous avons des clients qui ont déployé TEHTRIS Deceptive Response sur des réseaux totalement ouverts aux utilisateurs internes, parce qu’ils souhaitaient gagner en certitude sur certaines populations à risque composées de sous-traitants de passage qui semblaient particulièrement curieux au niveau réseau… Enfin, nous avons des clients qui ont réussi à détecter des attaques via le Wi-Fi externe pour les invités, car TEHTRIS Deceptive Response a été sollicité d’une façon très particulière par des amis visiteurs qui ne pouvaient savoir que la lutte contre l’espionnage était aussi prise en compte sur ces étages.

Nous voyons absolument tous les paquets réseaux qui rentrent vers les honeypots et nous avons la capacité de rapidement comprendre s’il s’agit d’un faux positif ou non. En effet, de nombreuses personnes croient au mythe des honeypots, mais la réalité terrain, c’est que ces outils génèrent aussi beaucoup d’alertes et qu’il faut comprendre ce qui est normal ou non. Nous surveillons donc en particulier plusieurs services, comme SSH, Windows, et le Web.

Toutes les actions sont remontées dans la TEHTRIS XDR Platform à laquelle les honeypots sont reliés. Cela vous permet de bénéficier de toutes les autres briques de sécurité, comme le hunting, la CTI, les audits, etc. Par exemple, un analyste SOC peut rapidement voir une IP agressive, qui fait un scan “Nmap” sur un honeypot, et vérifier si l’adresse IP interne est connue ou aller faire une enquête avec TEHTRIS EDR dessus.

Comme TEHTRIS Deceptive Response est déployé sur une zone sensible, nous écoutons les flux locaux disponibles, au-delà des flux Unicasts reçus vers nous, et nous construisons une vision des machines voisines, en mode CMDB. Ce n’est pas la fonction principale de TEHTRIS Deceptive Response, mais cela nous a été très utile pour connaître où s’était connecté, pour la première fois, un laptop, dans quelle usine, sur quel VLAN et surtout dans quel but.