Surveiller les cyberattaques dans le monde grâce aux honeypots axés sur les données

Des honeypots pour leurrer les agresseurs et enregistrer les activités suspectes

Les honeypots existent depuis des dizaines d’années et sont aujourd’hui reconnus comme moyen efficace de prendre les cyberattaquants sur le fait.

Nous pouvons les définir comme des machines virtuelles installées sur les ordinateurs d’une organisation et conçues pour simuler le fonctionnement des machines légitimes. Ils sont généralement mis en place avec le même ensemble de services et d’applications que ces dernières. Leur objectif est de faire croire aux cyberattaquants que le système informatique simulé est digne d’intérêt. Ainsi, lorsqu’ils tentent de s’emparer de ces dispositifs, les criminels attaquent en réalité des leurres surveillés par les spécialistes en cybersécurité.

Les honeypots peuvent être soit entièrement coupés de toute infrastructure organisationnelle, soit uniquement connectés à une structure sacrificielle – c’est-à-dire un système informatique vierge classique avec le système d’exploitation approprié et les services requis. Par conséquent, aucune demande réelle n’est adressée à ce système. En général, toute demande ou interaction qui se produit avec un honeypot signifie qu’un attaquant tente d’infiltrer un réseau.

En plus de leur potentiel fort en matière de cybersécurité (avec le renforcement de la sécurité du réseau et la protection de toutes les applications et données), ces leurres permettent également d’attirer les attaquants et d’enregistrer leurs méthodes de recherche et de renseignement. Ainsi, les honeypots de recherche peuvent également servir à des fins de Forensic, en recueillant soigneusement des données sur les pirates informatiques qui leur volent des informations.

Pour résumer, les honeypots sont donc utilisés à trois fins principales :

  • Détourner les attaquants des systèmes légitimes
  • Obtenir des informations sur le fonctionnement des cybercriminels
  • Créer une nouvelle posture défensive avec des possibilités techniques spéciales

Chez TEHTRIS, nous développons des solutions innovantes sur la meilleure façon d’utiliser les honeypots afin de déjouer les plans des cybercriminels tout en analysant leurs processus et leurs méthodes.

Pourquoi les honyepots sont-ils si attrayants pour les attaquants ?

Les honeypots sont conçus pour être une cible de choix pour les cybercriminels qui cherchent souvent à atteindre ce qu’ils ont à portée de main. Ce sont des dispositifs ouverts, vulnérables et spécialement configurés pour inciter les cybercriminels à les attaquer.

Les attaquants croient qu’il est intéressant pour eux de s’en prendre à un honeypot puisque le système simule une véritable machine dans les locaux d’une organisation, mais très peu protégée. Par conséquent, ils passent, ou plutôt perdent, leur temps à essayer d’entrer dans ce leurre et à le compromettre.

Et chaque minute que les attaquants perdent sur les honeypots représente pour nous un double avantage, à savoir nous permettre d’obtenir des informations sur leurs intentions et leur identité, et de les orienter vers des systèmes factices afin de protéger ceux de l’entreprise.

Déployer des honeypots dans le monde entier et combiner les enregistrements dans un data lake de cybersécurité

Maintenant que nous en savons plus sur les honeypots et la raison de leur utilisation, nous pouvons évoquer l’intérêt de leur déploiement mondial.

Les honeypots nous permettent d’accéder aux données sur les cyberattaquants, sur la façon dont ils naviguent sur réseaux et les serveurs, et sur leur identité de manière plus globale : par ce biais, ils rendent ainsi possible l’amélioration de la sécurité et des capacités d’entrave des menaces.

Par ailleurs, il est inutile de préciser à quel point les honeypots génèrent d’importantes quantités de données. Il est possible d’alimenter ces dernières dans un système Big Data tel qu’un data lake pour des analyses et des recherches plus poussées. Les outils de Data Science peuvent s’avérer utiles pour effectuer une analyse interne approfondie de toutes les informations recueillies et les rapporter par le biais de la data visualisation.

Un tel dispositif peut renforcer les réseaux à l’échelle mondiale et garantir la cybersécurité  d’organisations réparties sur plusieurs sites.

C’est ce que fait TEHTRIS, mais à un niveau encore supérieur.

En voici la preuve : 

Les honeypots que nous avons installés dans de nombreux pays nous permettent de collecter toutes les données nécessaires, de les stocker dans un data lake de cybersécurité et de les mettre à disposition du grand public à travers notre Cyber Threat Map. Cet outil, partagé en libre accès, constitue un exemple concret de cybersécurité axée sur les données.

Le but est de proposer aux cyber spécialistes du monde entier un accès gratuit aux données et aux informations (telles que les différents attaquants en action et les attaques utilisées pour ralentir et infiltrer les systèmes) mais aussi la possibilité de les modeler à leur convenance par le biais d’une multitude de filtres applicables.

De manière générale, cela permettra de créer sur le long terme une cohérence mondiale dans la connaissance des menaces mais aussi dans la défense et la contre-attaque cyber stratégiques : on pourra ainsi repérer les tendances actuelles et à venir dans les attaques des cybercriminels, et s’y préparer.

Les honeypots ne sont peut-être pas la première solution à laquelle il faut penser en matière de cybersécurité, mais ils constituent indéniablement un complément essentiel pour toute entreprise.

Seule une organisation possédant un dispositif de cybersécurité suffisamment puissant pour la défendre contre absolument toutes les attaques pourrait se passer de honeypots : une autre façon de dire que toutes les entreprises ont intérêt à intégrer ces derniers à leur stratégie de cybersécurité.

Surveillance mondiale des cyberattaques sur Internet

Un réseau mondial de honeypots et un dépôt central sous la forme d’un data lake, contenant toutes les informations pertinentes en matière de recherche et de Forensic, peuvent constituer l’un des moyens les plus proactifs de gérer et d’améliorer la cybersécurité dans le monde.

Contrairement aux idées reçues, chaque dispositif vaut la peine d’être piraté à l’heure de l’automatisation. Peu importe qu’une entreprise soit grande ou petite, ou que l’appareil en question appartienne à un particulier ou non, les cybercriminels souhaitent tirer parti de chaque attaque.

Par conséquent, un système mondial de honeypots et d’informations associées peut être une mine d’or de données pour les cyber spécialistes qui tentent de protéger leur entreprise, leur domicile, leur organisation ou leur pays contre les cyberattaquants.

Grâce à un système de surveillance mondial, les spécialistes peuvent se pencher sur la cybersécurité axée sur les données, laissant moins de place aux erreurs manuelles et aux prises de décisions erronées. Les données sont le nouveau pétrole pour les professionnels de la cybersécurité, en leur permettant d’en apprendre davantage sur leurs adversaires et sur leur fonctionnement, et donc de concevoir des stratégies efficaces pour combattre leurs tentatives.

Les honeypots ne sont pas nouveaux, et la saisie de données avec les honeypots déployés à l’échelle mondiale non plus. Mais la manière dont TEHTRIS fonctionne est totalement unique, puisque nous sommes le seul fournisseur au monde à disposer d’une plateforme XDR combinant ce type de honeypots au sein de la solution eXtended Detection and Response.

En effet, le co-fondateur de TEHTRIS a été l’un des pionniers des honeypots modernes à la fin des années 90, et un membre élu du comité de pilotage du projet Honeynet. Il a publié de nombreux travaux sur la contre-attaque avec les honeypots : lutte contre les MSBlast, etc.

Chez TEHTRIS, nous déployons des honeypots pour nos clients depuis 2013 (Fortune 500). Pour en savoir plus sur notre philosophie de la cybersécurité avec nos honeypots, cliquez ici.

close

Keep in touch with TEHTRIS