Cyber

Surveiller les cyberattaques dans le monde grâce aux honeypots axés sur les données

Piéger les attaquants pour leur prendre leurs techniques d’exploitation, c’est possible et même chaudement recommandé pour se constituer une carte utile des menaces. Les tools kit et les méthodologies qu’utilisent les groupes de cyber criminels sont un patrimoines souvent jalousement gardé secret pour en garantir l’efficacité. On demandera justement aux honeypots de récupérer ces informations pour lever le secret qui les entoure. Entre autres choses tout aussi intéressantes.

Honeypot ? : Définition

Le terme honeypot est associé à des machines virtuelles installées sur les ordinateurs d’une organisation et conçues pour simuler le fonctionnement des machines légitimes. Ils sont généralement mis en place avec le même ensemble de services et d’applications que ces dernières. Leur objectif est de faire croire aux cyberattaquants que le système informatique simulé est digne d’intérêt. Ainsi, lorsqu’ils tentent de s’emparer de ces dispositifs, les criminels attaquent en réalité des leurres surveillés par des spécialistes en cybersécurité.

Comme son nom l’indique les honeypots ou « pot de miel » attirent facilement leurs cibles

Les honeypots, parfait pour leurrer les agresseurs et enregistrer les activités suspectes.

Les honeypots existent depuis des dizaines d’années et sont aujourd’hui reconnus comme un moyen efficace de prendre les cyberattaquants sur le fait.

Ils peuvent être soit entièrement coupés de toute infrastructure organisationnelle, soit uniquement connectés à une structure sacrificielle – c’est-à-dire un système informatique vierge classique avec le système d’exploitation approprié et les services requis. Par conséquent, aucune demande réelle n’est adressée à ce système. En général, toute demande ou interaction qui se produit avec un honeypot signifie qu’un attaquant tente d’infiltrer un réseau.

En plus de leur potentiel fort en matière de cybersécurité (avec le renforcement de la sécurité du réseau et la protection de toutes les applications et données), ces leurres permettent également d’attirer les attaquants et d’enregistrer leurs méthodes de recherche et de renseignement. Ainsi, les honeypots de recherche peuvent également servir à des fins de Forensic, en recueillant soigneusement des données sur les pirates informatiques qui leur volent des informations.

Pour résumer, les honeypots sont donc utilisés à trois fins principales :

  • Détourner les attaquants des systèmes légitimes
  • Obtenir des informations sur le fonctionnement des cybercriminels
  • Créer une nouvelle posture défensive avec des possibilités techniques spéciales / inédites

Chez TEHTRIS, nous développons des solutions innovantes sur la meilleure façon d’utiliser les honeypots afin de déjouer les plans des cybercriminels tout en analysant leurs processus et leurs méthodes et ainsi améliorer votre sécurité informatique.

« Lorsqu’ils tentent de s’emparer de ces dispositifs, les criminels attaquent en réalité des leurres surveillés par des spécialistes en cybersécurité. »

Pourquoi utiliser des honeypots et pourquoi sont-ils si attrayants pour les attaquants ?

Les honeypots sont conçus pour être une cible de choix pour les cybercriminels qui cherchent souvent à atteindre ce qu’ils ont à portée de main. Ce sont des dispositifs ouverts, vulnérables et spécialement configurés pour inciter les cybercriminels à les attaquer.

Les attaquants croient qu’il est intéressant de s’en prendre à eux puisque le système simule une véritable machine dans les locaux d’une organisation, mais très peu protégée. Par conséquent, ils passent, ou plutôt perdent, leur temps à essayer d’entrer dans ce leurre pour le compromettre.

Et chaque minute que les attaquants perdent sur les honeypots représente pour nous un double avantage :

  • Obtenir des informations sur leurs intentions et leur identité.
  • Orienter vers des systèmes factices afin de protéger ceux de l’entreprise.

Déployer des honeypots dans le monde entier et combiner les enregistrements dans un data lake de cybersécurité.

Maintenant que nous en savons plus sur les honeypots et la raison de leur utilisation, nous pouvons évoquer l’intérêt de leur déploiement mondial et leur avantage en matière de sécurité.

Ils nous permettent d’accéder aux données sur les cyberattaquants, sur la façon dont ils naviguent sur réseaux et les serveurs, et sur leur identité de manière plus globale : par ce biais, ils rendent ainsi possible l’amélioration de la sécurité et des capacités d’entrave des menaces.

Par ailleurs, il est utile de préciser à quel point ces « pots de miel » génèrent d’importantes quantités de données. Il est possible d’alimenter ces dernières dans un système Big Data tel qu’un data lake pour des analyses et des recherches plus poussées. Les outils de Data Science peuvent s’avérer utiles pour effectuer une analyse interne approfondie de toutes les informations recueillies et les rapporter par le biais de la data visualisation.

Un tel dispositif peut renforcer les réseaux à l’échelle mondiale et garantir la cybersécurité d’organisations réparties sur plusieurs sites.

C’est d’ailleurs ce que nous faisons chez TEHTRIS, mais à un niveau encore supérieur :

Les honeypots que nous avons installés dans de nombreux pays nous permettent de collecter toutes les données nécessaires, de les stocker dans un data lake de cybersécurité et de les mettre à disposition du grand public à travers notre Cyber Threat Map. Cet outil, partagé en libre accès, constitue un exemple concret de cybersécurité axée sur les données.

Le but est de proposer aux cybers spécialistes du monde entier un accès gratuit aux données et aux informations (telles que les différents attaquants en action et les attaques utilisées pour ralentir et infiltrer les systèmes) mais aussi la possibilité de les modeler à leur convenance par le biais d’une multitude de filtres applicables.

De manière générale, cela permettra de créer sur le long terme une cohérence mondiale dans la connaissance des menaces mais aussi dans la défense et la contre-attaque cyber stratégiques : on pourra ainsi repérer les tendances actuelles et à venir dans les attaques des cybercriminels, et s’y préparer.

Les honeypots ne sont peut-être pas la première solution à laquelle il faut penser en matière de cybersécurité, mais ils constituent indéniablement un complément essentiel pour toute entreprise.

Seule une organisation possédant un dispositif de cybersécurité suffisamment puissant pour la défendre contre absolument toutes les attaques pourrait se passer de honeypots : une autre façon de dire que toutes les entreprises ont intérêt à intégrer ces derniers à leur stratégie de cybersécurité.

Surveillance mondiale des cyberattaques sur Internet.

Contrairement aux idées reçues, chaque dispositif vaut la peine d’être piraté à l’heure de l’automatisation. Peu importe qu’une entreprise soit grande ou petite, ou que l’appareil en question appartienne à un particulier ou non, les cybercriminels souhaitent tirer parti de chaque attaque.

Par conséquent, un système mondial de honeypots et d’informations associées peut être une mine d’or de données pour les cyber spécialistes qui tentent de protéger leur entreprise, leur domicile, leur organisation ou leur pays contre les cyberattaquants.

Grâce à un système de surveillance mondial, les spécialistes peuvent se pencher sur la cybersécurité axée sur les données, laissant moins de place aux erreurs manuelles et aux prises de décisions erronées. Les données sont le nouveau pétrole pour ces professionnels, en leur permettant d’en apprendre davantage sur leurs adversaires et sur leur fonctionnement, et donc de concevoir des stratégies efficaces pour combattre leurs tentatives.

Les honeypots ne sont pas nouveaux, et la saisie de données avec ceux-ci déployés à l’échelle mondiale non plus. Mais la manière dont les honeypots TEHTRIS fonctionnent est totalement unique. Actuellement, TEHTRIS est le seul fournisseur au monde à disposer d’une plateforme XDR combinant ce type de honeypots au sein de la solution eXtended Detection and Response.

Le co-fondateur de TEHTRIS a été l’un des pionniers des honeypots modernes à la fin des années 90, et un membre élu du comité de pilotage du projet Honeynet. Il a publié de nombreux travaux sur la contre-attaque avec les honeypots : lutte contre les MSBlast, etc.

Pour conclure, maintenant que vous êtes imbattables sur les honeypots, vous comprenez dorénavant mieux la volonté de TEHTRIS de les déployer dans les plans d’action cyber que nous mettons en place chez nos clients. Et cela, depuis 2013 (Fortune 500).