Pourquoi les pots de miel méritent une place dans votre arsenal de cybersécurité

Lucas Morel

Les pots de miel sont un autre outil dans la boîte à outils pour les chefs de cybersécurité proactifs qui cherchent à comprendre ce que font les méchants et à atténuer les risques organisationnels.

En cybersécurité, nous passons beaucoup de temps à nous concentrer sur les contrôles préventifs – corriger les vulnérabilités, mettre en œuvre des configurations sécurisées et effectuer d’autres «meilleures pratiques» pour atténuer les risques pour nos organisations. Celles-ci sont formidables et nécessaires, mais il faut dire quelque chose à propos de l’observation de près et personnelle des activités malveillantes réelles et des comportements adversaires.

L’une des meilleures façons de le faire est d’utiliser des pots de miel. L’Institut national des normes et de la technologie (NIST) définit les pots de miel comme: «Une ressource système ou système conçue pour être attrayante pour les craquelins et les intrus potentiels, comme le miel est attrayant pour les ours.» C’est une coïncidence amusante – et appropriée – que de nombreux groupes de menaces persistants avancés aient le mot «ours» dans leur nom.

Les pots de miel se réfèrent généralement à des systèmes ou des environnements entiers. Les Honeytokens, en revanche, sont souvent des fichiers spécifiques, des données et d’autres objets qui sont utilisés de la même manière, servant de leurre pour attirer des acteurs malveillants et obtenir des informations précieuses à leur sujet. Cela dit, pour cet article, et pour éviter les différences granulaires, nous utiliserons largement le terme miel.

Ceci est particulièrement utile étant donné que nous savons dans le rapport récent de CISA que les vulnérabilités les plus couramment exploitées sont de plus en plus zéro-jours, ce qui signifie qu’ils n’étaient pas connus publiquement au moment de l’exploitation. Par conséquent, les organisations ont besoin d’indicateurs supplémentaires et d’informations au-delà des tentatives d’exploitation connues et des vulnérabilités d’activité.

Les idées acquises via des pots de miel peuvent être utilisées par les défenseurs pour adopter des mesures de sécurité supplémentaires ou modifier les contrôles de sécurité existants et les outils pour tenir compte des activités malveillantes qu’ils observent réellement.

Les pots de miel peuvent éloigner les attaquants des systèmes critiques

En plus de fournir une intelligence critique des menaces aux défenseurs, les pots de miel peuvent souvent servir de techniques de déception utiles pour garantir que les attaquants se concentrent sur les leurres au lieu de données et de systèmes organisationnels précieux et critiques. Une fois l’activité malveillante identifiée, les défenseurs peuvent utiliser les résultats des pots de miel pour rechercher des indicateurs de compromis (CIO) dans d’autres domaines de leurs systèmes et environnements, capturant potentiellement une activité malveillante et minimisant le temps d’habitation des attaquants.

En interne, les organisations cherchent souvent à placer des honeytokens dans des endroits qui peuvent faire appel aux attaquants, au moins à la surface, pour les inciter à s’engager avec les leurres. Dans le même temps, ils doivent être utilisés d’une manière qui ne conduira pas à des interactions fréquentes auprès des utilisateurs légitimes pour éviter les alertes faussement positives.

Le placement des pots de miel aura un impact sur le volume et la criticité des alertes. Un point final ou un pot de miel exposé publiquement obtiendra inévitablement beaucoup de trafic, tandis que les pots de miel déployés en interne auront un volume d’alertes plus faible.

Lorsqu’elles sont déclenchées, les pots de miel internes provoqueront probablement des réponses plus critiques et urgentes en raison de leur proximité avec des données sensibles internes, des systèmes critiques et une capacité d’impact sur les opérations commerciales si les attaquants peuvent avoir un impact non seulement des leurres mais également des systèmes et des ressources valides.

Une autre considération importante consiste à sélectionner le type de (s) HoneyToken utilisé sur la base d’un environnement et d’objectifs spécifiques. Par exemple, si vous vous concentrez sur l’accès non autorisé aux informations d’identification, telles que les noms d’utilisateur et les mots de passe ou les clés d’API, vous voudrez des ressources différentes de celle d’une personne plus axée sur les données, telles que les fichiers et les bases de données.

Il existe diverses options, des sources commerciales et ouvertes et des types spécifiques de HoneyTokens qui peuvent être adaptés à vos besoins individuels et à vos objectifs de sécurité.

Trouver des ressources de pot de miel

Il existe des référentiels GitHub entiers entretenus avec des ressources de la pot de miel, allant des bases de données, des applications et des services à divers outils pour déployer et surveiller l’activité malveillante. Sur le plan commercial, les organisations fournissent des solutions innovantes, telles que Nodezero TripWires d’Horizon3.ai, qui visent à rationaliser le déploiement de leurres grâce à des processus de déploiement automatisés et à des intégrations avec des outils de détection de menace principale et des flux de travail pour une réponse plus rapide.

Les pots de miel, comme toute autre mesure de sécurité, ne sont pas des balles d’argent, mais lorsqu’ils sont utilisés intelligemment aux côtés activités mondiales et tester également leurs capacités organisationnelles pour détecter et répondre aux activités néfastes.