Les pots de miel sont un autre outil dans la boîte à outils pour les chefs de cybersécurité proactifs qui cherchent à comprendre ce que font les méchants et à atténuer les risques organisationnels.
En cybersécurité, nous passons beaucoup de temps à nous concentrer sur les contrôles préventifs – corriger les vulnérabilités, mettre en œuvre des configurations sécurisées et effectuer d’autres «meilleures pratiques» pour atténuer les risques pour nos organisations. Celles-ci sont formidables et nécessaires, mais il faut dire quelque chose à propos de l’observation de près et personnelle des activités malveillantes réelles et des comportements adversaires.
L’une des meilleures façons de le faire est d’utiliser des pots de miel. L’Institut national des normes et de la technologie (NIST) définit les pots de miel comme: «Une ressource système ou système conçue pour être attrayante pour les craquelins et les intrus potentiels, comme le miel est attrayant pour les ours.» C’est une coïncidence amusante – et appropriée – que de nombreux groupes de menaces persistants avancés aient le mot «ours» dans leur nom.
Les pots de miel se réfèrent généralement à des systèmes ou des environnements entiers. Les Honeytokens, en revanche, sont souvent des fichiers spécifiques, des données et d’autres objets qui sont utilisés de la même manière, servant de leurre pour attirer des acteurs malveillants et obtenir des informations précieuses à leur sujet. Cela dit, pour cet article, et pour éviter les différences granulaires, nous utiliserons largement le terme miel.
Pourquoi utiliser un pot de miel?
Les contrôles préventifs sont essentiels, s’alignant sur les tendances de l’industrie et l’intelligence plus large de groupes tels que le partage d’informations et les centres d’analyse (ISAC), mais il existe un certain nombre de raisons précieuses d’utiliser également Cela peut très peu comparer à des renseignements de menace directe tirés de votre propre organisation, environnement opérationnel et systèmes.
Les défenseurs de la cybersécurité peuvent utiliser des pots de miel pour obtenir un aperçu direct des différents outils, techniques et procédures (TTP) des acteurs malveillants ciblant leur organisation en utilisant des points de miel et leurs variantes.
Les pots de miel sont souvent déployés dans un environnement contraint et contrôlé dans une architecture organisationnelle plus large. Cela permet aux défenseurs de capturer des preuves médico-légales spécifiques pour l’analyse et des recherches plus approfondies et fournissent des indicateurs de risque précoces cruciaux. Il peut s’agir de tenter de sonder des ressources en réseau, d’accès aux données sensibles ou d’exploiter les systèmes vulnérables.
Ceci est particulièrement utile étant donné que nous savons dans le rapport récent de CISA que les vulnérabilités les plus couramment exploitées sont de plus en plus zéro-jours, ce qui signifie qu’ils n’étaient pas connus publiquement au moment de l’exploitation. Par conséquent, les organisations ont besoin d’indicateurs supplémentaires et d’informations au-delà des tentatives d’exploitation connues et des vulnérabilités d’activité.
Les idées acquises via des pots de miel peuvent être utilisées par les défenseurs pour adopter des mesures de sécurité supplémentaires ou modifier les contrôles de sécurité existants et les outils pour tenir compte des activités malveillantes qu’ils observent réellement.
Les pots de miel peuvent éloigner les attaquants des systèmes critiques
En plus de fournir une intelligence critique des menaces aux défenseurs, les pots de miel peuvent souvent servir de techniques de déception utiles pour garantir que les attaquants se concentrent sur les leurres au lieu de données et de systèmes organisationnels précieux et critiques. Une fois l’activité malveillante identifiée, les défenseurs peuvent utiliser les résultats des pots de miel pour rechercher des indicateurs de compromis (CIO) dans d’autres domaines de leurs systèmes et environnements, capturant potentiellement une activité malveillante et minimisant le temps d’habitation des attaquants.
En plus de l’intelligence des menaces et de la valeur de détection des attaques, Honeytokens a souvent l’avantage d’avoir un minimum de faux positifs, étant donné qu’ils sont des ressources de leurre hautement personnalisées déployées dans le but de ne pas être accessibles. Cela contraste avec des outils de sécurité plus larges, qui souffrent souvent de taux élevés de faux positifs des alertes et des résultats basse fidélité qui charge les équipes de sécurité et les développeurs.
Comment utiliser les pots de miel
Les entreprises doivent réfléchir à l’emplacement des pots de miel. Il est courant pour eux d’être utilisés dans des environnements et des systèmes qui peuvent être potentiellement plus faciles à accéder aux attaquants, tels que des critères de terminaison exposés publiquement accessibles sur Internet, ainsi que des environnements et des systèmes de réseau interne.
Le premier, bien sûr, est susceptible d’obtenir plus d’interaction et de fournir des informations génériques plus larges. Ce dernier est plus précieux pour basculer les défenseurs à une activité malveillante qui a dépassé les outils et les contrôles de sécurité du périmètre et a plus de potentiel pour avoir un impact sur les systèmes et données commerciaux sensibles.
En interne, les organisations cherchent souvent à placer des honeytokens dans des endroits qui peuvent faire appel aux attaquants, au moins à la surface, pour les inciter à s’engager avec les leurres. Dans le même temps, ils doivent être utilisés d’une manière qui ne conduira pas à des interactions fréquentes auprès des utilisateurs légitimes pour éviter les alertes faussement positives.
Le placement des pots de miel aura un impact sur le volume et la criticité des alertes. Un point final ou un pot de miel exposé publiquement obtiendra inévitablement beaucoup de trafic, tandis que les pots de miel déployés en interne auront un volume d’alertes plus faible.
Lorsqu’elles sont déclenchées, les pots de miel internes provoqueront probablement des réponses plus critiques et urgentes en raison de leur proximité avec des données sensibles internes, des systèmes critiques et une capacité d’impact sur les opérations commerciales si les attaquants peuvent avoir un impact non seulement des leurres mais également des systèmes et des ressources valides.
Une autre considération importante consiste à sélectionner le type de (s) HoneyToken utilisé sur la base d’un environnement et d’objectifs spécifiques. Par exemple, si vous vous concentrez sur l’accès non autorisé aux informations d’identification, telles que les noms d’utilisateur et les mots de passe ou les clés d’API, vous voudrez des ressources différentes de celle d’une personne plus axée sur les données, telles que les fichiers et les bases de données.
Il existe diverses options, des sources commerciales et ouvertes et des types spécifiques de HoneyTokens qui peuvent être adaptés à vos besoins individuels et à vos objectifs de sécurité.
Trouver des ressources de pot de miel
Il existe des référentiels GitHub entiers entretenus avec des ressources de la pot de miel, allant des bases de données, des applications et des services à divers outils pour déployer et surveiller l’activité malveillante. Sur le plan commercial, les organisations fournissent des solutions innovantes, telles que Nodezero TripWires d’Horizon3.ai, qui visent à rationaliser le déploiement de leurres grâce à des processus de déploiement automatisés et à des intégrations avec des outils de détection de menace principale et des flux de travail pour une réponse plus rapide.
D’autres, tels que Gitguardian, qui se concentre sur la chaîne d’approvisionnement des logiciels et la gestion des secrets, permettent aux utilisateurs de déployer des honeytokens dans les environnements Source Code (SCM) et CI / CD. Ils surveillent ensuite les référentiels publics GitHub pour les fuites de miel, tels que les clés d’API, les informations d’identification et d’autres secrets, qui peuvent être déployés sous forme de leurre.
Honeytokens et Honeypots peuvent représenter des fichiers, des bases de données, des informations d’identification ou même des environnements entiers et des environnements numériques entiers en fonction de leur complexité et des capacités et de l’imagination d’une organisation.
Alors que les options commerciales permettent l’intégration et la surveillance natives, l’utilisation de certains produits ou outils, ainsi que des solutions open-source peuvent nécessiter une intégration et une configuration supplémentaires pour optimiser votre capacité à surveiller à la fois pour interaction avec les Honeytokens, ainsi que pour répondre potentiellement Les activités malveillantes sont identifiées.
Les pots de miel, comme toute autre mesure de sécurité, ne sont pas des balles d’argent, mais lorsqu’ils sont utilisés intelligemment aux côtés activités mondiales et tester également leurs capacités organisationnelles pour détecter et répondre aux activités néfastes.