La tactique consistant à attirer les mauvais acteurs dans des pièges numériques va au-delà des pots de miel, nécessitant une infrastructure robuste et des leurres très réalistes pour recueillir des renseignements sur les intrus et identifier les menaces internes.
Les praticiens de longue date de la cybersécurité se souviennent peut-être des premiers manuels d’orientation publiés par la National Security Agency (NSA) dans les années 1980 et 1990, connus sous le nom de « Rainbow Series », ainsi nommés parce que chaque livre avait une couverture de couleur différente.
Parmi ceux-ci figurait le livre « Comprendre l’analyse des canaux secrets des systèmes de confiance » initialement publié en 1983. Il s’agit de l’un des premiers documents de l’ère numérique qui expliquait comment opérer en ligne de manière secrète et trompeuse sans compromettre la sécurité du système, jetant ainsi les bases de ce que est maintenant connue sous le nom de technologie de tromperie.
Mais la technologie de tromperie, ou les méthodes permettant d’attirer les mauvais acteurs dans des pièges numériques, a parcouru un long chemin depuis lors. La technologie moderne de tromperie consiste à consacrer certains actifs informatiques à héberger des enregistrements numériques fabriqués mais réalistes et complexes, ce qui en fait des leurres attrayants pour les cybercriminels et autres acteurs malveillants.
Pour certaines grandes organisations, les efforts de tromperie pourraient se transformer en productions du monde réel, complétées par de faux profils sur les réseaux sociaux, de faux décors de bureau et même des acteurs se faisant passer pour des employés, le tout pour entraîner les méchants dans une impasse.
« Les opérations de déception sont utiles à mener, mais vous devez disposer d’une infrastructure robuste », a déclaré Russell Handorf, pirate informatique et ancien informaticien du FBI, lors d’une présentation à la conférence Shmoocon de cette année.
« Il faut connaître la cadence. Vous devez avoir beaucoup d’autres éléments fondamentaux en jeu. Si vous avez ce genre de choses en jeu et décidez de mener une opération de tromperie, c’est un signal fort que quelque chose de louche se passe dans votre infrastructure.
La tromperie nécessite plus que la création de pots de miel
L’objectif de la technologie de tromperie, également connue sous le nom de techniques, opérations ou outils de tromperie, est de créer un environnement qui attire et trompe les adversaires pour les détourner de la cible des joyaux de l’organisation. Rapid7 définit la technologie de tromperie comme « une catégorie de technologie de détection et de réponse aux incidents qui aide les équipes de sécurité à détecter, analyser et se défendre contre les menaces avancées en incitant les attaquants à interagir avec de faux actifs informatiques déployés au sein de votre réseau ».
La plupart des professionnels de la cybersécurité connaissent l’application actuelle la plus courante de la technologie de tromperie, les pots de miel, qui sont des systèmes informatiques sacrifiés pour attirer des acteurs malveillants. Mais les experts affirment que les pots de miel ne sont que des leurres déployés dans le cadre de ce qui devrait être des efforts plus globaux visant à inviter des adversaires astucieux et facilement irritables à acheter des tromperies élaborées.
Les entreprises vendant des pots de miel « ne réfléchissent peut-être pas à ce qu’il faut pour développer, mettre en œuvre et déployer une véritable opération de tromperie », a déclaré Handorf. « Comme je l’ai souligné, il faut connaître son infrastructure. Vous devez maîtriser votre inventaire, l’analyse des journaux dans votre cas. Mais il faut aussi penser qu’une opération de tromperie n’est pas un pot de miel. C’est plus qu’un pot de miel. C’est une stratégie à laquelle vous devez réfléchir et mettre en œuvre de manière très décisive et délibérée.
Le réalisme est essentiel au succès de la tromperie
Il est particulièrement important d’obtenir les bons détails pour les opérations de tromperie très élaborées. Des actifs qui semblent faux, comme 1 000 ordinateurs tous construits de manière irréaliste et exactement de la même manière, « indiquent à l’adversaire qu’il ne s’agit pas d’une véritable tromperie », dit Handorf. « Quelque chose chez l’hôte ne va pas tout à fait. C’est trop symétrique. Dans les films, les gens entrent et disent : « Attendez, il y a quelque chose dans cette pièce qui ne semble pas bien. C’est bien trop pratique, et puis tous les flics débarquent.
Pire encore, dit Handorf, « Une fois que l’acteur entre et qu’il commence à voir ce genre de choses, vous pourriez l’énerver, vous pouvez le mettre en colère, vous pouvez le frustrer, et il se peut qu’il veuille vous faire encore plus de mal. »
Desai affirme que les acteurs menaçants pris dans des opérations de tromperie peuvent, comme la plupart des gens, se comporter de différentes manières. « Certains exfiltreront les données, supprimeront toutes les traces, effaceront toutes les preuves et sortiront de cet environnement. Mais il y a aussi ceux qui n’ont pas réussi à atteindre leur objectif de mission et qui se sont dit : « D’accord, ma couverture est grillée. Laissez-moi maintenant détruire tout ce à quoi j’ai accès et sortir. Donc, vous pouvez vous retrouver avec l’un ou l’autre.
Le désir de certains acteurs malveillants de faire des ravages est la raison pour laquelle Desai recommande aux organisations de mettre en œuvre d’abord une architecture Zero Trust. « C’est là que vous devez intégrer la technologie de tromperie à votre plate-forme zéro confiance. Dès que quelqu’un est piégé par votre technologie de tromperie, vous l’isolez automatiquement de l’environnement réel.
Autres avantages des opérations de tromperie
En plus de servir de détecteur de mouvement pour alerter les administrateurs des intrusions, les opérations de tromperie peuvent aider à recueillir des renseignements sur l’identité des adversaires, ce qui constitue une information utile pour informer ultérieurement les forces de l’ordre. « L’auteur de la menace est désormais identifié et cela peut être transmis », explique Handorf. « Et puis leurs réseaux sociaux, leurs moyens de communication seront alors éclairés pour une future interdiction. »
Même si les opérations de tromperie s’avèrent utiles pour la collecte de renseignements sur les adversaires externes, elles peuvent également aider à identifier les acteurs internes des menaces. Desai déclare : « Le cas d’utilisation le plus important et le plus efficace que je vois dans les grandes organisations avec lesquelles je discute concerne les menaces internes, ou ces cas d’utilisation d’actifs compromis dans lesquels un interne malveillant tente de fouiller dans votre environnement et d’accéder à un destination où il n’a pas besoin d’être pour faire son travail.
De plus, la mise en place d’opérations de tromperie pourrait répondre à certaines exigences des polices d’assurance cyber. Les assureurs pourraient dire : « Prouvez-nous que vous maîtrisez votre environnement, votre réseau, et que l’investissement de quelques milliers de dollars par an pour y déposer quelques-uns de ces boîtiers est probablement un investissement assez judicieux dans des cas comme celui-ci. ça », dit Langford de Rapid7.
Comment les RSSI devraient aborder la technologie de la tromperie
Au cours de son discours à Shmoocon, Handorf a donné son propre exemple concret de mise en place d’une technologie de tromperie sur 40 acres de terrain que lui et sa femme ont acheté. Il s’est avéré que les terres étaient envahies par des squatteurs, des chasseurs illégaux et d’autres intrus indésirables.
Pour résoudre le problème, il a créé une entreprise appelée Rattlesnake Sanctuary, planté des panneaux autour de sa propriété contenant des codes QR pour les intrus équipés de téléphones portables pour en savoir plus sur le sanctuaire, érigé un réseau de caméras et de haut-parleurs et étudié son terrain pour déterminer où et comment. pour placer ces actifs. Son objectif était de « recueillir un maximum d’informations sur les intrus qui s’y trouvent et ensuite, lorsque cela est justifié, de les transmettre aux forces de l’ordre pour qu’elles puissent faire leur travail ».
Cependant, ce type d’opération élaborée à plus grande échelle à l’échelle de l’entreprise est réservée uniquement aux plus grandes entreprises, dont certaines déploient des efforts considérables dans leurs techniques de tromperie. « Il y a des entreprises aux États-Unis qui mènent très très bien des opérations de tromperie », dit Handorf, suggérant que beaucoup d’entre elles sont des institutions financières avec de nombreux accords internationaux.
« Ils créent de faux départements. Ils ont de faux chefs de division. Vous pouvez fabriquer le visage d’une personne, mais vous ne le souhaitez pas car il reste facilement détectable. Vous pouvez embaucher des acteurs ; vous pourriez embaucher d’autres êtres humains si vous avez besoin d’aller aussi loin pour jouer ces rôles particuliers, pour venir dans un endroit, vous asseoir et boire du café et suivre un script de courriers électroniques. C’est en grande partie ce que vous vivriez dans un monde où votre adversaire a beaucoup de poches profondes pour vouloir obtenir les joyaux de la couronne que vous possédez.
Certaines entreprises devront peut-être externaliser leurs opérations de tromperie
Mais pour la plupart des organisations, ce niveau de tromperie est inutile. « Pour ce que je qualifierais d’organisations de taille moyenne, la plupart du temps, elles essaient probablement de se protéger contre les ransomwares et de s’assurer que leur propriété intellectuelle ne soit pas divulguée d’une ou deux manières, soit via une menace interne, soit via une menace interne. un adversaire extérieur ciblant intentionnellement. Infosec 101 couvre la majorité de cela.
« Mettre en place de faux fronts efficaces est probablement l’affaire de quelques-uns plutôt que du grand nombre », dit Langford. « Cela dépend de ce contre quoi vous vous défendez, ainsi que de votre profil de menace, de la surface de votre menace et de son importance. » Langford recommande à la plupart des entreprises de faire appel à des sociétés extérieures pour mener des opérations de tromperie ordinaires. « La plupart des organisations ne peuvent probablement pas y faire face seules et devraient faire appel à des personnes extérieures », dit-il.
Faire appel à des experts externes est particulièrement important étant donné que des opérations de tromperie mal conçues peuvent comporter des risques juridiques, car elles pourraient accidentellement inciter des acteurs malveillants à infiltrer d’autres organisations ou inciter les employés à prétendre avoir été piégés. «Cela fait partie du problème», dit Langford. « Le risque de ne pas le faire est élevé. Le risque de faire cela est élevé.
Mais il dit : « C’est pourquoi je dis que vous devez élaborer un plan, connaître votre portée, savoir ce que vous allez faire, savoir pourquoi vous allez le faire, documenter pourquoi vous allez le faire, documenter les avantages, et cetera. C’est une conversation beaucoup plus facile avec votre service juridique, votre avocat général ou un avocat externe, plutôt que de simplement vous lever et dire : « Hé, nous allons encourager les attaquants à entrer dans notre réseau. »
