Nous devons faire de notre mieux pour nous assurer que les périmètres de notre réseau et de nos pipelines sont sécurisés et qu’il est difficile pour les attaquants d’y accéder. Cependant, la réalité est que les intrus ne reculeront devant rien pour y accéder, comme en témoignent les violations d’Uber, CircleCI et Dropbox, pour n’en nommer que quelques-unes.
Le comportement de l’agresseur une fois à l’intérieur était commun à tous ces incidents. Chaque fois, ils ont rapidement trouvé et exploité des informations d’identification codées en dur, leur donnant un accès supplémentaire. Puisque nous savons que c’est quelque chose que les attaquants font à maintes reprises, il est temps de retourner ce comportement contre eux en se livrant à une cyber tromperie de l’équipe bleue et en commençant à planter des jetons de miel dans nos environnements.
Techniques de déception : plus qu’il n’y paraît
L’idée de tromperie n’est pas nouvelle, ni limitée au domaine de la cybersécurité. La tromperie consiste simplement à amener quelqu’un à croire quelque chose qui n’est pas vrai, généralement dans le but d’obtenir un avantage personnel. C’est quelque chose que les robots font depuis des millions d’années, selon certaines légendes. La tromperie existe également depuis longtemps dans l’histoire de l’humanité; au 5ème siècle avant JC, Sun Tzu a déclaré dans The Art Of War, « toute guerre est basée sur la tromperie ».
La tromperie, comme de nombreux concepts, peut être utilisée pour le bien ou le mal. Au sens le plus bénin, la tromperie peut être amusante et inoffensive, comme c’est le cas avec les tours de magie ou les illusions d’optique. Mais la tromperie peut aussi signifier mentir ou tromper quelqu’un, comme c’est le cas avec la fraude ou l’usurpation d’identité pour commettre un vol. Le fait que la tromperie elle-même puisse être utilisée avec des intentions nobles ou sournoises s’applique à la façon dont nous pouvons l’utiliser dans le monde de la cybersécurité.
Quel est le but de la cyber-tromperie ?
Plus pertinente pour nous, cependant, est l’évolution de la cyber-tromperie ; tactiques utilisées pour tromper un adversaire en ligne lors d’une attaque. Lorsque cela est fait en tant qu’attaquant, cela signifie normalement agir de manière contraire à l’éthique. Par exemple, cela peut signifier se faire passer pour quelqu’un qui a une autorité ou une autorisation spécifique afin d’obtenir un accès non autorisé. Ou cela peut signifier la configuration d’une URL trompeuse afin d’hameçonner les informations de connexion ou des informations sensibles, telles que les numéros de carte de crédit.
La cyber-tromperie peut également être utilisée pour la défense, et sans aucun problème moral à craindre. La plupart des experts en sécurité conviennent qu’il est toujours éthique d’utiliser la tromperie pour faire trébucher un attaquant. La mise en place de faux systèmes qui incitent les attaquants à perdre leur temps à déclencher des alarmes et à enregistrer leurs informations est une très bonne manœuvre défensive.
Les avantages de la technologie de cyber-déception
À mesure que la technologie progresse à un rythme de plus en plus rapide, il devient de plus en plus difficile de suivre la façon dont les attaquants peuvent y accéder. Vous pouvez passer tout votre temps à mettre à jour les règles WAF, à renforcer les chemins de récupération MFA et à mettre à jour les listes d’autorisation ou les chemins de sortie, mais comme nous l’avons vu dans de nombreuses attaques récentes, il suffit d’une tentative de phishing réussie pour accorder à un mauvais acteur l’accès initial qu’il besoin pour vos systèmes critiques.
Contrairement aux stratégies défensives basées sur le blocage d’accès, la cyber-tromperie suppose que les attaquants peuvent et finiront par entrer. Une fois qu’ils sont à l’intérieur, nous devrions faire tout notre possible pour les ralentir, les mener à des impasses et, idéalement, les amener à annoncer leur présence à l’équipe de sécurité afin qu’ils puissent être traités immédiatement.
Les objectifs d’une approche de cyber-déception défensive comprennent :
Détecter les attaques en cours
- En 2022, le délai moyen de détection d’une attaque était de 202 jours. Idéalement, vous voulez les attraper le plus près possible de la pénétration initiale pour les empêcher d’accéder davantage.
Réduisez le temps d’attente pour les attaquants qui enfreignent votre périmètre
- Attraper un intrus après avoir été dans le système pendant des semaines signifie qu’il a eu amplement le temps de copier des données, d’augmenter les privilèges et de faire tout ce qu’il veut. Au moment où l’équipe de sécurité peut examiner les journaux et repérer un comportement inhabituel, il est souvent beaucoup trop tard et le mal est déjà fait.
Fournir des alertes fiables avec un faible rapport signal/bruit
- Dans les opérations quotidiennes normales, les développeurs et les opérateurs ne doivent pas déclencher d’alarmes ni même être conscients de l’existence de ces pièges. Les alarmes doivent être déclenchées par des comportements inattendus, comme une tentative d’utilisation de clés qui ne sont pas nécessaires pour des raisons légitimes. Moins il y a de fausses alarmes, mieux c’est.
Fournir des journaux détaillés des activités des attaquants
- Il ne suffit pas de savoir que quelqu’un s’est introduit dans votre périmètre ; vous devez savoir, au minimum, quand ils ont déclenché l’alerte, leur adresse IP et quel événement spécifique a déclenché l’alarme.
Considérations pratiques pour la cyber-tromperie
Il existe un large éventail d’outils et d’approches disponibles pour mettre en œuvre la cyber-tromperie défensive, de la mise en place de fausses documentations à la mise en place de réseaux fonctionnels entiers qui ne sont pas réellement liés aux systèmes de production réels. L’inconvénient de beaucoup de ces approches est le temps et les efforts qu’elles nécessitent pour la configuration et la maintenance, sans parler des coûts associés à l’exécution de fausses applications. À moins que vous ne disposiez d’un budget de sécurité illimité et d’une équipe de sécurité inépuisable, vous devrez choisir comment déployer une stratégie de cybersécurité efficace, mais facile à déployer et rentable.
En regardant en arrière le comportement commun des intrus, le fait qu’ils essaient presque toujours de trouver et d’exploiter toutes les informations d’identification qu’ils peuvent trouver, il devient clair qu’une bonne approche serait de planter de faux secrets qui envoient des alertes s’ils sont touchés. La bonne nouvelle, c’est qu’il s’agit d’un modèle bien établi que nous appelons les honeytokens.
Technologie de tromperie utilisant des Honeytokens
En termes simples, les honeytokens sont de fausses informations d’identification qui n’accordent aucun accès réel mais déclenchent à la place des alertes lorsqu’elles sont utilisées. Les autres noms des jetons de miel incluent les jetons canaris, les pièges canaris ou les informations d’identification de miel. Une fois qu’une alerte est déclenchée, votre équipe peut travailler pour arrêter l’attaque immédiatement.
GitGuardian a publié un projet open source qui vous permet de créer vos propres jetons de miel à l’aide de Terraform et AWS, appelé ggcanary. Avec ggcanary, vous pouvez créer de fausses clés AWS, certaines des informations d’identification les plus convoitées et les plus prisées au monde.
Honeytokens vs Honeypots
Vous avez peut-être entendu parler d’une autre stratégie de cyber-tromperie connexe, les pots de miel. En fait, les pots de miel sont antérieurs aux jetons de miel et d’où les jetons de miel tirent leur nom. Les pots de miel sont généralement des systèmes informatiques complets mis en place pour tromper les attaquants. Habituellement, cela est fait pour inciter le mauvais acteur à creuser profondément, prouvant à plusieurs reprises sa mauvaise intention. Les pots de miel sont également associés aux forces de l’ordre pour collecter des informations sur les criminels qui mènent des activités illégales en ligne. Les jetons de miel sont un sous-ensemble de pots de miel, axés sur des points uniques tels que des informations d’identification, des certificats ou d’autres fichiers individuels, plutôt que sur des applications ou des réseaux opérationnels entiers.
Mon entreprise est-elle suffisamment mature pour les Honeytokens ?
Comme toutes les autres technologies, les jetons de miel et la cyber-tromperie ont commencé comme étant complexes, coûteux et mieux laissés aux équipes qui avaient du personnel dédié pour gérer les frais généraux. Heureusement, les avancées dans la manière dont nous déployons notre infrastructure, en particulier en tant qu’Infrastructure as Code, ont mûri, ce qui signifie que si votre entreprise est suffisamment avancée pour utiliser des outils tels que Terraform et AWS, vous êtes absolument prêt à adopter et à déployer des honeytokens.
Bien que facile, ce n’est pas entièrement sans coûts ni frais généraux de gestion. Cependant, si vos applications sont critiques et méritent d’être protégées, les jetons de miel constituent une approche raisonnable de la détection et de l’atténuation des intrusions. N’oubliez pas que la plupart des cybercriminels ne ciblent pas spécifiquement une entreprise ; ils secouent les portes et les fenêtres de toutes les applications sur Internet, à la recherche de quoi que ce soit à exploiter. Avoir cette couche supplémentaire d’alarmes peut faire la différence entre un attaquant possédant complètement vos applications au fil du temps ou votre équipe les éjectant immédiatement peu de temps après le début de la violation.
Couverture de la cyber-tromperie
Un autre facteur à prendre en compte est le nombre d’actifs de déception défensive dont vous avez besoin pour que cette approche soit efficace. Une façon de penser à cela est le rapport entre les actifs réels et les actifs trompeurs dans votre réseau. Ce ratio est généralement appelé votre couverture de cyber-déception. Bien qu’il n’y ait pas de chiffre magique à partager ici, en général, plus le nombre de cibles réelles par rapport aux fausses cibles est faible, plus un attaquant sera induit en erreur. Pour certains actifs comme les secrets codés en dur, le nombre réel doit toujours être aussi proche de zéro que possible, et le nombre de fausses informations d’identification doit être aussi important que le budget et la bande passante le permettent.
Commencez avec Honeytokens dès aujourd’hui
Alors que dans un monde idéal, nos défenses périmétriques seraient infranchissables, la réalité est que les attaquants sont persistants et trouvent toujours de nouvelles façons de contourner les barrières que nous mettons en place. Cependant, une fois qu’ils sont entrés, presque tous les attaquants se comportent de manière assez prévisible, et nous pouvons utiliser cela et une petite cyber-tromperie à notre avantage pour les inciter à se révéler.
Vous pouvez commencer à utiliser des honeytokens en très peu de temps. Cependant, quelle que soit la maturité de votre entreprise, si vos applications méritent d’être protégées, vous devriez envisager de déployer des honeytokens pour aider à trouver et à arrêter les attaquants dans leur élan.