Nouvelle approche de cyber-défense : les leurres pour détecter les attaques furtives

de | 13 juin 2017

Passer d’une posture du “potentiel scénario de menace” que doit être adressé avec des mesures de protection à une approche proactive et intelligente de la cybersécurité : la tromperie, nouvelle arme contre les menaces du cyberespace !

Le principe de fonctionnement des honeypots a été repris et adapté par certains éditeurs de solutions de sécurité des Systèmes d’Information pour être applicable aux contextes des réseaux internes. Ces nouvelles solutions, désignées par Deception Technology, sont plus dynamiques, adaptables à la personne malveillante qui y accèdent et enfin déployables dans différents points du Système d’Information.

Reprenons un peu l’anatomie d’une attaque informatique : une personne malveillante aura besoin d’utiliser un point d’entrée dans le Système d’Information cible :

  • Si elle est située à l’extérieur d’un site physique de sa cible, cette personne malveillante compromettra un poste de travail d’un collaborateur de l’organisation ou un serveur exposé sur Internet
  • Si elle est située dans un établissement de l’organisation, elle connectera un PC qui dispose d’outils de piratage

À partir de ces points d’ancrage , la personne malveillante tentera de trouver d’autres composants du Système d’Information pour :

  1. modifier et/ou substituer des données
  2. installer un programme capable d’altérer son fonctionnement ou déclencher une destruction de son contenu
  3. rebondir vers d’autres composants en exploitant des vulnérabilités ou des données collectées, ex. comptes utilisateurs ou d’administrateurs, pour continuer ses méfaits

Ces mouvements dans le Système d’Information compromis, désignés par « déplacements latéraux », sont généralement complexes à détecter, car menés très discrètement sur une longue période pour augmenter le caractère furtif de l’attaque. Certaines organisations se rendent compte que leur Système d’Information a été compromis longtemps après la fin de l’attaque lorsque la personne malveillante active les programmes malveillants qu’il a déployé ou lorsqu’elle publie les données exfiltrées. Ces attaques passent généralement sous le radar des dispositifs de sécurité existants lorsqu’elles menées par des professionnels de la cybercriminalité, voire de certains états, qui disposent de moyens largement supérieurs aux moyens de leurs cibles.

Par ailleurs, la complexité du Système d’Information et son extension au-delà des murs des entreprises (dans le Cloud ou chez des partenaires) rend complexe une supervision efficace de la sécurité. Seuls les composants et les applications sensibles du Système d’Information sont supervisés. Un pan complet du Système d’Information est ainsi laissé à la merci d’une personne malveillante qui y positionnera des charges destinées à terme à s’attaquer aux composants et applications sensibles.

C’est dans ce contexte de menaces que la technologie de déception peut jouer un rôle actif dans la sécurité d’un Système d’Information de plus en plus complexe et étendu. Le principe de la technologie de déception repose sur la mise en place de leurres dans différents réseaux du Système d’Information.

L’avantage de disposer de ce type de solution de sécurité est de pouvoir interagir avec la personne qui y accède en présentant à ses requêtes et commandes des réponses adéquate, tout en enregistrant ses requêtes et commandes. Son efficacité tient dans le fait que si une personne s’y connecte et commence à utiliser les services proposés, il y a de fortes chances qu’il s’agit d’une personne malveillante en déplacement latéral dans le Système d’Information.

Par ailleurs, l’analyse des enregistrements permet de comprendre les intentions de l’intrus : cherche-t-il des données particulières ? Collecte-t-il toutes les données qu’il trouve ? Qu’installe-t-il dans les serveurs ? La compréhension des intentions de l’intrus permet d’adapter la posture à adopter dans le cadre de la réponse à l’incident de sécurité : bloquer l’attaque ou superviser les mouvements dans le Système d’Information pour comprendre ses intentions.

Oui, vous l’avez compris le fonctionnement de la technique de déception repose sur le principe que l’attaquant fait confiance dans l’infrastructure qu’il tente de compromettre et qu’il pense collecter de l’information pertinente, la gratification, pendant son déplacement latéral … un comble : mais pourquoi ne ferait-il pas confiance dans un Système d’Information dont il vient d’exploiter des faiblesses ? Je revois à un document du DARPA déclassifiés en 2007 qui avait, dès 1973, planché sur l’efficacité des techniques de déception [1]. Encore plus loin dans le temps, Sun Tzu mettait en avant ce type d’approche dans son écrit “L’art de la guerre” : “Toute campagne guerrière doit être réglée sur le semblant ; feignez le désordre, ne manquez jamais d’offrir un appât à l’ennemi pour le leurrer, simulez l’infériorité pour encourager son arrogance, sachez attiser son courroux pour mieux le plonger dans la confusion : sa convoitise le lancera sur vous pour s’y briser.”.

Les premières solutions de leurres pour la sécurité des Systèmes d’Informations datent de 15 ans avec les honeypots. Malheureusement, leur caractère statistique fait qu’ils sont facilement détectables et rapidement inefficaces : il ne faut pas sous-estimer l’intelligence des personnes malveillantes. Ces solutions avaient comme finalité la recherche en cybersécurité et étaient destinées à être exposées sur Internet.

De nouvelles solutions sont apparues ces dernières années et qui proposent des leurres dynamiquement adaptables aux contextes de d’accédant. Ces leurres se déploient dans tout le Système d’Information pour y proposer de « l’information intéressante » à une personne malveillante (de la donnée ou des comptes d’utilisateurs). Ces vraies-fausses informations pouvant être intégrées à des cookies, des entrées dans la base de registre, des fichiers locaux, des partages réseaux, des bases de données voire même des entrées dans les tables ARP des composants réseaux…

En terme de déploiement, deux approches :

  • A base d’agents : efficace pour intégrer dans les composants et applications existantes du Système d’Information des leurres. Ce type de déploiement permet d’intégrer dans l’existant des leurres (tokens).
  • A base de systèmes complets : à positionner dans les segments réseaux du Système d’Information. Ce type de déploiement permet de disposer d’une haute capacité d’interaction avec l’accédant sans contrainte par rapport à l’existant. Certaines solutions peuvent émuler certains produits particuliers tels que les Point of Sales voire des services très spécifiques, par exemple : Swift ou encore se baser sur des clones d’applications existantes dans le Système d’Information.

Le Gartner [2] distingue 4 types d’approche :

Source : Gartner (July 2015)

Sans se positionner pour le moment sur le marché, le Gartner a réalisé une première analyse des principaux éditeurs :

Deception Provider Network Endpoint Application Data
Allure Security Technology X
Attivo Networks X X Partial
CyberTrap X X Partial
Cymmetria X X Partial
ForeScout X
GuardiCore X X X Partial
Hexis Cyber Solutions X
illusive networks X Partial
LogRhythm X
Percipient Networks X
Rapid7 X
Shape Security X
Specter X X Partial
TrapX Security X X Partial
TopSpin Security X X X

Source: Gartner (July 2015)

Des leurres dans le SI and so what ? Au-delà de la compréhension des intentions des personnes malveillantes, les leurres permettent aussi d’initialiser l’investigation sur la compromission avérée du Système d’Information.

Le déploiement des leurres doit principalement être accompagné d’un capacité de réaction à une intrusion efficace et continue en 24/7.

A mon sens, cette solution doit faire face à deux limites :

  • La validité juridique qui doit être instruite un peu plus (je ne suis pas juriste!) ;
  • Le traitement des employés un peu trop curieux qui “surfent” dans le Système d’Information sans mauvaises intentions et qui “tombent accidentellement” sur les leurres.

Pensez-vous que la technologie de déception aura un avenir ? Annonce-t-elle une évolution des centres opérationnels de sécurité (SOC) en leur proposant de nouvelles options pour enrichir leurs outils de corrélation des événements de sécurité (SIEM) ?

Dans l’attente des retours d’expérience sur ce type d’approche.

[1] On Countering Strategic Deception  http://documents.theblackvault.com/documents/defenseissues/OnCounteringStrategicDeception.pdf

[2] Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities https://www.gartner.com/doc/reprints?id=1-2LSQOX3&ct=150824&st=sb&aliId=87768

5 réflexions au sujet de « Nouvelle approche de cyber-défense : les leurres pour détecter les attaques furtives »

    1. Sabri Khemissa Auteur de l’article

      Thanks for the feedback, I appreciate.
      S.

      Répondre
  1. Ping : L’actualité cyber sécurité de la semaine dernière (du 11 au 17 septembre 2017) – Cyber sécurité, confiance numérique, sécurité des nouveaux usages, objets connectés, blockchain, etc.

  2. Ping : L’actualité cyber sécurité de la semaine dernière (du 11 au 17 septembre 2017) – Alerte Sécurité

  3. Ping : L'actualité de la semaine dernière (du 11 au 17 septembre 2017) | Secure Idées

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *