Le piratage revient souvent à fouiller dans un sac sans regarder à l'intérieur. Si c'est votre sac, vous sauriez où chercher et à quoi ressemblent les objets. Vous pouvez atteindre et saisir un stylo en quelques secondes, tandis qu'une autre personne peut saisir un eye-liner.
De plus, ils peuvent provoquer un chahut dans leur recherche. Ils fouilleront le sac plus longtemps que vous ne le feriez, et le bruit qu'ils font augmente les chances que vous les entendiez. Si vous ne l'avez pas fait, le désordre dans votre sac vous indique que quelqu'un a fouillé vos affaires. La technologie de déception fonctionne de cette façon.
Qu'est-ce que la technologie de tromperie?
La technologie de déception fait référence à la suite de tactiques, d'outils et d'actifs leurres que les équipes bleues utilisent pour distraire les attaquants des précieux actifs de sécurité. En un coup d'œil, l'emplacement et les propriétés du leurre semblent légitimes. En effet, le leurre doit être suffisamment attrayant pour qu'un attaquant le considère comme suffisamment précieux pour interagir avec lui en premier lieu.
L'interaction d'un attaquant avec des leurres dans un environnement de sécurité génère des données qui donnent aux défenseurs un aperçu de l'élément humain derrière une attaque. L'interaction peut aider les défenseurs à découvrir ce que veut un attaquant et comment il compte l'obtenir.
Pourquoi les équipes bleues utilisent la technologie de tromperie
Aucune technologie n'est invincible, c'est pourquoi les équipes de sécurité assument une brèche par défaut. Une grande partie de la cybersécurité consiste à découvrir quels actifs ou utilisateurs ont été compromis et comment les récupérer. Pour ce faire, les opérateurs de l'équipe bleue doivent connaître l'étendue de l'environnement de sécurité qu'ils protègent et les actifs de cet environnement. La technologie de tromperie est l'une de ces mesures de protection.
N'oubliez pas que le but de la technologie de tromperie est d'amener les attaquants à interagir avec des leurres et à les distraire d'actifs précieux. Pourquoi? Tout se résume au temps. Le temps est précieux en cybersécurité, et ni l'attaquant ni le défenseur n'en ont jamais assez. Interagir avec un leurre fait perdre du temps à l'attaquant et donne plus de temps au défenseur pour répondre à une menace.
Plus précisément, si un attaquant pense que l'actif leurre avec lequel il a interagi est la vraie affaire, alors il ne sert à rien de rester à découvert. Ils exfiltrent les données volées et (généralement) partent. D'un autre côté, si un attaquant avisé réalise rapidement que l'actif est faux, il saura qu'il a été découvert et ne peut pas rester longtemps sur le réseau. Dans tous les cas, l'attaquant perd du temps et l'équipe de sécurité est prévenue et dispose de plus de temps pour répondre aux menaces.
Comment fonctionne la technologie de déception
Une grande partie de la technologie de tromperie est automatisée. L'actif leurre est généralement données d'une certaine valeur pour les pirates: bases de données, informations d'identification, serveurs et fichiers. Ces actifs ressemblent et fonctionnent exactement comme les vrais, parfois même en collaboration avec de vrais actifs.
La principale différence est qu'ils sont nuls. Par exemple, les bases de données leurres peuvent contenir de faux noms d'utilisateur et mots de passe administratifs liés à un serveur leurre. Cela signifie que les activités impliquant une paire de nom d'utilisateur et de mot de passe sur un serveur leurre, ou même un vrai serveur, sont bloquées. De même, les informations d'identification leurres contiennent de faux jetons, des hachages ou des tickets Kerberos qui redirigent le pirate vers, essentiellement, un bac à sable.
De plus, des ratés sont truqués pour alerter les équipes de sécurité du suspect. Lorsqu'un attaquant se connecte à un serveur leurre, par exemple, l'activité avertit les opérateurs de l'équipe bleue au centre des opérations de sécurité (SOC). En attendant, le système continue d'enregistrer les activités de l'attaquant, telles que les fichiers auxquels il a accédé (par exemple, dans attaques de vol d'informations d'identification) et comment ils ont exécuté l'attaque (par exemple, mouvement latéral et attaques de l'homme du milieu).
Dans le matin, je suis heureux de voir; Mon ennemi étendu sous l'arbre
Un système de tromperie bien configuré peut minimiser les dommages que les attaquants peuvent causer à vos actifs de sécurité ou même les arrêter carrément. Et comme une grande partie est automatisée, vous n'avez pas besoin d'arroser et d'ensoleiller cet arbre jour et nuit. Vous pouvez le déployer et diriger les ressources SOC vers les mesures de sécurité qui nécessitent une approche plus pratique.