Comment pouvez-vous détecter les pirates qui accèdent à vos systèmes? Honeytokens pourrait être la réponse. Voici ce que vous devez savoir.
Toute entreprise stockant des informations privées est une cible potentielle pour les pirates. Ils utilisent une gamme de techniques pour accéder à des réseaux sécurisés et sont motivés par le fait que toutes les données personnelles volées peuvent être vendues ou détenues contre une rançon.
Toutes les entreprises responsables prennent des mesures pour éviter cela en rendant leurs systèmes aussi difficiles d'accès que possible. Cependant, une option que de nombreuses entreprises négligent est l'utilisation de jetons de miel, qui peuvent être utilisés pour fournir des alertes chaque fois qu'une intrusion se produit.
Alors, que sont les honeytokens et votre entreprise devrait-elle les utiliser ?
Que sont les Honeytokens?
Les Honeytokens sont de fausses informations qui sont ajoutées aux systèmes sécurisés, de sorte que, lorsqu'un intrus les prend, cela déclenche une alerte.
Les Honeytokens sont principalement utilisés pour simplement montrer qu'une intrusion est en cours, mais certains jetons de miel sont également conçus pour fournir des informations sur les intrus qui peuvent révéler leur identité.
Honeytokens vs. Pots de miel: quelle est la différence?
Honeytokens et les pots de miel sont tous deux basés sur la même idée. En ajoutant de faux actifs à un système, il est possible d'être alerté des intrus et d'en savoir plus à leur sujet. La différence est que, alors que les honeytokens sont de fausses informations, les pots de miel sont de faux systèmes.
Alors qu'un honeytoken peut prendre la forme d'un fichier individuel, un pot de miel peut prendre la forme d'un serveur entier. Les pots de miel sont nettement plus sophistiqués et peuvent être utilisés pour distraire davantage les intrus.
Types de jetons de miel
Il existe de nombreux types de jetons de miel différents. Selon celui que vous utilisez, vous pourrez peut-être apprendre différentes informations sur un intrus.
Adresses mail
Pour utiliser une fausse adresse e-mail comme jeton de miel, créez simplement un nouveau compte e-mail et stockez-le dans un endroit accessible à un intrus. De fausses adresses e-mail peuvent être ajoutées à des serveurs de messagerie et à des appareils personnels autrement légitimes. À condition que le compte de messagerie ne soit stocké qu'à cet emplacement, si vous recevez des e-mails sur ce compte, vous saurez qu'il y a eu une intrusion.
Enregistrements de la base de données
De faux enregistrements peuvent être ajoutés à une base de données afin que si un intrus accède à la base de données, il les vole. Cela peut être utile pour fournir à un intrus de fausses informations, le distraire de données précieuses ou détecter l'intrusion, si l'intrus fait référence aux fausses informations.
Fichiers exécutables
Un fichier exécutable est idéal pour une utilisation en tant que jeton de miel car il peut être configuré pour révéler des informations sur toute personne qui l'exécute. Des fichiers exécutables peuvent être ajoutés à des serveurs ou à des appareils personnels et déguisés en données précieuses. Si une intrusion se produit et que l'attaquant vole le fichier et l'exécute sur son appareil, vous pourrez peut-être connaître son adresse IP et ses informations système.
Balises Web
Une balise Web est un lien dans un fichier vers un petit graphique. Comme un fichier exécutable, une balise Web peut être conçue pour révéler des informations sur un utilisateur chaque fois qu'il y accède. Les balises Web peuvent être utilisées comme jetons de miel en les ajoutant à des fichiers qui semblent précieux. Une fois le fichier ouvert, la balise Web diffusera des informations sur l'utilisateur.
Il convient de noter que l'efficacité des balises Web et des fichiers exécutables dépend de l'attaquant utilisant un système avec des ports ouverts.
Biscuits
Les cookies sont des paquets de données utilisés par les sites Web pour enregistrer des informations sur les visiteurs. Les cookies peuvent être ajoutés aux zones sécurisées des sites Web et utilisés pour identifier un pirate informatique de la même manière qu'ils sont utilisés pour identifier tout autre utilisateur. Les informations collectées peuvent inclure ce à quoi le pirate tente d'accéder et la fréquence à laquelle il le fait.
Identifiants
Un identifiant est un élément unique ajouté à un fichier. Si vous envoyez quelque chose à un large groupe de personnes et que vous soupçonnez que l'une d'entre elles va le divulguer, vous pouvez ajouter un identifiant à chacun qui indique qui est le destinataire. En ajoutant l'identifiant, vous saurez immédiatement qui est le bailleur.
Clés AWS
Une clé AWS est une clé pour Amazon Web Services, largement utilisée par les entreprises; ils donnent souvent accès à des informations importantes, ce qui les rend très populaires auprès des pirates. Les clés AWS sont idéales pour une utilisation en tant que jetons de miel, car toute tentative d'utilisation est automatiquement enregistrée. Les clés AWS peuvent être ajoutées aux serveurs et dans les documents.
Les liens intégrés sont idéaux pour être utilisés comme jetons de miel car ils peuvent être configurés pour envoyer des informations lorsqu'ils sont cliqués. En ajoutant un lien intégré à un fichier avec lequel un attaquant peut interagir, vous pouvez être alerté à la fois lorsque le lien est cliqué et potentiellement par qui.
Où mettre les Honeytokens
Parce que les jetons de miel sont petits et peu coûteux, et qu'il existe de nombreux types différents, ils peuvent être ajoutés à presque tous les systèmes. Une entreprise intéressée par l'utilisation de honeytokens doit dresser une liste de tous les systèmes sécurisés et ajouter un honeytoken approprié à chacun d'eux.
Les Honeytokens peuvent être utilisés sur des serveurs, des bases de données et des appareils individuels. Après avoir ajouté des honeytokens autour d'un réseau, il est important qu'ils soient tous documentés et qu'au moins une personne soit responsable du traitement des alertes.
Comment réagir aux Honeytokens déclenchés
Lorsqu'un honeytoken est déclenché, cela signifie qu'une intrusion s'est produite. L'action à entreprendre varie évidemment considérablement selon l'endroit où l'intrusion s'est produite et la façon dont l'intrus a accédé. Les actions courantes incluent la modification des mots de passe et la tentative d'apprendre à quoi d'autre l'intrus a pu accéder.
Afin d'utiliser efficacement les honeytokens, la réaction adéquate doit être décidée à l'avance. Cela signifie que tous les jetons de miel doivent être accompagnés d'un plan de réponse aux incidents.
Les Honeytokens sont idéaux pour tout serveur sécurisé
Toutes les entreprises responsables renforcent leurs défenses pour empêcher les intrusions de pirates. Les Honeytokens sont une technique utile non seulement pour détecter les intrusions, mais aussi pour fournir des informations sur le cyberattaquant.
Contrairement à de nombreux aspects de la cybersécurité, l'ajout de jetons de miel à un serveur sécurisé n'est pas non plus un processus coûteux. Ils sont faciles à réaliser et à condition qu'ils paraissent réalistes et potentiellement utiles, la plupart des intrus y accéderont.