Le piratage, c'est souvent comme regarder dans un sac sans regarder à l'intérieur. S'il s'agit de votre sac, vous saurez exactement où chercher et à quoi ressemblent les articles inclus. Vous pouvez atteindre et retirer le crayon en quelques secondes, tandis que quelqu'un d'autre tient peut-être l'Apple Pencil.
De plus, cela peut causer beaucoup de chaos. Il sautera dans le sac plus longtemps que vous, et le bruit qu'il fait augmente les chances qu'il soit entendu. Si vous ne le faites pas, le contenu n'étant pas en place dans votre sac indiquera que quelqu'un l'a trafiqué. La technologie de tromperie fonctionne de cette façon. Vérifier Qu'est-ce que l'arnaque "regarde qui vient de mourir" ? Voici la bonne façon d'y faire face.
Qu'est-ce que la technologie de tromperie ?
La technologie de tromperie fait référence à l'ensemble de tactiques, d'outils et d'actifs trompeurs que les équipes bleues utilisent pour détourner les attaquants des précieux actifs de sécurité. En un coup d'œil, le site Web frauduleux et ses fonctionnalités semblent légitimes. En fait, l'appât doit être suffisamment attrayant pour que l'attaquant le considère comme suffisamment précieux pour interagir avec lui en premier lieu.
L'interaction d'un attaquant avec des pièges dans un environnement de sécurité génère des données qui donnent aux défenseurs un aperçu de l'élément humain derrière l'attaque. Une telle interaction peut aider les défenseurs à savoir ce que veut l'attaquant et comment il compte l'obtenir. Vérifier Qui est la Blue Team et comment améliore-t-elle la cybersécurité ?
Pourquoi les équipes bleues utilisent-elles le bluff ?
Aucune technologie n'est invincible, c'est pourquoi les équipes de sécurité supposent qu'une violation s'est produite par défaut. Une grande partie de la cybersécurité consiste à savoir quel actif ou utilisateur a été compromis et comment récupérer les données. Pour ce faire, les membres de la Blue Team doivent savoir à quel point l'environnement de sécurité qu'ils protègent sont solides et quels actifs se trouvent dans cet environnement. La technique de tromperie est l'une de ces mesures préventives.
N'oubliez pas que le but de la technique de tromperie est d'amener l'attaquant à interagir avec des leurres et à le détourner d'actifs précieux. Pourquoi? Tout se résume au temps. Le temps est précieux en cybersécurité, et ni un attaquant ni un défenseur n'en ont assez. Interagir avec un leurre fait perdre du temps à l'attaquant et donne plus de temps au défenseur pour répondre à la menace.
Plus précisément, si l'attaquant pense que le leurre avec lequel il a interagi est la vraie affaire, il n'est pas nécessaire de répondre. Il vole de fausses données et (généralement) s'en va. D'un autre côté, si un attaquant avisé se rend compte que l'actif est faux, il saura qu'il a été détecté et ne pourra pas rester longtemps sur le réseau. Dans les deux cas, l'attaquant perd du temps et l'équipe de sécurité reçoit un avertissement préalable et plus de temps pour répondre aux menaces. Vérifier Qu'est-ce que la Threat Intelligence et comment fonctionne-t-elle ?
Comment fonctionne la tromperie ?
De nombreuses techniques de tromperie sont automatisées. La racine du leurre est généralement constituée de données ayant une certaine valeur pour le pirate : bases de données, informations d'identification, serveurs et fichiers. Ces actifs ressemblent et fonctionnent comme de vrais actifs, parfois même en collaboration avec de vrais actifs.
La principale différence est qu'ils sont faux. Par exemple, les bases de données malveillantes peuvent contenir de faux noms d'utilisateur et mots de passe administratifs associés à un serveur leurre. Cela signifie que les activités impliquant un nom d'utilisateur et un mot de passe sur un serveur leurre, voire un vrai serveur, sont bloquées. De même, les informations d'identification usurpées contiennent de faux codes, des hachages ou des tickets Kerberos qui redirigent essentiellement le pirate vers un bac à sable.
De plus, les actifs défaillants sont falsifiés pour alerter les équipes de sécurité du suspect. Lorsqu'un attaquant se connecte à un serveur leurre, par exemple, l'activité avertit le personnel de la Blue Team du Security Operations Center (SOC). En attendant, le système continue d'enregistrer les activités de l'attaquant, telles que les fichiers auxquels il a accédé (par exemple, dans les attaques de vol d'informations d'identification) et comment il a mené l'attaque (par exemple, les mouvements latéraux et les attaques de courtier). Vérifier Que sont les systèmes d'automatisation de la sécurité et pourquoi en avez-vous besoin ?
Bloquez les menaces avant qu'elles n'arrivent réellement
Un système de tromperie bien configuré peut réduire ou même arrêter les dommages qu'un attaquant peut causer aux actifs de sécurité de votre réseau. Et comme la plupart d'entre eux sont automatiques, il n'est pas nécessaire de passer par toutes les étapes nécessaires. Déployez-le et orientez les ressources du SOC vers les mesures de sécurité qui nécessitent une approche plus pratique. Vous pouvez voir maintenant Comment le pirate attaque-t-il les serveurs FTP et que pouvez-vous faire pour l'empêcher ?
