Tendances’18 : Deceptive Security ou comment leurrer l’attaquant !

La sécurité par déception – ou deceptive security, en anglais – se présente comme une nouvelle approche pour contrer des attaques comme les menaces persistantes avancées (APT) en leurrant et en décourageant les attaquants. Le point sur ces techniques qui remportent l’adhésion de nombreuses entreprises.

Les techniques de déception émergent dans les arsenaux de la cyberdéfense. Elles complètent les techniques de défense existantes qui ont du mal à suivre le rythme et les méthodes des attaques nouvelles. Ces techniques classiques ont de plus le défaut de générer de nombreuses alertes amenant à manquer celles les plus critiques. Les techniques de déception se placent du point de vue de l’attaquant dans ses actions d’intrusion, de mouvement sur le réseau et d’exfiltration des données. Elles visent à complémenter les technologies présentes dans l’entreprise pour apporter une plus grande visibilité sur le réseau, donner des alertes pertinentes et apporter une connaissance précise sur l’attaque menée. Le principe en lui-même est simple : déployer des pièges ou des leurres pour tromper ou désorienter l’attaquant. Chaque erreur de ce dernier se transforme alors en alerte à très forte probabilité d’incident. Elle permet au défenseur de gagner du temps mais aussi d’analyser l’attaque pour mieux la contrer, ou l’arrêter.

Une des limites des « pots de miel » étaient de demander des ressources et d’être difficilement déployables à une vaste échelle. Les techniques « deceptive » visent justement à adresser ces deux problèmes. Les techniques de déception visent à déployer des leurres de manière industrielle et sur des périmètres étendus. Deux techniques existent : déploiement d’environnement leurre dédié ou déploiement d’agents leurre dans un environnement existant. Si l’industrialisation représente une avancée majeure, cela ne justifie pas d’y voir une nouvelle catégorie d’outils, ils ont surtout la capacité à mieux dissimuler les leurres en racontant une histoire à l’attaquant pour mieux le guider vers les pièges.

Des informations, appelées miettes, sont disséminées dans l’environnement existant. Elles ont deux buts distincts : un mécanisme de protection en guidant les attaquants vers de fausses pistes et un but de détection des attaques. Chacune des miettes représente un indice pour l’attaquant en explorant les différentes ressources qui une fois interprétées mènent l’attaquant vers les pièges. La difficulté consiste à créer des scénarios plausibles et variés pour piéger les attaquants. Les déploiements à large échelle de leurres servent à augmenter les chances de détection. Dès que l’attaquant a pris contact avec un leurre il est repéré et peut être étudié ou bloqué suivant les choix réalisés. Certaines solutions poussent même jusqu’à intoxiquer l’attaquant en lui fournissant de fausses informations, lui faisant croire qu’il a réussi son attaque.

De nombreux avantages

La mise en place de leurre est transparente pour les équipes IT et les utilisateurs dans l’entreprise. Les taux de fausses alertes est faible puisqu’une utilisation légitime n’a aucun besoin d’aller vers ces leurres. Il n’est de plus besoin de connaître préalablement le type d’attaque pour être efficace et ne nécessite pas de mise à jour continue. Même si une connaissance du réseau est nécessaire, les solutions de déception ne nécessitent pas d’apprentissage ni de seuil de règles. Elle est donc efficace dès son déploiement et n’est pas vulnérable pendant cette phase de définition de la « normalité » du réseau.

Si un lien avec des outils de corrélation comme des SIEM peuvent être un plus, il n’est pas obligatoire d’en avoir un, le seul fait d’avoir pris contact avec un leurre suffit à lancer une alerte qu’il faut analyser. Les leurres peuvent se déployer sur des environnements souvent difficiles à protéger comme des environnements IoT et apporter une protection que ne couvre pas les outils classiques de sécurité. Ainsi la solution MazeRunner de Cymmetria propose des leurres pour les environnements SCADA.

TrapX est un autre acteur proposant de déployer des leurres pour protéger des environnements IoT avec sa solution Deception Grid.

NB : Cet article ainsi que les illustrations tiennent pour beaucoup d'un très bon livre blanc écrit par des analystes de Wavestone sur le sujet; Je les en remercie.

Article publié dans L'Informaticien n°164. Dossier complet Tendances'18 à lire dans le magazine.