Détection D'intrusion

Il y a quelques semaines, la 32e édition de RSA, l’une des plus grandes conférences mondiales sur la cybersécurité, s’est terminée à San Francisco. Parmi les temps forts, Kevin Mandia, CEO de Mandiant chez Google Cloud, a présenté une rétrospective sur l’état de la cybersécurité. Lors de son discours, Mandia a déclaré :

« Il existe des mesures claires que les organisations peuvent prendre au-delà des sauvegardes et des outils de sécurité communs pour renforcer leurs défenses et augmenter leurs chances de détecter, contrecarrer ou minimiser les attaques. […] Pots de mielou de faux comptes laissés délibérément intacts par les utilisateurs autorisés, sont efficaces pour aider les organisations à détecter les intrusions ou les activités malveillantes que les produits de sécurité ne peuvent pas arrêter« .

« Construire des pots de miel » était l’un de ses sept conseils pour aider les organisations à éviter certaines des attaques qui pourraient nécessiter un engagement avec Mandiant ou d’autres entreprises de réponse aux incidents.

Pour rappel, les pots de miel sont systèmes de leurre qui sont mis en place pour attirer les attaquants et détourner leur attention des cibles réelles. Ils sont généralement utilisés comme mécanisme de sécurité pour détecter, détourner ou étudier les tentatives des attaquants d’obtenir un accès non autorisé à un réseau. Une fois que les attaquants interagissent avec un pot de miel, le système peut collecter des informations sur l’attaque et les tactiques, techniques et procédures (TTP) de l’attaquant.

À l’ère numérique où les violations de données sont de plus en plus courantes malgré des budgets croissants alloués à la sécurité chaque année, Mandia a souligné qu’il est crucial d’adopter une approche proactive pour limiter l’impact des violations de données. D’où la nécessité de renverser la situation sur les attaquants et le regain d’intérêt pour les pots de miel.

Publicité

Que sont les leurres de pêche pour les filets de pêche

Bien que les pots de miel soient une solution efficace pour suivre les attaquants et empêcher le vol de données, ils doivent encore être largement adoptés en raison de leurs difficultés de configuration et de maintenance. Pour attirer les attaquants, un pot de miel doit apparaître légitime et isolé du réseau de production réel, ce qui les rend difficiles à configurer et à faire évoluer pour une équipe bleue cherchant à développer des capacités de détection d’intrusion.

Mais ce n’est pas tout. Dans le monde d’aujourd’hui, la chaîne d’approvisionnement des logiciels est très complexe et composée de nombreux composants tiers tels que des outils SaaS, des API et des bibliothèques qui proviennent souvent de différents fournisseurs. Des composants sont ajoutés à chaque niveau de la pile de construction logicielle, remettant en question la notion de périmètre « sûr » qui doit être défendu. Cette ligne mouvante entre ce qui est contrôlé en interne et ce qui ne l’est pas peut aller à l’encontre de l’objectif des pots de miel : dans ce monde dirigé par DevOps, les systèmes de gestion de code source et les pipelines d’intégration continue sont le véritable appât pour les piratesque les pots de miel traditionnels ne peuvent pas imiter.

Pour assurer la sécurité et l’intégrité de leur chaîne d’approvisionnement logicielle, les organisations ont besoin de nouvelles approches, telles que les honeytokens, qui sont aux pots de miel ce que les leurres sont aux filets de pêche : ils nécessitent un minimum de ressources mais sont très efficaces pour détecter les attaques.

Leurres Honeytoken

Les Honeytokens, un sous-ensemble de pots de miel, sont conçus pour apparaître comme un identifiant ou un secret légitime. Lorsqu’un attaquant utilise un honeytoken, une alerte est immédiatement déclenchée. Cela permet aux défenseurs d’agir rapidement en fonction des indicateurs de compromis, tels que l’adresse IP (pour distinguer les origines internes des origines externes), l’horodatage, les agents utilisateurs, la source et les journaux de toutes les actions effectuées sur le honeytoken et les systèmes adjacents.

Avec les honeytokens, l’appât est le justificatif d’identité. Lorsqu’un système est piraté, les pirates recherchent généralement des cibles faciles à déplacer latéralement, augmentent les privilèges ou volent des données. Dans ce contexte, les informations d’identification programmatiques telles que les clés d’API cloud sont une cible idéale pour l’analyse car elles ont un modèle reconnaissable et contiennent souvent des informations utiles pour l’attaquant. Par conséquent, ils représentent une cible de choix pour les attaquants à rechercher et à exploiter lors d’une violation. Par conséquent, ils constituent également l’appât le plus facile à diffuser pour les défenseurs : ils peuvent être hébergés sur des actifs cloud, des serveurs internes, des outils SaaS tiers, ainsi que des postes de travail ou des fichiers.

En moyenne, il faut 327 jours pour identifier une violation de données. En diffusant des honeytokens à plusieurs endroits, les équipes de sécurité peuvent détecter les failles en quelques minutes, améliorant ainsi la sécurité du pipeline de livraison de logiciels contre les intrusions potentielles. Le simplicité de honeytokens est un avantage non négligeable éliminant le besoin de développer un système de déception complet. Les organisations peuvent facilement créer, déployer et gérer des honeytokens à l’échelle de l’entreprise, en sécurisant simultanément des milliers de référentiels de code.

L’avenir de la détection d’intrusion

Le domaine de la détection d’intrusion est resté trop longtemps sous le radar dans le monde DevOps. La réalité sur le terrain est que les chaînes d’approvisionnement logicielles sont la nouvelle cible prioritaire des attaquants, qui ont réalisé que les environnements de développement et de construction sont beaucoup moins protégés que ceux de production. Rendre la technologie du pot de miel plus accessible est crucial, tout en facilitant son déploiement à grande échelle grâce à l’automatisation.

GitGuardian, une plate-forme de sécurité de code, a récemment lancé sa capacité Honeytoken pour remplir cette mission. En tant que leader de la détection et de la correction des secrets, la société est particulièrement bien placée pour transformer un problème, la prolifération des secrets, en un avantage défensif. Pendant longtemps, la plate-forme a souligné l’importance du partage de la responsabilité de la sécurité entre les développeurs et les analystes AppSec. Désormais, l’objectif est de « décaler vers la gauche » sur la détection des intrusions en permettant à beaucoup d’autres de générer des informations d’identification leurres et de les placer à des endroits stratégiques dans la pile de développement logiciel. Cela sera rendu possible en fournissant aux développeurs un outil leur permettant de créer des honeytokens et de les placer dans les référentiels de code et la chaîne d’approvisionnement logicielle.

Le module Honeytoken détecte également automatiquement les fuites de code sur GitHub : lorsque les utilisateurs placent des honeytokens dans leur code, GitGuardian peut déterminer s’ils ont été divulgués sur GitHub public et où ils l’ont fait, réduisant considérablement l’impact de manquements comme ceux divulgués par Twitter, LastPass, Okta, Slack et autres.

Conclusion

Alors que l’industrie du logiciel continue de croître, il est essentiel de rendre la sécurité plus accessible au plus grand nombre. Honeytokens propose une solution proactive et simple pour détecter au plus tôt les intrusions dans la chaîne d’approvisionnement logicielle. Ils peuvent aider les entreprises de toutes tailles à sécuriser leurs systèmes, quelle que soit la complexité de leur pile ou des outils qu’ils utilisent : systèmes de gestion du contrôle des sources (SCM), pipelines d’intégration continue, de déploiement continu (CI/CD) et registres d’artefacts logiciels, entre autres autres.

Avec son approche zéro configuration et facile à utiliser, GitGuardian intègre cette technologie pour aider les organisations à créer, déployer et gérer des honeytokens à une plus grande échelle, réduisant considérablement l’impact des violations de données potentielles.

L’avenir des honeytokens s’annonce prometteur, et c’est pourquoi il n’était pas surprenant de voir Kevin Mandia vanter les avantages des honeypots auprès des plus grandes entreprises de cybersécurité de RSA cette année.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.5/5 - (26 votes)
Publicité
Article précédentRoku élargit sa gamme de maisons intelligentes avec un système d’alarme à 99 $
Article suivantLiam Hemsworth étourdit dans le rôle de Geralt dans une image à couper le souffle
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici