Getty Images/Blend Images
CyberArk avance des leurres ultra-ciblés pour bloquer les attaques
L’éditeur veut berner les assaillants cherchant à tirer profit d’identifiants à privilèges élevés, comme les comptes d’administration locaux. Mais il n’entend pas s’arrêter là.
CyberArk met un pied sur le terrain des leurres. L’éditeur vient de profiter de la conférence RSA, qui se déroule actuellement à San Francisco, pour lever le voile sur une nouvelle fonctionnalité de sa solution de gestion des droits sur les hôtes, Endpoint Privilege Manager (EPM).
Originellement, CyberArk EPM permet notamment – et depuis l’été dernier pour Windows et macOS – d’octroyer à un utilisateur des droits d’administration à la volée, pour une durée déterminée. Les actions réalisées avec ces droits sont consignées dans une trace d’audit, et les droits en question peuvent être révoqués à tout moment. Cette capacité prend tout son sens en perspective avec la seconde, qui vise à faire respecter le principe du moindre privilège : les utilisateurs disposent des droits nécessaires à l’accomplissement de leurs tâches, ni plus, ni moins. Enfin, la solution embarque un module visant à détecter et bloquer les tentatives de vol d’identifiants stockés localement sur la machine, que ce soit au niveau du système d’exploitation, d’applications spécifiques, ou encore du navigateur Web.
Avec les mécanismes de leurres, CyberArk s’engage un peu plus dans la protection active contre les attaques en cherchant à berner les outils dédiés au vol d’identifiants. On imagine nombreux ceux qui voudront mettre la solution à l’épreuve de Mimikatz, notamment, et cela d’autant plus que l’éditeur assure avoir « examiné les modes opératoires de voleurs d’identifiants à succès ». Les capacités initiales de leurre de la solution sont immédiatement disponibles. Mais il faudra attendre par exemple pour le support des identifiants stockés par les navigateurs Web.
Les systèmes de leurre ne manquent pas d’intérêt. Ils peuvent aider à accélérer la découverte de menaces dans le système d’information et la réponse à celles-ci. Et les cas d’usage ne manquent pas. L’été dernier, Digital Defense a ainsi noué un partenariat avec Attivo Networks pour aider à aligner le déploiement ciblé de leurres sur les risques. Le concept peut être résumé simplement : la plateforme Frontline du premier permet d’identifier les actifs du système d’information affichant le niveau de risque le plus élevé, en fonction de leur vulnérabilité à d’éventuels exploits et leur criticité métier ; celle d’Attivo Networks est mise à contribution pour déployer automatiquement des leurres vers lesquels attirer d’éventuels attaquants, afin de les détourner des véritables actifs à haut risque.
De son côté, TrapX continue de faire régulièrement évoluer sa plateforme, étendant récemment les capacités de DeceptionGrid aux systèmes SAP. Et Cymmetria est passé, en septembre dernier, dans le giron du fonds d’investissement Stage Fund. Mais en France également, l’intérêt est là pour ces technologies. Sesame IT, connu notamment pour sa sonde réseau basée sur Suricata, présentait ainsi son propre système de leurres lors du Forum International de la Sécurité (FIC), fin janvier à Lille, face à Amossys. Les deux s’affrontaient dans le cadre d’une compétition organisée par la Direction générale de l’Armement et le Commandement Cyberdéfense (COMCyber) pour l’occasion. C’est le second qui l’a emporté avec sa plateforme Beezh. Mais Sesame IT n’entend pas pour autant abandonner ses projets.