william87 - Fotolia
Illusive Networks veut leurrer les attaquants
L’implantation de fausses pistes de mouvement latéral au sein de l’infrastructure doit permettre de tromper l’attaquant pour accélérer considérablement sa détection. Le tout en s’appuyant sur une connaissance approfondie des techniques employées.
Fondé en septembre 2014, Illusive Networks compte parmi les finalistes de l’Innovation Sandbox de l’édition 2016 de RSA Conference. A l’instar d’un TrapX, la jeune cherche à lutter contre les attaques informatiques avancées en leurrant ceux qui les lancent.
Dans un entretien avec la rédaction, Shlomo Touboul, Pdg d’Illusive Networks, souligne que les attaquants utilisent des méthodes variées, tant pour l’infiltration initiale que pour leurs déplacements dans les systèmes compromis, mais toutefois limitées en nombre : « à leur entrée sur le réseau, ils ne savent pas encore où ils ont atterri, mais ils savent exactement ce qu’ils cherchent. Ils entament donc un processus d’orientation et de propagation en s’appuyant sur l’extraction d’informations des machines compromises ». Et cela pour répondre à deux questions : « où puis-je aller à partir d’ici ? » et « comment est-ce que je me déplace ? ». Un processus répété à chaque nouvelle machine compromise. « Et s’il aboutit dans cul-de-sac, il revient sur ses pas et s’engage dans une nouvelle direction ».
Fournir des informations bidon
Illusive Networks classifie les techniques susceptibles d’être employées par les attaquants tout au long de ce processus en 10 familles différentes, « et pour chacune d’entre elles, nous disposons d’une technique de leurre ». A commencer, par exemple, par présenter, sur une machine compromise, de faux comptes administrateur : « d’après notre expérience, l’attaquant va essayer de tous les utiliser, ou au moins d’utiliser celui qui lui semble le plus attractif, ce qui est probablement celui d’administration du contrôleur de domaine ». L’idée est que l’attaquant sera détecté dès qu’il tentera d’utiliser l’un de ces faux comptes. « Mais comme je disais, nous considérons 10 familles. Chacune d’entre elles est assortie de techniques de leurre, pour les attaques visant les bases de données, RDP, SSH, FTP, les commandes en ligne, les scanners, etc. Et bien sûr les identifiants de comptes ».
Pour tromper un ennemi expert
Mais pourquoi ne pas tout simplement faire voir à l’attaquant un environnement qui ne correspond pas à celui dans lequel il se trouve réellement, un peu à la manière de ce qu’un Bromium peut envisager de faire ? « Les attaquants savent mettre en échec les systèmes de prévention, pour la bonne et simple raison qu’ils peuvent mettre la main dessus, les déployer dans leurs laboratoires, et les étudier ».
Et Shlomo Touboul de souligner que « les attaques avancées que l’on observe aujourd’hui affectent majoritairement des infrastructures très matures, bien administrées, disposant de la technologie la plus récente et de la dernière génération de pare-feu et de détection d’anomalies comportementales. Et pourtant, les attaquants entrent, parce qu’ils savent exactement comment passer au travers ».
Pour illustrer son propos, il explique que plutôt de communiquer à tort et à travers sur le réseau, l’attaquant préfèrera « rester sur le poste compromis, étudier son trafic réseau, et communiquer suivant des modèles compatibles avec ce trafic usuel ».
Ne pas signaler sa présence
Et le patron d’Illusive Networks de souligner que, généralement, les solutions de protection trahissent leur présence sur les postes de travail et les serveurs, du fait des agents résidents sur lesquels elles s’appuient : « nous travaillons sans agent résident. Car si l’attaquant en cherche et en trouve un, il saura comment s’en cacher ».
Dans la pratique, il ne s’agit de ne fournir que des leurres à l’attaquant. Sur chaque machine, certaines vulnérabilités sont bien réelles, mais « si sur 10, deux sont réelles, l’attaquant a 80 % de chances d’être détecté sur la première machine. A mesure qu’il progresse dans l’infrastructure, ses chances d’être détecté augmentent mathématiquement », en particulier si l’attaquant tente plusieurs déplacements à partir d’une même machine : « à la seconde machine, s’il est à 20 % de 20 % de chances de succès, il n’est en fait plus qu’à 4 % de chances de succès. Et nous sommes à 96 % de chances de détection. Au mouvement suivant, nous montons à plus de 99 % de chances de détection. Maintenant, vous pouvez imaginer à quel niveau nous arrivons à la cinquième ou sixième étape ».
Si l’approche peut paraître inquiétante, Shlomo Touboul relativise : « dans une attaque comme celle de Sony Pictures Entertainment, l’attaquant a dû réaliser des centaines, des milliers de déplacements. En fait, nous le détectons très tôt ».
Une connaissance régulière actualisée
L’approche d’Illusive Networks s’appuie en tout premier lieu sur l’infrastructure existant, assortie d’un serveur d’administration qui définit les règles du jeu auxquelles soumettre l’attaquant, et les machines impliquées. Et celles-ci peuvent changer régulièrement. Et alors que pot de miel, ou honeypot, est difficile à mettre en œuvre et limité en étendue, il s’agit là de mettre à contribution une part aussi étendue que possible de l’infrastructure de l’entreprise. Les atteintes aux configurations des machines se font via le service WMI – « qui ne reste pas résident ; il est invoqué puis disparaît ».
Lorsque l’attaquant tombe dans un piège, il est confronté à des fantômes qui lui répondent et permettent d’enclencher un processus d’investigation pour remonter le fil de l’attaque – « ce que nous faisons en temps réel ». Shlomo Touboul revendique là la possibilité de « créer une nouvelle cartographie de l’attaque comme jamais la DSI n’en a eu […] et où l’on voit tous les déplacements latéraux possible dans l’organisation ».
Illusive Networks a déposé six demandes de brevets autour de sa technologie. Mais celle-ci ne serait rien sans une connaissance approfondie des techniques des attaquants. Pour cela, la jeune pousse compte sur ses équipes, notamment issues de l’unité 8200 de l’armée israélienne, chargée du renseignement. Shlomo Touboul la décrit comme la NSA d’Israël, « principalement offensive et non pas défensive ».