iStock

Que peuvent les technologies de leurre pour améliorer la sécurité du cloud ?

Fidelis cybersecurity a lancé une plateforme de sécurité cloud dotée de capacités de leurre actif. L’expert Dave Shackleford se penche sur les apports dans le domaine.

Le concept de leurres actifs dans les systèmes internes a pris de l'importance ces dernières années, notamment avec l’émergence de nouvelles offres comme celles de Cymmetria ou encore Illusive Networks, entre autres. Les entreprises ont en outre longtemps utilisé des pots de miel – ou honeypots –, qui cherchent à attirer les attaquants avec la promesse de cibles à portée de main. De quoi permettre aux équipes de sécurité de surveiller les attaquants.

Des stratégies de défense plus actives ont vu le jour au cours des dernières années, qui incluent des hôtes leurres sur le réseau, des cookies de suivi et autres mécanismes pour tenter de déterminer la véritable origine d'un attaquant, suivre ses tactiques et ses méthodes. Il est également possible de modifier leur comportement d'un serveur ou d'une application Web lorsque des attaques ou des sondes suspectes sont détectées – pour éventuellement ralentir l’attaquant ou détourner son attention.

Désormais, les techniques de défense active se tournent également vers les environnements en mode cloud. Fidelis Cybersecurity vient ainsi de lancer une plate-forme avec cyber-tromperie active comme principale caractéristique. La boîte à outils Fidelis Deception, qui fait partie de sa plate-forme Elevate, permet aux administrateurs de déployer des leurres dans les environnements de fournisseurs de cloud.

Techniques de leurres actifs

Fidelis Deception supporte plusieurs techniques courantes de tromperie active. Cela commence par les fichiers de leurre, contenant de fausses données prétendument sensibles susceptibles d’attirer l’intérêt des attaquants. A cela s’ajoutent de faux comptes, pouvant apparaître à un tiers externe malveillant comme offrant une opportunité d’accéder à des droits plus élevés, ou à d’autres parties de l’environnement.

Il faut également compter avec des miettes de pain comme des services appétissants pour l’attaquant, qu'il aura envie d’explorer dans l’espoir de découvrir des systèmes potentiellement vulnérables. Et à cela s’ajoute enfin des hôtes rendus volontairement vulnérables ou plus accessibles pour simplement occuper le malotrus.

Historiquement, déployer en interne des technologies de leurre a pu s’avérer peu pratique, en particulier en raison de la charge administrative liée à la supervision et au maintien en conditions opérationnelles de la supercherie.

Surtout, la maintenance d’un vaste environnement d'entreprise avec ses plateformes patrimoniales et un réseau hautement distribué est suffisamment difficile en soi pour que personne ne veuille mettre en place des leurres, avec le risque d’en perdre la trace avec le temps.

Mais dans le cloud, il peut être beaucoup plus facile de configurer et de maintenir des leurres, car il n'y a qu'un seul socle homogène à suivre. Et les moyens de surveillance de l’environnement, par interfaces dédiées, notamment, ne manquent pas. Par exemple, les actifs dans AWS ou Microsoft Azure peuvent faire l’objet d’inventaire centralisé qui aidera les équipes de sécurité à administrer les ressources en question. Il existe de nombreux nouveaux outils de journalisation et d'automatisation pouvant être utilisés conjointement avec des boîtes à outils de leurre.

L’émergence d’une nouvelle génération de systèmes de leurres est prometteuse : lorsque quelqu'un interagit avec l’un d’eux, c’est forcément suspect et il est possible de hiérarchiser les enquêtes en limitant les faux positifs.

Le déploiement de cette technologie pourrait aisément aider à fermer les vecteurs d'attaque courants, comme les comptes piratés, les défauts de configuration et de contrôle d'accès, etc. Comme tous les actifs du cloud sont virtuels – ou basés sur du logiciel –, la génération et l'exploitation de ces ressources est rapide et indolore.

Pour autant, il y a un inconvénient à prendre en compte : l'augmentation des coûts récurrents du simple fait de l’utilisation de ressources supplémentaires. Avant de déployer ces technologies, il convient donc d’étudier soigneusement le rapport coûts/bénéfices.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)