Leurre (sécurité)
La technologie de leurre désigne une catégorie d'outils et techniques de sécurité conçus pour empêcher un pirate déjà infiltré de provoquer des dommages dans le réseau. Il s'agit d'utiliser des appâts pour induire le pirate en erreur et retarder ou empêcher sa progression jusqu'à sa cible finale.
Ces techniques fonctionnent en distribuant dans tout le réseau des leurres qui imitent d'authentiques actifs informatiques. Les leurres exécutent un système d'exploitation réel ou émulé et fournissent des services conçus pour tromper le pirate et lui faire croire qu'il a réussi à voler des informations d'identification ou à s'approprier des privilèges supérieurs. En réalité, il a été attiré dans un piège : le système exploré ou attaqué est un leurre qui s'empresse d'avertir un serveur spécial, dit serveur de combat ou de « déception ».
Des moteurs de corrélation au sein du serveur de déception identifient le leurre que le pirate a exploré ou tenté d'attaquer et les vecteurs d'attaque qu'il a utilisés.
La technologie de leurre vise à renforcer plutôt qu'à remplacer les autres produits de sécurité d'une entreprise. Comme elle ne repose pas sur les signatures d'attaque, elle est extrêmement efficace pour obtenir une visibilité en temps réel sur une attaque ayant réussi à contourner tous les autres systèmes de prévention.
Cette fonctionnalité permet d'améliorer les tâches exécutées par le système de gestion des informations et événements de sécurité (SIEM) de l'entreprise, afin de garantir l'identification rapide et la mise en quarantaine des appareils infectés.
La technologie de leurre étant conçue pour détecter les menaces internes au réseau et leurs déplacements, les alertes sont toujours basées sur les événements et automatiquement étayées par des données analytiques qui, en cas de besoin, peuvent être passées au crible en même temps que les fichiers journaux.
S'il s'avère nécessaire de recueillir encore plus d'informations au cours d'une attaque, certains systèmes de déception perfectionnés peuvent même entamer une communication avec le serveur de commande et de contrôle du pirate pour tenter d'en savoir plus sur ses méthodes et les outils qu'il utilise.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Ransomware : un mois de février marqué par l’opération Cronos contre LockBit
-
Informatique quantique : pourquoi la cybersécurité doit s’y préparer dès aujourd’hui
-
Bien comprendre le RPA : ou comment rajeunir vos vieilles applications en les connectant
-
Au moins 47 000 serveurs vulnérables à des attaques à distance