5 techniques de déception perturbent la cybersécurité

Les entreprises et leurs centres d'opérations de sécurité (SOCs) sont en état de siège. Les événements de sécurité sont déclenchés depuis tous les coins de la pile de sécurité, depuis le pare-feu, les points de terminaison et les serveurs, depuis les systèmes de détection d'intrusion et d'autres solutions de sécurité.

Qui plus est, les équipes de sécurité n'ont pas suffisamment de personnes ou d'heures dans la journée pour analyser les alertes qui arrivent, et la plupart des «événements de sécurité» n'impliquent même pas une attaque en cours. Souvent, ils partagent simplement des informations (connexions échouées, par exemple) ou sont ce que nous appelons des «faux positifs» (lorsqu'une solution pense avoir trouvé une vulnérabilité spécifique, mais en fait, elle ne l'a pas été.)

Ceci est important parce qu'aujourd'hui, les attaquants utilisent des tactiques furtives qui exploitent ces défis de sécurité – après avoir infecté un actif dans une organisation, ils garder un profil bas, se déplaçant latéralement dans la recherche de données précieuses et sensibles. Plus ils restent longtemps dans le réseau, plus il devient difficile de détecter leur trace. Le «temps d'attente» moyen – la durée pendant laquelle un intrus malveillant ou un intrus malveillant se trouve dans le réseau d'une organisation – est mesuré en mois, avec certaines estimations dans l'intervalle de 200 jours et plus.

C'est pourquoi il est essentiel pour les organisations – grandes et petites – de concentrer leur stratégie de cybersécurité sur une détection plus précoce et une réponse plus rapide. L'une des tendances technologiques qui promet de le faire est la tromperie .

Qu'est-ce que la technologie de la tromperie?

Sun Tzu l'a mieux dit dans son livre sur The Art of Guerre: " Toute la guerre est basée sur la tromperie."

"Tromperie" est une tactique classique utilisée dans la guerre, à la fois pour la protection et comme mécanisme pour attaquer les ennemis. L'une des opérations de déception les plus connues pendant la Seconde Guerre mondiale a été celle où les Britanniques ont trompé les Allemands lors de l'opération Mincemeat, qui a précédé l'invasion de la Sicile. C'était une opération classique consistant à planter une désinformation stratégique afin de tromper l'ennemi et de le détourner de l'endroit où l'attaque avait eu lieu.

L'idée derrière une stratégie de cyber-déception est similaire. Les organisations savent souvent à des degrés divers ce que les attaquants recherchent, ce qu'ils s'attendent à trouver, et comment ils pourraient attaquer et utiliser l'information qu'ils trouvent – alors pourquoi ne pas utiliser cela contre eux?

Le but ultime de la tromperie est d'attirer les attaquants à «leurrer» des biens qui ont l'air réels et qui ne le sont pas. Cela peut être fait par différentes méthodes, y compris les pièges dans le réseau, sur les points de terminaison et les serveurs, les pièges de données, et plus encore. En s'engageant dans l'environnement de leurre ou de tromperie, les attaquants ou les initiés malveillants se révèlent essentiellement à l'organisation – mais ils ne le savent pas.

5 façons dont la tromperie change le paysage de la cybersécurité

Souvent, les gens entendent la 'tromperie' et pensent immédiatement aux 'pots de miel' – qui est un leurre statique qui imite un simple système informatique et ne fait rien trébuche à travers. Cependant, la technologie de la déception s'est grandement améliorée au-delà du concept de pot de miel aujourd'hui. Comment? En étant actif – à la fois en attirant et en harcelant des attaquants dans un environnement de tromperie, ainsi que dans les leurres.

Voici cinq façons dont la technologie de déception change le paysage de la cybersécurité:

1 . Une précision maximale avec un investissement humain minimal

Lorsqu'une solution de déception déclenche une alerte, les organisations savent que c'est un incident précis, quoi qu'il arrive – adieu les faux positifs! Tout accès à la couche de déception est par définition malveillant et l'équipe de sécurité doit immédiatement l'examiner. Les équipes de cybersécurité ont du mal à se concentrer sur les menaces réelles en raison de tout le «bruit» généré par les multiples couches d'outils de sécurité et du manque de personnel pour trier et enquêter physiquement sur chaque alerte.

2. Obtenez personnelle avec votre entreprise

Deception a pris le concept de pot de miel à un autre niveau. Il apprend structurellement et s'adapte aux environnements réseau et cloud de votre organisation. Les leurres changent pour correspondre à l'environnement réel à mesure qu'il change. De plus, les solutions qui utilisent la «chapelure» peuvent attirer stratégiquement les attaquants et les initiés malveillants vers les leurres. Cette «personnalisation» est essentielle à une défense moderne contre la tromperie – pour s'assurer que les composants de la tromperie sont toujours réels.

3. Assurer une défense post-brèche pour tout type d'attaque

Les cyber-attaques peuvent prendre de nombreuses formes. La déception fournit une défense post-brèche qui est indépendante du type d'attaque. Qu'il s'agisse d'un harponnage, d'un téléchargement drive-in ou d'un appareil connecté, la tromperie vous permet de savoir que quelqu'un dans votre réseau cherche à voler des données.

4. Déclenche des opérations de chasse aux menaces

La chasse aux menaces n'existe que dans les organisations de sécurité les plus importantes et les plus matures. Mais même les petites entreprises peuvent faire fonctionner cette stratégie très avantageuse avec tromperie. La tromperie fournit le premier vrai signal d'un bien infecté qu'un chasseur de menaces peut utiliser pour commencer rapidement le processus d'enquête.

5. Habilite les organisations à la stratégie et à la défense active

La ​​sécurité traditionnelle tente de bloquer et de prévenir les menaces. C'est un jeu constant de chat et de souris. Deception change ce jeu en donnant aux défenseurs la possibilité d'en apprendre plus sur les attaquants de la même manière que les attaquants essaient d'en savoir plus sur leurs cibles. Une fois qu'ils savent qu'un attaquant est dans le réseau, ils peuvent observer leurs comportements et modèles. Cet outil aide les équipes de sécurité à mieux comprendre ce que les attaquants recherchent et la meilleure façon de réagir.

Enfin

Alors que les défenses préventives sont certainement encore nécessaires, il est clair que les menaces avancées ont encore trop de succès. La détection précoce est maintenant plus critique que jamais. Chaque entreprise doit élaborer des stratégies sur la façon dont elle prévoit de combler la lacune de détection.

Il y a plusieurs fournisseurs qui offrent des mensonges, notamment Fidelis Cybersecurity, Trapx, Attivo et Illusive Networks. La tromperie est une technologie qui peut réduire considérablement le temps d'arrêt. En plus de cela, il est facile à installer, ne nécessite pas beaucoup de ressources à gérer et augmente l'efficacité et l'efficacité des équipes de sécurité.

Pour les entreprises qui envisagent cette technologie, la tromperie doit être étroitement intégrée non seulement avec SIEM mais aussi avec des solutions d'endpoint (EDR / EPP) et avec des solutions de sécurité réseau pour assurer une défense avant et après la violation qui renforce la posture de sécurité de l'organisation.