Pourquoi un honeypot n’est pas une solution de sécurité complète

honeypot

Un principe clé, et peut-être un des enseignements les plus importants en matière de sécurité que doit retenir tout professionnel, est qu’il faut « toujours conserver une trace d’audit ». Pourquoi ? Parce que si vous êtes confronté à une fuite de données, vous saurez au moins répondre aux questions « quoi », « où » et « quand ». En plus, certaines lois et réglementations exigent de mettre en place des traces d’audit.

Pour faciliter la chose, il existe une palette d’outils aidant à surveiller les appareils, systèmes, applications et journaux. Étant donné que ces outils surveillent les réseaux 24h/24 et 7 jours/7, ils génèrent chaque jour plusieurs milliers d’entrées qui noient souvent les administrateurs sous les données. Au-delà des domaines de données, il y a les alertes, qui émettent des signaux d’alarme et submergent les boîtes aux lettres de notification de Gestion des événements et informations de sécurité (SIEM) et de détection des intrusions.

Je me demande si les arbres n’empêcheraient pas de voir la forêt…

Oui, ces outils ont joué leur rôle – trouver ceci, cela, et encore autre chose, déclencher une alerte – mais face au déluge d’alertes il est difficile de déterminer ce qui mérite d’être examiné de près.

S’il est important de tout étudier, alors rien n’a d’importance.

C’est la raison pour laquelle les honeypots sont devenus des outils de sécurité aussi appréciés et que, par certains aspects, ils comblent les lacunes de vos outils de surveillance.

Qu’est-ce qu’un honeypot ?

Un honeypot (pot de miel) est essentiellement un appât (mots de passe, vulnérabilités, fausses données sensibles) que l’on s’efforce de rendre très tentant et accessible. L’objectif est de tromper et d’attirer un hacker essayant d’accéder de manière non autorisée à votre réseau. Le honeypot est surveillé par l’équipe de sécurité informatique. Toute personne surprise la main dans le pot de miel est souvent supposée être un intrus.

Les avantages du honeypot

Avant d’expliquer pourquoi un honeypot ne doit pas être la seule solution de sécurité de votre organisation, indiquons quelques raisons pour lesquelles il constitue vraiment une mesure de sécurité informatique très efficace, en particulier pour en savoir plus sur qui rôde dans votre environnement.

Avec un honeypot, vous pouvez savoir comment un hacker a pénétré dans le système, à partir d’où (par exemple, adresses IP d’origine et de destination des données volées), quels éléments ont été supprimés ou ajoutés (par exemple, le hacker a augmenté ses droits pour passer admin), les frappes au clavier d’une personne, et quel programme malveillant est utilisé (par exemple, un cheval de Troie ou un rootkit ajouté au système).

Les alertes qui méritent une enquête – Comme mentionné précédemment, le service informatique est souvent bombardé de milliers d’alertes par jour, sans qu’il ne soit fait de distinction (ou alors très peu) entre les risques et menaces de faible et haut niveau. De leur côté, les honeypots n’enregistrent que quelques centaines d’événements dans le journal, facilitant ainsi le travail de l’informatique chargé de gérer, analyser et agir rapidement, puis de chasser l’intrus avant qu’il ne fasse d’autres dommages.

Concernant les alertes du honeypot, prenez garde aux différents types de faux positifs.

Par exemple, un hacker peut créer une diversion, faisant croire que ce sont vos systèmes de production qui attaquent le honeypot. Votre honeypot détecterait ces fausses attaques et inciterait vos administrateurs informatiques à enquêter sur elles, c’est-à-dire sur les attaques prétendument lancées par votre système de production et visant votre honeypot. Pendant que cette fausse alerte est traitée, le hacker peut se consacrer à la véritable attaque. Oui, les hackers sont malins !

Alternative pour lutter contre le ransomware– Si vous ne possédez pas de système automatisé de surveillance des fichiers, vous pouvez créer un honeypot contenant de faux fichiers et dossiers, et le surveiller régulièrement comme alternative pour lutter contre le ransomware. Pourquoi ne pas essayer notre solution de surveillance de fichiers basée sur PowerShell, développée en interne ?

Bien entendu, vous devrez mettre en place un audit natif du système de fichiers. Notez que cela induira une surcharge importante pour vos systèmes. À la place, vous pouvez envisager de faire ceci : prioriser et créer un partage de fichiers accessible, contenant des fichiers en apparence normaux ou avec de la valeur, mais qui en réalité sont faux.

Étant donné qu’aucune activité utilisateur légitime ne devrait, en théorie, être associée à un partage de fichiers servant de honeypot, il y a plus de chance que toute activité observée soit due à un intrus et doive être traitée en tant qu’alerte de haut niveau. Une fois que vous avez activé l’audit natif pour enregistrer les activités d’accès, vous pouvez créer un script permettant d’alerter l’informatique lorsque des événements sont écrits dans le journal des événements de sécurité (par exemple, en utilisant dumpel.exe).

Détecter potentiellement les menaces internes – Oui, on part souvent du principe que toute interaction avec un honeypot signifie que vous êtes un hacker. Après tout, personne n’a aucune raison d’y aller.

Selon la configuration, le simple fait que vos employés déclenchent les alertes ne signifie pas automatiquement qu’ils sont coupables. Au niveau juridique, les utilisateurs pourraient avancer que leur employeur a enfreint leur vie privée car il ne leur a pas donné le droit de supprimer leurs données personnelles dans le honeypot.

Faites confiance, mais vérifiez.

D’un autre côté, derrière le pare-feu, l’adresse IP et les données d’identification de compte de l’entreprise permettent difficilement de localiser les personnes internes mécontentes et/ou malveillantes.

Pourquoi ?

Une personne interne n’en viendrait peut-être jamais à utiliser ou interagir avec le honeypot. Celui-ci présenterait alors peu d’intérêt comme outil de recherche. De la même façon, le honeypot ne fonctionnera pas si la personne interne est au courant de son existence ou si elle le découvre d’une façon ou d’une autre. Elle saura comment l’éviter et par conséquent ne déclenchera ni activité ni journalisation.

Données déchiffrées – Les organisations commencent à chiffrer leurs données. Après tout, le chiffrement figure parmi les meilleures pratiques et est, dans certains cas, une exigence de conformité. Mais les technologies qui protègent nos données, comme c’est le cas du chiffrement, ne peuvent pas nous dire ce qui se passe sur nos réseaux. C’est là que les honeypots sont utiles. Ils détecteront l’activité car ils agissent en tant que points terminaux sur lesquels l’activité est déchiffrée.

Mais les honeypots ne sont pas la panacée

À la place, essayez la sécurité dès la conception – Comme les tests de pénétration, les honeypots sont l’opposé de la sécurité dès la conception. Afin de disposer de davantage d’informations sur l’environnement de votre organisation, les honeypots sont souvent installés une fois que le système est prêt. Intégrer des machines qui vous indiquent où vous êtes vulnérable est une expérience très instructive.

Une méthode plus proactive pour réduire les risques et améliorer la sécurité consiste à procéder à des tests avant de publier un produit ou un nouvel environnement informatique. Soyez aussi exigeant avec votre environnement informatique qu’avec vos ampoules, les aliments que vous consommez et les bâtiments. C’est ce sur quoi la sécurité dès la conception met l’accent – intégrer la sécurité à tous les niveaux du processus de gestion informatique, dès le tout début de la phase de conception.

L’UBA, un moyen plus efficace de détecter les menaces internes et externes et le ransomware – Lorsqu’une personne de l’extérieur pénètre sur le réseau par les ports publics légitimes (e-mail, web, données d’identification) puis obtient un accès en tant qu’utilisateur, elle dispose de moyens très habiles de mettre en œuvre une attaque qui sera difficile à surveiller.

En fait, pour un administrateur informatique qui se contente de surveiller l’activité du système, le hacker a toute l’apparence d’un utilisateur quelconque.

C’est là que l’Analyse du comportement des utilisateurs (UBA) peut s’avérer très utile, voire plus qu’un honeypot !

L’UBA obtient vraiment d’excellents résultats lorsqu’il s’agit de gérer l’inconnu. En arrière-plan, le moteur UBA peut déterminer les caractéristiques fondamentales de l’activité de chaque utilisateur, puis localiser les écarts et les signaler en temps réel – quelle que soit la forme sous laquelle ils se cachent – Une personne de l’extérieur ? Une menace venant de l’intérieur ? Un ransomware ? – tous seront détectés. Un administrateur informatique peut, par exemple, configurer une règle permettant d’identifier des milliers d’actions « modifier fichier » en un court laps de temps.

Responsable des dommages en cas de détournement de votre honeypot – Oui, vous vous attendez à ce qu’un honeypot soit inspecté et attaqué, mais vous devez aussi envisager qu’il puisse être utilisé.

Toutefois, certains honeypots entraînent un risque très faible, comme c’est le cas des honeypots à faible interaction. Ils sont faciles à installer et sont dépourvus de tout système d’exploitation susceptible d’être exploité par un hacker pour effectuer ses opérations. Ils sont en grande partie inactifs, et attendent qu’une activité quelle qu’elle soit se produise. Ils capturent très peu d’informations, se contentant de vous alerter lorsque quelqu’un y accède et qu’il est peut être pertinent d’observer l’activité qui s’y déroule.

Un honeypot à interactions élevées est bien plus risqué. Véritable système d’exploitation, il possède des services, programmes et e-mails et fonctionne comme un véritable ordinateur. Il est également plus compliqué à installer et à déployer, et il exige d’être positionné de manière stratégique. Soit il pourrait exposer votre réseau tout entier à des risques plus importants, soit personne ne le verrait.

Cependant, votre honeypot à haut risque capture aussi plus d’informations – l’adresse IP, dans certains cas le nom de l’individu, le type d’attaque, le mode d’exécution de l’attaque, et surtout, il permet de savoir comment mieux protéger votre réseau.

N’oubliez pas qu’au lieu d’éviter d’être détecté, un hacker peut également fournir de fausses informations au honeypot, incitant ainsi la communauté de sécurité à porter des jugements erronés et à tirer des conclusions incorrectes le concernant.

Revenons au détournement.

Vous vous retrouverez avec un problème sérieux sur les bras si un honeypot est détourné et utilisé pour attaquer, infiltrer et endommager d’autres systèmes et organisations. Votre organisation pourrait être considérée comme responsable en aval des dommages.

Vous aurez été prévenu.

Réfléchissez attentivement à la façon dont vous mettez en œuvre vos honeypots, et choisissez vos solutions de sécurité intelligemment. Les honeypots ne constituent pas une bonne alternative si ce dont vous avez vraiment besoin est un système d’analyse du comportement des utilisateurs. Par contre, les honeypots sont utiles puisqu’ils travaillent avec les solutions de sécurité en place.