Il y a quelques semaines, la 32e \u00e9dition de RSA, l’une des plus grandes conf\u00e9rences mondiales sur la cybers\u00e9curit\u00e9, s’est termin\u00e9e \u00e0 San Francisco. Parmi les temps forts, Kevin Mandia, CEO de Mandiant chez Google Cloud, a pr\u00e9sent\u00e9 une r\u00e9trospective sur l’\u00e9tat de la cybers\u00e9curit\u00e9<\/a>. Lors de son discours, Mandia a d\u00e9clar\u00e9 :<\/p>\n “Il existe des mesures claires que les organisations peuvent prendre au-del\u00e0 des sauvegardes et des outils de s\u00e9curit\u00e9 communs pour renforcer leurs d\u00e9fenses et augmenter leurs chances de d\u00e9tecter, contrecarrer ou minimiser les attaques. […] <\/em>Pots de miel<\/em><\/strong>ou de faux comptes laiss\u00e9s d\u00e9lib\u00e9r\u00e9ment intacts par les utilisateurs autoris\u00e9s, <\/em>sont efficaces pour aider les organisations \u00e0 d\u00e9tecter les intrusions ou les activit\u00e9s malveillantes que les produits de s\u00e9curit\u00e9 ne peuvent pas arr\u00eater<\/em><\/strong>“.<\/p>\n “Construire des pots de miel” \u00e9tait l’un de ses sept conseils pour aider les organisations \u00e0 \u00e9viter certaines des attaques qui pourraient n\u00e9cessiter un engagement avec Mandiant ou d’autres entreprises de r\u00e9ponse aux incidents.<\/p>\n Pour rappel, les pots de miel sont syst\u00e8mes de leurre<\/strong> qui sont mis en place pour attirer les attaquants et d\u00e9tourner leur attention des cibles r\u00e9elles. Ils sont g\u00e9n\u00e9ralement utilis\u00e9s comme m\u00e9canisme de s\u00e9curit\u00e9 pour d\u00e9tecter, d\u00e9tourner ou \u00e9tudier les tentatives des attaquants d’obtenir un acc\u00e8s non autoris\u00e9 \u00e0 un r\u00e9seau. Une fois que les attaquants interagissent avec un pot de miel, le syst\u00e8me peut collecter des informations sur l’attaque et les tactiques, techniques et proc\u00e9dures (TTP) de l’attaquant. <\/p>\n \u00c0 l’\u00e8re num\u00e9rique o\u00f9 les violations de donn\u00e9es sont de plus en plus courantes malgr\u00e9 des budgets croissants allou\u00e9s \u00e0 la s\u00e9curit\u00e9 chaque ann\u00e9e, Mandia a soulign\u00e9 qu’il est crucial d’adopter une approche proactive pour limiter l’impact des violations de donn\u00e9es. D’o\u00f9 la n\u00e9cessit\u00e9 de renverser la situation sur les attaquants et le regain d’int\u00e9r\u00eat pour les pots de miel.<\/p>\n Bien que les pots de miel soient une solution efficace pour suivre les attaquants et emp\u00eacher le vol de donn\u00e9es, ils doivent encore \u00eatre largement adopt\u00e9s en raison de leurs difficult\u00e9s de configuration et de maintenance. Pour attirer les attaquants, un pot de miel doit appara\u00eetre l\u00e9gitime et isol\u00e9 du r\u00e9seau de production r\u00e9el, ce qui les rend difficiles \u00e0 configurer et \u00e0 faire \u00e9voluer pour une \u00e9quipe bleue cherchant \u00e0 d\u00e9velopper des capacit\u00e9s de d\u00e9tection d’intrusion. <\/p>\n Mais ce n’est pas tout. Dans le monde d’aujourd’hui, la cha\u00eene d’approvisionnement des logiciels est tr\u00e8s complexe et compos\u00e9e de nombreux composants tiers tels que des outils SaaS, des API et des biblioth\u00e8ques qui proviennent souvent de diff\u00e9rents fournisseurs. Des composants sont ajout\u00e9s \u00e0 chaque niveau de la pile de construction logicielle, remettant en question la notion de p\u00e9rim\u00e8tre “s\u00fbr” qui doit \u00eatre d\u00e9fendu. Cette ligne mouvante entre ce qui est contr\u00f4l\u00e9 en interne et ce qui ne l’est pas peut aller \u00e0 l’encontre de l’objectif des pots de miel : dans ce monde dirig\u00e9 par DevOps, les syst\u00e8mes de gestion de code source et les pipelines d’int\u00e9gration continue sont le v\u00e9ritable app\u00e2t pour les pirates<\/a>que les pots de miel traditionnels ne peuvent pas imiter. <\/p>\n Pour assurer la s\u00e9curit\u00e9 et l’int\u00e9grit\u00e9 de leur cha\u00eene d’approvisionnement logicielle, les organisations ont besoin de nouvelles approches, telles que les honeytokens, qui sont aux pots de miel ce que les leurres sont aux filets de p\u00eache : ils n\u00e9cessitent un minimum de ressources mais sont tr\u00e8s efficaces pour d\u00e9tecter les attaques.<\/p>\n Les Honeytokens, un sous-ensemble de pots de miel, sont con\u00e7us pour appara\u00eetre comme un identifiant ou un secret l\u00e9gitime. Lorsqu’un attaquant utilise un honeytoken, une alerte est imm\u00e9diatement d\u00e9clench\u00e9e. Cela permet aux d\u00e9fenseurs d’agir rapidement en fonction des indicateurs de compromis, tels que l’adresse IP (pour distinguer les origines internes des origines externes), l’horodatage, les agents utilisateurs, la source et les journaux de toutes les actions effectu\u00e9es sur le honeytoken et les syst\u00e8mes adjacents.<\/p>\n Avec les honeytokens, l’app\u00e2t est le justificatif d’identit\u00e9. Lorsqu’un syst\u00e8me est pirat\u00e9, les pirates recherchent g\u00e9n\u00e9ralement des cibles faciles \u00e0 d\u00e9placer lat\u00e9ralement, augmentent les privil\u00e8ges ou volent des donn\u00e9es. Dans ce contexte, les informations d’identification programmatiques telles que les cl\u00e9s d’API cloud sont une cible id\u00e9ale pour l’analyse car elles ont un mod\u00e8le reconnaissable et contiennent souvent des informations utiles pour l’attaquant. Par cons\u00e9quent, ils repr\u00e9sentent une cible de choix pour les attaquants \u00e0 rechercher et \u00e0 exploiter lors d’une violation. Par cons\u00e9quent, ils constituent \u00e9galement l’app\u00e2t le plus facile \u00e0 diffuser pour les d\u00e9fenseurs\u00a0: ils peuvent \u00eatre h\u00e9berg\u00e9s sur des actifs cloud, des serveurs internes, des outils SaaS tiers, ainsi que des postes de travail ou des fichiers.<\/p>\n En moyenne<\/a>, il faut 327 jours pour identifier une violation de donn\u00e9es. En diffusant des honeytokens \u00e0 plusieurs endroits, les \u00e9quipes de s\u00e9curit\u00e9 peuvent d\u00e9tecter les failles en quelques minutes, am\u00e9liorant ainsi la s\u00e9curit\u00e9 du pipeline de livraison de logiciels contre les intrusions potentielles. Le simplicit\u00e9<\/strong> de honeytokens est un avantage non n\u00e9gligeable \u00e9liminant le besoin de d\u00e9velopper un syst\u00e8me de d\u00e9ception complet<\/strong>. Les organisations peuvent facilement cr\u00e9er, d\u00e9ployer et g\u00e9rer des honeytokens \u00e0 l’\u00e9chelle de l’entreprise, en s\u00e9curisant simultan\u00e9ment des milliers de r\u00e9f\u00e9rentiels de code.<\/p>\n Le domaine de la d\u00e9tection d’intrusion est rest\u00e9 trop longtemps sous le radar dans le monde DevOps. La r\u00e9alit\u00e9 sur le terrain est que les cha\u00eenes d’approvisionnement logicielles sont la nouvelle cible prioritaire des attaquants, qui ont r\u00e9alis\u00e9 que les environnements de d\u00e9veloppement et de construction sont beaucoup moins prot\u00e9g\u00e9s que ceux de production. Rendre la technologie du pot de miel plus accessible est crucial, tout en facilitant son d\u00e9ploiement \u00e0 grande \u00e9chelle gr\u00e2ce \u00e0 l’automatisation. <\/p>\n GitGuardian, une plate-forme de s\u00e9curit\u00e9 de code, a r\u00e9cemment lanc\u00e9<\/a> sa capacit\u00e9 Honeytoken pour remplir cette mission. En tant que leader de la d\u00e9tection et de la correction des secrets, la soci\u00e9t\u00e9 est particuli\u00e8rement bien plac\u00e9e pour transformer un probl\u00e8me, la prolif\u00e9ration des secrets, en un avantage d\u00e9fensif. Pendant longtemps, la plate-forme a soulign\u00e9 l’importance du partage de la responsabilit\u00e9 de la s\u00e9curit\u00e9 entre les d\u00e9veloppeurs et les analystes AppSec. D\u00e9sormais, l’objectif est de “d\u00e9caler vers la gauche” sur la d\u00e9tection des intrusions en permettant \u00e0 beaucoup d’autres de g\u00e9n\u00e9rer des informations d’identification leurres et de les placer \u00e0 des endroits strat\u00e9giques dans la pile de d\u00e9veloppement logiciel. Cela sera rendu possible en fournissant aux d\u00e9veloppeurs un outil leur permettant de cr\u00e9er des honeytokens et de les placer dans les r\u00e9f\u00e9rentiels de code et la cha\u00eene d’approvisionnement logicielle.<\/p>\n Le module Honeytoken d\u00e9tecte \u00e9galement automatiquement les fuites de code sur GitHub\u00a0: lorsque les utilisateurs placent des honeytokens dans leur code, GitGuardian peut d\u00e9terminer s’ils ont \u00e9t\u00e9 divulgu\u00e9s sur GitHub public et o\u00f9 ils l’ont fait, r\u00e9duisant consid\u00e9rablement l’impact de manquements<\/a> comme ceux divulgu\u00e9s par Twitter, LastPass, Okta, Slack et autres.<\/p>\n Alors que l’industrie du logiciel continue de cro\u00eetre, il est essentiel de rendre la s\u00e9curit\u00e9 plus accessible au plus grand nombre. Honeytokens propose une solution proactive et simple pour d\u00e9tecter au plus t\u00f4t les intrusions dans la cha\u00eene d’approvisionnement logicielle. Ils peuvent aider les entreprises de toutes tailles \u00e0 s\u00e9curiser leurs syst\u00e8mes, quelle que soit la complexit\u00e9 de leur pile ou des outils qu’ils utilisent\u00a0: syst\u00e8mes de gestion du contr\u00f4le des sources (SCM), pipelines d’int\u00e9gration continue, de d\u00e9ploiement continu (CI\/CD) et registres d’artefacts logiciels, entre autres autres.<\/p>\n Avec son approche z\u00e9ro configuration et facile \u00e0 utiliser, GitGuardian int\u00e8gre cette technologie pour aider les organisations \u00e0 cr\u00e9er, d\u00e9ployer et g\u00e9rer des honeytokens \u00e0 une plus grande \u00e9chelle, r\u00e9duisant consid\u00e9rablement l’impact des violations de donn\u00e9es potentielles. <\/p>\n L’avenir des honeytokens s’annonce prometteur, et c’est pourquoi il n’\u00e9tait pas surprenant de voir Kevin Mandia vanter les avantages des honeypots aupr\u00e8s des plus grandes entreprises de cybers\u00e9curit\u00e9 de RSA cette ann\u00e9e.<\/p>\n <\/p>\nQue sont les leurres de p\u00eache pour les filets de p\u00eache<\/h2>\n
Leurres Honeytoken<\/h2>\n
L’avenir de la d\u00e9tection d’intrusion<\/h2>\n
Conclusion<\/h2>\n