La tromperie est essentielle à l’activité malveillante des pirates Black Hat, mais, comme Microsoft l’a récemment montré, elle peut également être une arme puissante contre ces pirates.
Lors d’un événement BSides plus tôt cette année à Exeter, en Angleterre, le « responsable de la tromperie » du fabricant de logiciels, Ross Bevington, a décrit un projet ambitieux qui a attiré les cybercriminels vers des locataires de pots de miel d’apparence réaliste ayant accès au cloud Azure de Microsoft pour recueillir des renseignements à leur sujet et perturber leur activité. leurs opérations.
Selon Microsoft, il surveille quotidiennement quelque 25 000 sites de phishing, alimentant environ 20 % d’entre eux avec les informations d’identification du pot de miel. Une fois qu’un attaquant se connecte au faux locataire, chacune de ses actions est enregistrée, permettant à Microsoft d’apprendre les tactiques, techniques et procédures (TTP) de l’acteur menaçant.
«J’ai travaillé pour Microsoft pendant 11 ans et j’ai déployé des technologies de tromperie pour certains de ses clients et j’ai été impliqué dans des projets internes utilisant des technologies de tromperie. Pour autant que je sache, à partir des détails très limités, cela semble être un projet de tromperie à grande échelle », a déclaré Roger Grimes, un évangéliste de la défense pour KnowBe4, un fournisseur de formation de sensibilisation à la sécurité à Clearwater, en Floride.
« La plupart des projets de tromperie impliquent un ou quelques points finaux de tromperie », a-t-il déclaré à TechNewsWorld. « Celui-ci semble impliquer un groupe de faux locataires avec des centaines de faux utilisateurs et du contenu simulé. C’est assez important en ce qui concerne les projets de tromperie.
Jouer à un jeu d’esprit avec des méchants
« Lors de la présentation de Microsoft à BSides, une chose a attiré mon attention : les faux locataires Azure utilisés pour cartographier l’infrastructure des programmes de phishing », a ajouté Chris Dukich, fondateur de Display Now, une société d’affichage numérique à Boston.
« Il s’agit d’un nouveau niveau de tromperie qui donne à Microsoft l’avantage de pouvoir recueillir des renseignements sur les phishers à travers le monde et les neutraliser avant qu’ils ne déploient leurs attaques en masse », a-t-il déclaré à TechNewsWorld.
Stephen Kowski, directeur technique de SlashNext, une société de sécurité informatique et réseau basée à Pleasanton, en Californie, a noté que l’approche de Microsoft consistant à utiliser de faux locataires Azure représentait un changement innovant dans les tactiques de tromperie.
« En tirant parti de leur infrastructure cloud, ils ont créé un environnement de pot de miel plus évolutif et dynamique », a-t-il déclaré à TechNewsWorld. «Cette méthode permet de surveiller et d’analyser en temps réel le comportement des attaquants au sein d’un écosystème cloud contrôlé mais réaliste, fournissant ainsi des informations plus approfondies sur les opérations de phishing sophistiquées.»
En plus d’expliquer son système de pot de miel, la session BSides avait peut-être un autre objectif pour Microsoft. « La technologie de tromperie n’est pas quelque chose dont les défenseurs parlent souvent », a déclaré Casey Ellis, fondateur et conseiller de Bugcrowd, basé à San Francisco, qui exploite une plateforme de bug bounty participative. « Une partie de son utilité vient du fait qu’il ressemble exactement à un système opérationnel, de sorte que l’approche de déploiement typique est silencieuse. »
« En annonçant qu’ils font cela, Microsoft joue un peu à un jeu d’esprit avec les méchants », a-t-il déclaré à TechNewsWorld.
Tactique de tromperie pas pour tout le monde
Comme Microsoft l’a illustré, la tromperie peut être un outil efficace pour contrecarrer les désespérés du numérique, mais elle n’est pas pour tout le monde. « Les tactiques de tromperie nécessitent pas mal de ressources », a reconnu Vaclav Vincalek, CTO virtuel et fondateur de 555vCTO, à Vancouver, Colombie-Britannique, Canada.
« Il doit être correctement configuré, puis vous avez besoin de main d’œuvre pour le surveiller », a-t-il déclaré à TechNewsWorld. « Et bien sûr, la question est : que faites-vous de ces informations ?
Grimes était d’accord. « L’organisation moyenne n’a tout simplement pas le temps de mener ce type d’activités de recherche et, en général, lorsque des technologies de tromperie sont utilisées, elles sont utilisées pour une alerte précoce afin d’accélérer la réponse aux incidents et de réduire les coûts et les temps d’arrêt.
Certaines de ces préoccupations en matière de main-d’œuvre pourraient être résolues grâce au recours à l’intelligence artificielle.
« Créer des environnements trompeurs réalistes ou convaincants devient une tâche idéale pour utiliser un grand modèle de langage d’IA, car il faut pouvoir alimenter un certain nombre de comptes individuels interagissant tous les uns avec les autres, avec un retard de communication historique entre eux pour que les acteurs de la menace puissent les rechercher. à travers », a déclaré Daniel Blackford, directeur de la recherche sur les menaces chez Proofpoint, une société de sécurité d’entreprise, à Sunnyvale, en Californie, à TechNewsWorld.
Grimes a félicité Microsoft et d’autres grandes organisations pour avoir accompli un travail acharné consistant à utiliser la tromperie à des fins de recherche et d’apprentissage, puis à utiliser les leçons apprises pour améliorer les défenses qui profitent à tous.
« Même si j’aime les technologies de tromperie en général, l’atténuation du phishing n’est pas le meilleur cas d’utilisation pour une organisation moyenne », a-t-il ajouté, « mais comme Microsoft l’utilise – où ils apprennent quels sont les outils et techniques actuels et les plus récents. et des astuces – c’est un excellent outil.
Combattre le phishing
Même si le recours à la tromperie pour lutter contre le phishing n’est peut-être pas envisageable pour toutes les organisations, il peut s’agir d’une arme puissante pour celles qui choisissent de la déployer à cette fin.
« La tromperie peut être un outil puissant contre le phishing, en utilisant de faux actifs – comme des e-mails, des sites Web ou des informations d’identification leurres – pour inciter les attaquants à révéler leurs tactiques sans compromettre les données réelles », a déclaré Shawn Loveland, expert en cybersécurité chez Resecurity, une entreprise mondiale et un gouvernement. entreprise de cybersécurité.
« En utilisant ces méthodes, les organisations engagent les phishers dans des paramètres contrôlés, permettant aux équipes de sécurité de détecter et d’analyser les tentatives de phishing en temps réel », a-t-il déclaré à TechNewsWorld. « Cela détourne les menaces des véritables cibles tout en collectant des renseignements sur les tactiques de phishing. »
« De plus », a poursuivi Loveland, « les campagnes de phishing simulées entraînent les utilisateurs et les systèmes de surveillance internes à reconnaître et à résister aux attaques réelles, améliorant ainsi la sécurité globale. »
Kowski a ajouté que le phishing reste une menace importante pour les organisations à mesure qu’il évolue et s’adapte aux nouvelles mesures de sécurité. « L’innovation BEC (Business Email Compromise) a diminué et, à la place, nous avons assisté à une augmentation des attaques de phishing 3D multicanal. Les acteurs malveillants innovent et exploitent des services fiables comme OneDrive, Dropbox et GitHub pour envoyer des e-mails malveillants », a-t-il déclaré. « Ce changement de tactique fait du phishing une préoccupation persistante et croissante pour les organisations. »
« Le phishing est et continuera d’être l’une des menaces les plus importantes auxquelles les individus et les organisations sont confrontés », a ajouté Loveland. « Les nouveaux outils de phishing basés sur l’IA, combinés aux données personnelles accessibles aux phishers, vont fondamentalement changer la donne en leur faveur. »
Vincalek donne ce conseil aux organisations qui recourent à la tromperie pour lutter contre les attaques de phishing : « La tromperie fonctionne vraiment mieux lorsque les organisations combinent cette stratégie avec d’autres mesures de sécurité. Les entreprises ne devraient pas compter uniquement sur la tromperie pour lutter contre toutes les attaques de phishing.
Grimes a ajouté : « Si vous utilisez des technologies de tromperie, assurez-vous de les personnaliser afin qu’elles imitent votre environnement réel. Par exemple, si vous utilisez Microsoft Windows principalement dans votre environnement, vous souhaitez que vos technologies de tromperie ressemblent à Windows, en utilisant les mêmes services et ports réseau par défaut.
« Une erreur courante que commettent les utilisateurs de nouvelles technologies de tromperie », a-t-il expliqué, « est de diffuser des technologies de tromperie qui ne semblent pas naturelles dans leur environnement, en faisant la publicité de services et de ports inappropriés pour ce que l’entreprise utilise réellement. »