Alors que les entreprises d’aujourd’hui font de leur mieux pour garder une longueur d’avance sur les cybercriminels et les attaques malveillantes, elles doivent se tenir informées des nouveaux outils et des nouvelles stratégies en matière de cybersécurité. Les techniques de tromperie, utilisant fréquemment des leurres ou des pièges, ont joué un rôle majeur pour duper les cyberattaquants. Toutefois, les méthodes traditionnelles de leurre sont plus complexes à mettre en place et à utiliser. Elles exposent aussi davantage les entreprises aux risques et ralentissent l’identification des cybermenaces.
Les honeytokens représentent une alternative efficace et plus sûre que les méthodes de leurre traditionnelles. Ils permettent de détecter rapidement les activités malveillantes et peuvent souvent servir de système d’alerte précoce pour votre équipe de sécurité.
Dans cet article, nous vous expliquerons le fonctionnement des honeytokens et présenterons les bonnes pratiques pour leur mise en œuvre et leur sélection parmi vos autres outils de sécurité.
Définition des honeytokens
Les honeytokens sont des ressources numériques spécialement conçues pour attirer les cyberattaquants, indiquant ainsi une utilisation non autorisée. Ils n’ont pas d’utilité réelle dans vos systèmes. Cependant, lorsqu’ils sont utilisés, ils déclenchent une alerte en cas d’accès potentiellement non autorisé.
Les honeytokens peuvent se présenter sous de nombreuses formes :
- Documents : fichiers conçus pour donner l’impression qu’ils contiennent des informations sensibles (telles que des données financières ou des éléments de propriété intellectuelle) et qui déclenchent une alerte dès leur ouverture.
- Enregistrements de base de données : de faux enregistrements dans une base de données, comme des détails sur des clients, des données commerciales ou des identifiants de collaborateurs, déclenchent des alertes d’intrusion lorsqu’ils sont consultés.
- Identifiants : faux noms d’utilisateur, fausses adresses e-mail et mots de passe fictifs pouvant être intégrés délibérément dans des applications ou des fichiers de configuration. Leur utilisation signale une potentielle activité malveillante.
- Jetons : jetons d’accès ou clés API qui signalent une éventuelle activité malveillante lorsqu’ils sont utilisés.
Un honeytoken vise principalement à détecter tout accès ou usage non autorisé des ressources. Ce système de détection, associé à un mécanisme d’alerte, facilite une intervention rapide en cas d’incident.
Honeytokens et honeypots
Les honeytokens, bien qu’apparentés aux honeypots, diffèrent de manière significative. Un honeypot est un système de leurre mis en place pour attirer les cyberattaquants. Un honeypot simule un système réel, comme un serveur, une application ou un réseau, en intégrant des vulnérabilités délibérées. Ces dernières sont sous la surveillance constante d’une équipe de sécurité. Lorsque les acteurs malveillants interagissent avec un honeypot, l’équipe de sécurité observe et comprend directement leurs techniques d’attaque. Grâce à ces informations, l’équipe de sécurité est en mesure de développer des contre-mesures.
Contrairement aux honeypots, les honeytokens sont de simples données qui servent à attirer les cyberattaquants. Intégré dans un jeu de données ou un système, un honeytoken sert exclusivement à détecter un accès non autorisé et à alerter l’équipe de sécurité d’une possible brèche. Les honeytokens permettent non seulement de détecter rapidement les activités malveillantes, mais aussi de fournir aux équipes de sécurité des informations précises sur les vecteurs et les modes d’attaque utilisés contre leurs systèmes. En attirant les adversaires et en examinant leur stratégie d’attaque, une entreprise peut identifier précisément leurs actions et mettre en place des politiques pour renforcer sa stratégie de sécurité.
En savoir plus
Les vulnérabilités dans Active Directory posent un risque croissant pour les entreprises, car les cyberattaquants ciblent désormais les identités. À mesure qu’ils affinent leurs tactiques, nous devons également faire évoluer nos défenses. Blog : CrowdStrike tire parti des innovations en matière de sécurité des identités pour protéger ses clients et bloquer les compromissions
Fonctionnement des honeytokens
Les honeytokens exploitent la curiosité et l’appétit des cyberattaquants pour accéder à des ressources importantes. Ces éléments, perçus comme des actifs légitimes et précieux, attirent l’attention. Les cyberattaquants, croyant avoir trouvé quelque chose d’important, ont en fait activé un piège qui alerte l’équipe de sécurité.
Pour utiliser efficacement les honeytokens, une entreprise doit se concentrer sur le déploiement stratégique, la détection et la réponse.
Déploiement d’honeytokens
L’utilisation d’honeytokens, qui sont des leurres conçus pour ressembler à de véritables ressources, dans des applications, des systèmes ou des réseaux a pour but d’attirer les cyberattaquants. Au début du déploiement, l’entreprise repère les actifs à haut risque ou de grande valeur que les cyberattaquants risquent de cibler. Il peut s’agir de bases de données stockant des informations sensibles sur les clients ou de fichiers sur un serveur contenant de la propriété intellectuelle présumée.
Une fois identifiées, les cibles potentielles se voient dotées de honeytokens, placés à côté d’actifs réels ou intégrés dans des applications ou des systèmes. Par exemple, vous pouvez créer des honeytokens de documents de manière à ce qu’ils ressemblent à de véritables documents sensibles, ou insérer de faux identifiants réalistes dans des fichiers de configuration.
En plaçant méticuleusement les honeytokens parmi des ressources légitimes, vous augmentez les chances qu’un cyberattaquant interagisse avec ces leurres.
Détection des honeytokens
L’utilisation d’honeytokens n’est efficace que s’ils déclenchent des alertes en cas d’accès ou d’utilisation. Les honeytokens sont conçus pour un accès uniquement par des utilisateurs non autorisés ; par conséquent, toute interaction avec un honeytoken est suspecte. Cela signifie que le système de détection et d’alerte ne générera aucun faux positif. Les systèmes de détection d’intrusion (IDS) ou les outils de gestion des événements et des informations de sécurité (SIEM) peuvent être configurés pour suivre l’utilisation des honeytokens et générer des alertes.
Réponse à incident
Lorsqu’un honeytoken a été déclenché, l’équipe de sécurité peut exécuter son plan de réponse aux incidents. Ce processus implique de collecter des informations sur le cyberattaquant, comme son adresse IP, de suivre ses schémas d’accès, puis de déterminer l’étendue de son accès aux systèmes de l’entreprise. De plus, l’équipe de sécurité peut verrouiller toutes les ressources adjacentes qui pourraient avoir été compromises.
Si l’objectif premier du honeytoken est de permettre la détection rapide d’une intrusion, une équipe de sécurité peut néanmoins recueillir des informations précieuses qui contribueront à renforcer la stratégie de sécurité globale de l’entreprise.
Bonnes pratiques pour la mise en œuvre des honeytokens
Lorsque vous mettez en place des honeytokens, tenez compte des bonnes pratiques suivantes :
Choisissez le bon type de honeytoken
Déterminez les types de honeytokens les plus pertinents par rapport aux actifs de votre entreprise et aux cybermenaces potentielles. Par exemple, face à un risque élevé d’accès non autorisé à votre base de données, il est judicieux de mettre en œuvre des honeytokens, à savoir des enregistrements fictifs, mais apparemment précieux. Concentrez-vous d’abord sur les cybermenaces les plus prioritaires et sélectionnez les honeytokens qui vous aideront à détecter les activités malveillantes dans ces domaines.
Veillez à ce que les honeytoken soient correctement placés
Les honeytokens doivent être placés dans des endroits susceptibles d’être la cible de cyberattaquants. Le placement stratégique vise à rendre difficile pour les cyberattaquants de distinguer les vrais actifs des faux. Vous pouvez placer des honeytokens à côté d’identités, de données ou de ressources réelles.
Intégrez les honeytokens à l’infrastructure de sécurité existante
Les entreprises doivent intégrer directement la détection des honeytokens dans leurs outils et infrastructures de sécurité pour maximiser leur efficacité. Les entreprises ayant un partenaire en cybersécurité doivent utiliser des outils comme la protection de l’identité (IDP) pour intégrer la surveillance et les alertes liées à l’accès aux honeytokens.
Mettez à jour et gérez régulièrement les honeytokens
Établissez un plan pour l’examen et la mise à jour périodiques des honeytokens. Vous garantirez ainsi leur pertinence et leur efficacité. En actualisant les identifiants, les documents et les jetons, une entreprise assure l’alignement de ses honeytokens avec les dernières pratiques de sécurité et les évolutions organisationnelles. Les honeytokens doivent être correctement documentés par l’équipe de sécurité. De plus, une entreprise doit savoir que les honeytokens peuvent aussi être accessibles par des sources internes, notamment les collaborateurs. Il ne faut pas ignorer ces intrusions, car elles peuvent signaler soit un comportement malveillant de la part d’un collaborateur, soit l’utilisation d’identifiants valides d’un collaborateur par un cyberadversaire pour accéder au système.
En savoir plus
Découvrez Falcon Identity Protection, qui renforce la sécurité en attirant, en détectant et en neutralisant les cybermenaces avec des honeytokens. Il minimise les risques associés aux vulnérabilités des comptes en offrant une visibilité immédiate sur les mots de passe réutilisés. Il améliore enfin la sécurité d’Active Directory en fournissant des informations sur les activités détectées via le protocole SMB. À regarder : Falcon Identity Protection : visibilité accrue sur le comportement des cyberadversaires
Conclusion
Les équipes de sécurité utilisent de plus en plus les honeytokens dans la cybersécurité moderne. Ils offrent une solide alternative aux méthodes de leurre traditionnelles, car ils sont légers, faciles à entretenir et capables de fournir des informations instantanées sur les activités malveillantes. Lorsqu’ils sont déployés de manière stratégique, les honeytokens peuvent détecter une intrusion dès son commencement. Associés aux outils de sécurité existants d’une entreprise, les honeytokens deviennent un élément précieux pour l’équipe de sécurité.
Fonctionnalités de honeytoken intégrées à Falcon Identity Protection
CrowdStrike Falcon Identity Protection offre une fonctionnalité avancée de honeytokens pour renforcer les défenses de sécurité. Les utilisateurs peuvent créer, selon nos recommandations, des comptes honeytoken qui serviront de leurres pour les cyberattaquants potentiels. Toute interaction avec ces honeytokens déclenchera une alerte détaillée. Les équipes de sécurité obtiennent alors des détails précis sur le déroulement de l’attaque et les méthodes utilisées par les cyberattaquants. Les utilisateurs de CrowdStrike Falcon® Identity Protection peuvent indiquer que des comptes sont des honeytokens dans Microsoft Active Directory (AD) sans configurations ou ressources supplémentaires. Ils peuvent aussi appliquer des contrôles stricts sur ces comptes honeytoken via des politiques intégrées, permettant ainsi aux entreprises de prendre des risques calculés en toute sécurité.
