« honeypots » ou pots de miel, et qui repose sur le concept d’AMTD (Automated Moving Target Defense). Il s’agit d’une des premières implémentations d’un concept de défense issu de la stratégie militaire, appelé MTD (Moving Target Defense), stipulant qu’une cible mouvante est plus difficile à atteindre qu’un objectif statique.
L’évolution des honeypots a été nécessaire, car leur format statique a fini par perdre de son efficacité au fil du temps. Le MTD utilise des stratégies qui orchestrent des changements dans les environnements informatiques pour modifier la surface d’attaque, afin d’accroître l’incertitude et la complexité pour les attaquants. L’AMTD, tel qu’implémenté par Tehtris, est une forme avancée de MTD qui s’appuie sur l’automatisation pour modifier dynamiquement la surface d’attaque des systèmes informatiques, des réseaux et des données. Cela rend plus difficile l’exploitation d’un système ou d’un réseau par les attaquants, en augmentant le « brouillard de guerre » pour eux.
Des mécanismes de cyberdéfense proactifs
Ceci a pour effet de modifier la topologie ou la structure visible par l’attaquant. La technologie intègre quatre éléments principaux : des mécanismes de cyberdéfense proactifs, l’automatisation pour orchestrer le déplacement ou le changement de la surface d’attaque, l’utilisation de technologies de tromperie et la capacité d’exécuter des changements planifiés. La technologie AMTD marque une transition d’une approche de défense passive à une approche proactive en déployant de nouveaux mécanismes de leurres dynamiques et des capacités d’automatisation pour agir plus rapidement sur les attaques.Plusieurs techniques sont utilisées pour tromper les attaquants, telles que l’IP hopping ou le saut d’adresse IP. Elle peut même modifier à la volée l’environnement de la mémoire d’exécution pour créer une surface d’attaque imprévisible et en constante évolution. Cela signifie que même si un acteur de la menace parvient à trouver sa cible une fois, il est incapable de réutiliser cette attaque sur un autre appareil ou même plus tard sur le même appareil.
Des modifications dynamiques de la surface exposée
Parmi ses avantages, outre la modification dynamique de la surface exposée, l’AMTD augmente le temps et les coûts de la reconnaissance pour l’attaquant. Cette stratégie représente une évolution de la tactique des pots de miel, qui a fini par perdre de son efficacité. Les groupes de cybercriminels, de plus en plus organisés, ont trouvé la parade en partageant les informations sur ces honeypots, ce qui limite leur efficacité une fois qu’ils étaient repérés.Dans le cas de Tehtris, les pots de miel sont qualifiés de nomades, car ils reposent sur le réseau mondial de Tehtris pour « balader » les attaquants. Le réseau de pièges de l’éditeur est déployé dans le cloud et compte plus de 1300 honeypots répartis dans 50 pays.
Ainsi pour brouiller les pistes, Tehtris utilise la technique de l’IP hopping (littéralement, saut d’IP) qui modifie de manière dynamique des adresses IP. Cette technique consiste à changer fréquemment les adresses IP des nœuds protégés d’un réseau afin d’empêcher les attaquants de créer une liste de cibles. Les adresses IP sont ainsi reprogrammées régulièrement pour pointer sur des pots de miel différents rendant ainsi la reconnaissance plus difficile.
Prolonger la durée de vie des leurres
Cette tactique permet de prolonger la durée de vie des leurres et, par conséquent, d’accroître leur efficacité pour créer la confusion et l’incertitude. Elle permet également de recueillir plus d’informations sur les activités criminelles et de détecter plus rapidement les campagnes de cyberattaques afin de pouvoir les neutraliser à temps. Tehtris propose également d’ajouter de fausses ressources à leur propre réseau grâce à Tehtris Deceptive Response. Cette solution propose un système d’alerte en temps réel et fournit une vision complémentaire pour assurer la sécurité des infrastructures, en offrant des rapports et des tableaux de bord événementiels consultables directement sur la plateforme Tehtris XDR.De plus, grâce à ce réseau mondial de honeypots nomades, Tehtris dispose d’une bonne visibilité et en temps réel sur l’évolution du paysage mondial des cybermenaces. Tehtris publie régulièrement un bulletin de tendances des activités cybercriminelles détectées et analysées grâce à son réseau de leurres nomades. Ce bulletin est partagé d’abord avec des organismes de référence en matière de cybersécurité, tels que l’ANSSI et la Cyber Threat Alliance, puis il est publié sur le blog de Tehtris. Une version plus détaillée de ces analyses est également disponible sur la plateforme Tehtris XDR.