On prévoit pour 2024 une diminution des attaques par malwares. Il y a fort à parier que les cybercriminels tenteront de contourner le Zero Trust en exploitant des outils informatiques. Si un attaquant réussit par exemple à pénétrer dans un système Zero Trust grâce à une identité usurpée, les entreprises doivent disposer de mécanismes pour restreindre les dommages potentiels à l'intérieur du système.
C'est généralement à ce stade que la technologie de "pot de miel" (avec des leurres informatiques) entre en jeu.
Les équipes chargées de la sécurité informatique ont intégré ces techniques de "pot de miel" dans leur cahier des charges depuis longtemps. Cependant, cette technologie est en constante évolution et deviendra bientôt plus accessible grâce à l'intégration de l'apprentissage automatique (ML) et de l'intelligence artificielle (IA). Au cours des 12 prochains mois, les équipes de sécurité devront réexaminer le concept de leurres informatiques et envisager une toute nouvelle méthodologie : le concept du "Negative Trust".
Le concept de Zero Trust consistait à abandonner le paradigme de la connectivité réseau au profit d'une approche basée sur un accès aux moindres privilèges et une confiance réduite. L'objectif était de limiter l’accès des utilisateurs aux seules applications autorisées par l'entreprise, après que leur niveau de risque ait été estimé par un "broker"Zero Trust indépendant.
La particularité du concept de « Negative Trust » se distingue par la capacité à réduire la confiance exploitée par les attaquants, et ce, malgré l’intervention de "brokers" Zero Trust.
Quelles sont les raisons derrière l'avènement de cette nouvelle stratégie de "deception" appelée « Negative Trust » et à quoi ressemble un environnement qui l'adopte ?
L'IA et l'évolution du paysage de la sécurité
Depuis 2001, les acteurs bienveillants utilisent l'IA et le ML pour lutter contre les malwares et la fraude. Une nouvelle tendance croissante émerge cependant : les attaquants utilisent de plus en plus l'intelligence artificielle pour les modèles de langage, de l'apprentissage profond ou de l'IA générative. Les modèles de langage de grande envergure permettent aux attaquants de repérer plus rapidement les vulnérabilités de sécurité à exploiter, voire de tester le résultat pour s'assurer qu'il reste indétectable.Avec cette petite révolution, les équipes de sécurité des entreprises doivent désormais s’adapter et utiliser davantage l'IA générative dans leur défense, au-delà de la simple utilisation de l'apprentissage automatique. Comment la technologie de "deception"
peut-elle donc y contribuer ?
Histoire des"deception" : un concept chevronné
La"deception"ne sont pas une nouvelle méthode de défense : le concept des leurres, tels que les "deception" et les "tarpits", pour détecter ou dérouter les tentatives d'accès non autorisé existe depuis longtemps.Finalement, la cybersécurité se résume à une course entre le défenseur et l'attaquant. Pour gagner, il faut être plus rapide, disposer des données de meilleure qualité et un éventail d'options plus large. Il faut également ralentir son concurrent, le fatiguer et lui mettre des bâtons dans les roues. C'est justement dans ce dernier cas que la technologie de "deception" trouve sa place. Son objectif est de protéger les identités en créant des leurres au niveau des points d'accès potentiels avec de faux identifiants (applications fictives, des fichiers factices et des structures de données trompeuses). À chaque étape, les attaquants doivent pouvoir commettre des erreurs et ne pas réaliser qu’il s’agit d'un leurre.
Le jeu reste le même, les règles changent
Mais revenons à 2023 et les nouvelles technologies telles que Zero Trust et l'IA qui changent la donne. Elles proposent aux entreprises une approche technologique de "deception" plus puissante, automatisée et intelligente. Elles peuvent aller encore plus loin en générant de faux dossiers et fichiers, puis avertir les équipes de sécurité lorsqu'une tentative d'accès à des données sécurisées est détectée. Ces équipes reçoivent ensuite une alerte qui leur signale la présence d'un acteur malveillant dans le système. Dans ce contexte, les défenseurs peuvent intégrer de fausses applications qui paraissent légitimes à l'attaquant. Ils sont donc ralentis dans leur élan et discrètement orientés du réseau principal vers un référentiel numérique où aucune donnée n'est authentique. Voilà ce qu’on appelle un environnement de « Negative Trust » pour les hackers.Le concept de « Negative Trust » vise à instiller la peur chez les acteurs malveillants et à les inciter à ne pas faire confiance à un actif particulier. L’objectif est de les dissuader en leur faisant craindre d'accéder au mauvais fichier et d'être découverts à chaque intrusion dans le réseau. Peu importe les données ou les actifs qu'ils parviennent à récupérer sur le réseau d'une entreprise, ils n'ont aucun moyen de savoir si ces informations
sont réelles ou non.
Actuellement, les environnements de « Negative Trust » sont créés au préalable dans les environnements de « Zero Trust » avec des leurres à grande échelle dans l'espoir de piéger un attaquant. Aujourd'hui, l'objectif est d'établir un environnement de « Negative Trust » autour d'un attaquant dès qu'une alerte est déclenchée, en le démasquant instantanément en fonction de ses intentions, plutôt que de devoir créer tout un système avec des fichiers et des fausses applications auxquels il n'aura peut-être jamais accès. Lest ainsi mieux adaptée et donc plus efficace, sans pour autant gâcher la puissance de calcul des équipes de sécurité.
Réinventer une nouvelle stratégie cybernétique
Nous devons persévérer dans l'application des pratiques standard en matière de cybersécurité afin de minimiser les risques. Mais il est également important de dresser des obstacles sur le chemin de nos adversaires, de leur faire prendre des détours qui les ralentissent et les dépistent, et de leur faire peur. Considérez-les non pas comme des experts informatiques chevronnés qui s’en prennent à nos réseaux, mais plutôt comme de petites souris qui se faufilent prudemment dans des environnements hostiles et intimidants, où chaque recoin peut être fatal. Dans un contexte où les attaques sont orchestrées par des humains guidés par l'IA contre des défenses également pilotées par l'IA, la stratégie doit évoluer, et pour être franc, c’est le plus malin qui gagnera.Par Sam Curry, VP et RSSI chez Zscaler