Quels intérêts de mettre en place des « honeypots » ?
Mettre en place plusieurs « honeypots » au sein de son réseau informatique présente de multiples intérêts :
1- Limiter le nombre de faux positifs
Les « honeypots » permettent de détecter avec précision et peu de faux positifs la présence d’activités suspectes au sein de votre réseau informatique. Si des tentatives de connexions sont réalisées sur ces serveurs « pots de miel », alors il y a une forte probabilité qu’un pirate soit en phase de repérage dans votre réseau :
2- Comprendre le mode opératoire du pirate
Comprendre le mode opératoire du pirate et réunir les informations relatives à son mode d’action : ports scannés, virus utilisés, IP malicieuses d’exfiltration des données, mots de passe testés, etc…, permettront ensuite l'isolation du pirate ainsi que l’éradication des menaces qui pèsent sur votre réseau informatique :
Liste des IPs attaquant le « honeypot »
Pays d’origine des attaques et pays de destinations des exfiltrations de données
Mots de passe testés par les pirates pour se connecter aux « honeypots »
3- Temporiser
Ces leurres permettent également aux équipes de sécurité de faire perdre du temps au pirate qui tentera de rechercher des informations sensibles sur un serveur fictif. Le temps perdu par le pirate pourra être mis à profit afin d’organiser rapidement une stratégie pour repousser le pirate : isolation et éradication des points d’attache du pirate.
Exemple du processus de traitement des alertes de Google
Où placer les « honeypots » ?
Les honeypots peuvent se placer n’importe où sur votre réseau.
Cependant, pour des résultats optimaux et éviter les fausses alertes, nous vous conseillons de les disposer au sein des réseaux suivants (derrière vos firewalls) :
- Réseaux « DMZ » : il permettra de détecter si l’un de vos serveurs, exposé sur internet, vient d’être piraté pour servir de passerelle d’accès à votre réseau d’entreprise
- Réseaux « utilisateurs » : il permettra de détecter si l’un de vos postes de travail vient d’être piraté pour servir de passerelle d’accès à votre réseau d’entreprise
- Réseaux « serveurs » : Il permettra de détecter les tentatives d’accès non légitime sur vos serveurs les plus critiques
Quels « honeypots » placer et comment les surveiller ?
Oppidum Security peut vous accompagner lors de la mise en place, la personnalisation et la surveillance d’« honeypots » personnalisés à vos activités et besoins.
Afin de donner accès à nos clients à des interfaces de compte rendus simples et efficaces, pour une détection facile et des réponses systématique aux attaques, nous utilisons une instance cloud sécurisée ELK (analyse des logs/SIEM).
Exemple de dashboard de surveillance d'un honeypot placé sur internet
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com