A la Une

Mon Blog Défense

mercredi 15 septembre 2010

Souris, mouches, araignées, chats et pots de miel

Non, il n'est pas question ici de nos 30 millions d'amis, mais de sécurité informatique (cybersécurité si j'osais).

Car l'éditeur de logiciels de sécurité NeuralIQ, en réinventant le "pot de miel" ("honeypot", dispositif attirant les cyberpirates et les occupant sur des machines sans trop de valeur tandis que l'essentiel des systèmes informatiques vitaux restent intacts) par le biais de son produit phare Event Horizon, choisit résolument l'approche de l'araignée qui tisse patiemment sa toile en attendant une mouche, plutôt que celle du chat qui passe son temps à courir après les souris.


Event Horizon crée des clones de noeuds sensibles du réseau interne, et les expose aux connexions issues d'Internet. Etant donné qu'il s'agit de copies, elles ne sont donc pas supposées réaliser de quelconques traitements : tout trafic entrant vers elle peut être considéré comme suspect et dangereux.

La vraie différence par rapport à un "pot de miel" classique et qu'un tel système est volontairement bâti non seulement pour être hacké, mais surtout qu'il offre la possibilité, par la combinaison des intelligences humaine et artificielle, d'observer en temps réel toute attaque en cours, de la décomposer, d'identifier les faiblesses qu'elle révèle et de comprendre sa progression sur le clone, pour enfin y trouver la réponse adaptée. Il n'y a donc pas besoin au préalable, comme dans les anti-virus "classiques", de bases de données identifiant les caractéristiques spécifiques (ou signatures) de chaque virus (ou autre parasite). Ceci est particulièrement intéressant dans un contexte ou la fréquence d'apparition de nouveau malware est très élevée, rendant leur référencement dans les bases des antivirus très compliquée.

La surveillance en continu permet la génération d'alertes (suite à des évènements suspects : installations de logiciel, émissions de données en pleine nuit...) à la volée, ce qui simplifie la vie des responsables de la sécurité ou autres ingénieurs réseaux, traditionnellement obligés de faire de l'archéologie dans les innombrables lignes de logs (journal recensant tous les évènements survenus sur le réseau) pour comprendre des attaques ayant eu lieu des jours ou des semaines auparavant.

Comme l'explique le blogueur Temin (voir le lien vers son article plus haut), qui a eu droit à une démonstration :

In a demonstration I watched, which Lance said was not pre-recorded but occurring on the network at that moment, it was possible to see the progress of a clone penetration. It did feel a bit like watching video surveillance of a thief breaking into an illusionary store.

Bien sûr, le défi pour l'avenir est de déplacer une plus grande par d'intelligence vers le système, afin de réduire la forte dépendance à la très haute expertise humaine nécessaire à l'heure actuelle, mais également de générer plus de réponses automatiques à différents types d'attaques. En attendant, les experts en sécurité n'ont pas vraiment de soucis à se faire quant à leur employabilité...

Partager cet article :

Facebook Twitter Technorati digg Delicious Yahoo Reddit Newsvine

1 commentaire:

SD a dit…

Très intéressant cet exemple de déception électronique.