Les Honeypots d'Oppidum

Détectez les pirates présents dans votre réseau

Quels intérêts de mettre en place des « honeypots » ?

Mettre en place plusieurs « honeypots » au sein de son réseau informatique présente de multiples intérêts :

1- Limiter le nombre de faux positifs

Les « honeypots » permettent de détecter avec précision et peu de faux positifs la présence d’activités suspectes au sein de votre réseau informatique. Si des tentatives de connexions sont réalisées sur ces serveurs « pots de miel », alors il y a une forte probabilité qu’un pirate soit en phase de repérage dans votre réseau :

broken image

2- Comprendre le mode opératoire du pirate

Comprendre le mode opératoire du pirate et réunir les informations relatives à son mode d’action : ports scannés, virus utilisés, IP malicieuses d’exfiltration des données, mots de passe testés, etc…, permettront ensuite l'isolation du pirate ainsi que l’éradication des menaces qui pèsent sur votre réseau informatique :

broken image

Liste des IPs attaquant le « honeypot »

broken image

Pays d’origine des attaques et pays de destinations des exfiltrations de données

broken image

Mots de passe testés par les pirates pour se connecter aux « honeypots »

3- Temporiser

Ces leurres permettent également aux équipes de sécurité de faire perdre du temps au pirate qui tentera de rechercher des informations sensibles sur un serveur fictif. Le temps perdu par le pirate pourra être mis à profit afin d’organiser rapidement une stratégie pour repousser le pirate : isolation et éradication des points d’attache du pirate.

broken image

Exemple du processus de traitement des alertes de Google

Où placer les « honeypots » ?

Les honeypots peuvent se placer n’importe où sur votre réseau.

Cependant, pour des résultats optimaux et éviter les fausses alertes, nous vous conseillons de les disposer au sein des réseaux suivants (derrière vos firewalls) :

  • Réseaux « DMZ » : il permettra de détecter si l’un de vos serveurs, exposé sur internet, vient d’être piraté pour servir de passerelle d’accès à votre réseau d’entreprise
  • Réseaux « utilisateurs » : il permettra de détecter si l’un de vos postes de travail vient d’être piraté pour servir de passerelle d’accès à votre réseau d’entreprise
  • Réseaux « serveurs » : Il permettra de détecter les tentatives d’accès non légitime sur vos serveurs les plus critiques
broken image

Quels « honeypots » placer et comment les surveiller ?

Oppidum Security peut vous accompagner lors de la mise en place, la personnalisation et la surveillance d’« honeypots » personnalisés à vos activités et besoins.

Afin de donner accès à nos clients à des interfaces de compte rendus simples et efficaces, pour une détection facile et des réponses systématique aux attaques, nous utilisons une instance cloud sécurisée ELK (analyse des logs/SIEM).

broken image

Exemple de dashboard de surveillance d'un honeypot placé sur internet

Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com

Billet précédentBillet suivant
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer