Accueil Une technologie de pots de miel…

Une technologie de pots de miel…

Chez CARD, on revendique également la paternité de SGNET, Script Generation NET, une technologie de pots de miel à coût faible. Ce sont des machines qui attendent d’être contactées par des menaces comme les APT, Advanced Persistant Threat, par exemple. Des menaces qui entrent dans le botnet. Ce dernier fait alors son tri entre les “inoffensives” et les “méchantes”. NET est là pour signifier que ce travail se fait sur tout Internet. Or il existe en fait deux technologies de pots de miel aujourd’hui. L’une dite de basse interaction car c’est une machine “bête” qui ne contient qu’un petit programme regardant les paquets destinés à la machine. Pour chaque paquet qui arrive sur la machine, une règle correspond pour donner des réponses vues par les attaquants afin qu’ils ne se méfient pas. Une solution fastidieuse en écriture donc … La seconde technologie de pot de miel est, quant à elle surnommée de haute interaction : elle est composée d’une véritable machine Windows dotée de véritables services Windows. Elle peut donc répondre et réagir de façon riche avec l’attaquant. De plus, il existe un système de monitoring sur chaque machine qui voit l’attaquant, nettoie après l’observation et envoie des informations réfléchies à l’attaquant puis redémarre. Là c’est une manière de fonctionner onéreuse car on a une véritable machine, avec tout un environnement pour la maintenir et la faire fonctionner correctement. En revanche, la technologie SGNET possède le même coût que la basse interaction et la même efficacité que la haute. Le système se renseigne de lui-même et regarde comment un véritable serveur se comporte et la fois suivante, il est capable de s’en souvenir et de simuler ce fonctionnement seul. Une technologie qui permet donc d’abuser les attaquants sans pour autant avoir de véritable coût de fonctionnement. Cerise sur le gâteau : plus besoin de nettoyage car elle reproduit les interactions, reçoit, renvoie ce qu’il faut mais en réalité, elle ne fait jamais de véritable exécution sur la machine, elle se contente d’émuler le comportement. Sur le marché, SGNET n’est pas un produit pour Monsieur tout le monde mais est adapté aux besoins des grands comptes. Cette technologie est principalement utilisée pour l’instant aux US mais plus pour longtemps …