Close

Countercraft, la cyber « deception » active

Entretien avec David Barroso, fondateur

Présentation

Cofondée en 2015, la société CounterCraft est présente à Londres, Madrid et Los Angeles, et mène ses activités de R&D à San Sebastián, en Espagne. Les fondateurs de la société, issus du milieu de la cybersécurité, souhaiter créer une solution de « cyber deception », c’est-à-dire décéptive, ou « de tromperie » innovante et « active » pour fournir les outils nécessaires pour lutter contre l’espionnage et les attaques avancées, difficiles à détecter et à suivre par les organisations. Son portefeuille client compte des organisations des secteurs gouvernementaux, de la défense, de la finance, de l’énergie et du e-commerce. CounterCraft compte plusieurs références stratégiques sur tout le continent européen comme américain, sur des secteurs sensibles comme le militaire, la finance et l’industrie. CounterCraft est installé en France depuis Septembre 2019 et a confié son implantation à NEOSMOS

CounterCraft a reçu 3 millions d’euros de financement de la part d’investisseurs européens spécialisés dans la cybersécurité et a reçu 1 million d’euros de financement par le programme de recherche et d’innovation Horizon 2020 de l’Union européenne (convention de subvention n ° 767383).

Countercraft a également reçu le prix américain “New Generation Cyber Deception” pour sa solution innovante et a été reconnue “Best Buy in Deception Technology” par SC Magazine UK en juin 2019.

La solution

La solution de cyberdeception de CounterCraft permet de mettre en place des environnements simulés, c’est-à-dire de reproduire des systèmes d’informations afin d’y attirer les attaquants et ainsi de détecter en temps réel les attaques ciblées. Ce dispositif permet par la même d’identifier le point d’entrée des attaquants, et d’observer et comprendre leur mode opératoire, leurs outils, ainsi que leurs techniques et tactiques.

La solution s’intègre aux stratégies de sécurité de ses clients et fournit des renseignements exploitables sur l’attaquant (méthodologies, déplacements dans le SI, outils utilisés, TTPS…) pour faciliter la détection précoce des menaces et limiter le temps de réponse à incident.  Le modèle de déploiement de sa plateforme de cyberdeception permet de créer des campagnes de déception sur plusieurs types de ressources tels que des réseaux locaux, externes, des clouds, etc…

Countercraft permet de détecter tous types d’attaque et à tous les stades de l’incident, à la fois bien en amont dès le stade de la reconnaissance passive en vue d’une intrusion, mais aussi plus tard lorsque les attaquants sont déjà présents sur le système d’information de l’organisation.

 

L’innovation

L’activité de l’attaquant (évènements, phases de l’attaque) peut être entièrement visualisée en temps réel de manière graphique et chronologique via un dashboard pour faciliter l’analyse et la réponse à incident. Des fonctionnalités de filtrage et d’analyse automatique des données permettent d’identifier et de marquer les activités malveillantes identifiées en fonction des indicateurs de compromission (IoCs) et des TTPs connus utilisés.

Pour être crédible et attirer l’attaquant sans qu’il ne se rende compte qu’il est surveillé, la plateforme lui donne accès, via l’environnement simulé, à des informations ayant l’apparence des données sensibles de ses cibles. Celles-ci sont en fait protégées car les systèmes d’information restent cloisonnés, l’environnement simulé constituant ainsi une “zone de sécurité” dans laquelle les attaquants n’ont pas accès au véritable système d’information de l’organisation ciblée.

La plateforme de CounterCraft se démarque des solutions de cyberdeception classiques en ce qu’elle permet trois fonctionnalités : la détection de l’attaque, l’investigation sur l’attaque, et l’interaction en temps réel avec les attaquants.

  • Détection : La solution détecte la présence d’attaquants de manière discrète de façon à ce que les attaquants n’aient pas conscience de faire l’objet d’une surveillance.
  • Investigation: CounterCraft analyse et surveille les attaques en temps réel, grâce à sa plateforme qui capture et identifie automatiquement les TTPs des attaquants sur la base du cadre MITRE ATT&CK. Les données sont enrichies par des ressources Open Source de Threat Intelligence des analystes de Countercraft, et sont régulièrement mises à jour en fonction de l’état et de l’évolution de la menace. Ce dispositif permet d’analyser l’activité de l’adversaire de manière très détaillée, et de produire un renseignement sur la menace locale contextualisé, ciblé et exploitable.
  • Interaction: La plateforme délivre, temps réel, des alertes et des actions contextualisées à l’équipe de sécurité de l’organisation ciblée. Elle permet également de concevoir et déployer, toujours en temps réel, des campagnes de « déception » afin d’influencer les choix de l’attaquant à mesure qu’il croit progresser dans le SI ciblé. L’équipe de sécurité peut ainsi prolonger l’interaction avec l’attaquant pour recueillir davantage de données sur son activité et son mode opératoire. Elle permet enfin de de générer des données d’analyse utilisées pour prévoir les prochaines étapes de l’attaque. Les activités de l’attaquant sont enregistrées et transmises de manière sécurisées à l’équipe de sécurité. Toutes les données relatives à l’activité de l’adversaire sont mises à disposition de l’organisation ciblée à partir de la plateforme de Countercraft via l’API RESTful, exportable à l’aide de protocoles de partage (STIX2 ou OpenIOC) vers une plateforme MISP ou vers un SIEM.

A terme, Countercraft souhaite étendre son offre à l’analyse prédictive, en travaillant sur les modèles d’attaques.