Voici les réponses aux questions posées sur la solution Thinkst Canary pendant le webinaire de Navixia le 25 mars 2021:
Est-ce que l'outil ralentit aussi l'attaquant - ie. latence importante ou filesystem infini?
Ce n’est pas l’objectif premier de la solution. Si l’attaquant « touche » un canary, alors une alerte de haute qualité/pertinence est générée et devra être gérée en priorité. Le fait de présenter des services inutiles a toutefois comme conséquence d’augmenter le temps nécessaire pour effectuer une cartographie de l’infrastructure.
Est-ce qu'il y a une intégration avec le SIEM?
Oui. La console web (localisée chez Amazon) peut générer du syslog oou effectuer des appels de type « web hook » pour remonter les alertes. Une API est également disponible et une App Splunk construite sur la base de cette API est disponible. Des intégrations avec QRadar sont également documentées.
Quelles sont les plateformes supportées par cette solution?
En plus des canary physiques, il existe des canary virtuels pour VMware/Hyper-V ainsi que des canary cloud pour Google GCE, Microsoft Azure et Amazon AWS.
Quelles sont les infos fournies par une alerte token?
Dans la majorité des cas, une alerte « token » est générée sur la base d’une requête DNS vers un FQDN (nom de host et domaine) unique. En terme IP, seule l’adresse du dernier serveur DNS ayant généré la requête sera visible, et relativement peu pertinente. Par contre, les meta-données enregistrées au moment de la création du token seront remontées avec l’alerte. Par exemple « word.desktop.paz » pour indiquer que c’est le token d’un document Word déposé sur le bureau de « paz ». Une réflexion est nécessaire pour nommer les token lors de leur création, surtout si le nombre de token est important.
Est-il possible d'installer la console de gestion on-premises?
Oui. Toutefois, elle ne sera pas totalement « déconnectée » de l’infrastructure Thinkst. Une console « on-prem » sera intégrée au système « SaltStack » de Thinkst afin d’être maintenue à jour. Les canary seront également maintenus à jour. Cela permet néanmoins de garder l’ensemble des communications canary -> console et les alertes en interne.
Peut-on utiliser une box pour générer un honeypots (serveur) et des tokens? Combien peut-on générer de tokens?
Des tokens peuvent être générés gratuitement sur https://canarytokens.org, toutefois il n’y a pas de gestion centralisée. La console (mise à disposition sous forme de souscription avec les premiers canary) permet de gérer centralement un nombre illimité de tokens.
Qu'est-ce que vous entendez par 'trafic DNS' quand vous parler de la localisation de la console sur AWS ?
La console Amazon est une instance dédiée par client et peut être déployée dans différentes régions Amazon. Elle offre un service web pour les administrateurs et une API. Les canary vont ensuite communiquer avec cette console au travers de trafic DNS uniquement.