CyberCop Sting : surveille silencieusement les activités suspectes sur un réseau informatique d'entreprise.

cr  16.05.2024      r+  13.10.2024      r-  13.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

« CyberCop Sting » de Network Associates.

Application annoncée le 14 juillet 1999 permettant de mettre en ligne un serveur fictif et son parc fictif de postes de travail. Il s’agit de leurrer les pirates (hackers) afin de tracer et traquer silencieusement toutes leurs activités intrusives et les communiquer aux « administrateurs sécurité ».

CyberCop Sting est un composant de CyberCop qui comprend également :

• CyberCop Monitor : détection d'intrusion et attaques en temps réel sur les systèmes et réseaux critiques.

• CyberCop Scanner, un scanner de vulnérabilité réseau.

CyberCop Sting surveille silencieusement les activités suspectes sur un réseau informatique d'entreprise, en apparence local ou diversifié mondialement. Il identifie les problèmes potentiels et en note les méthodes utilisées et la progression. Il apparait comme une série de serveurs et postes de travail dotés des protections de sécurité modérée (type failles non corrigées) et une technologie de surveillance sophistiquée.

En réalité, l’attaquant est leurré avec un seul serveur ou poste de travail simulant un réseau contenant plusieurs types différents de périphériques réseau, notamment des serveurs Windows NT, des serveurs Unix et des routeurs.

Chaque périphérique réseau virtuel possède une adresse IP réelle et peut recevoir et envoyer des paquets d'apparences authentiques depuis et vers l'environnement d’un vaste réseau.

Chaque nœud de réseau virtuel peut également exécuter des simulations d’activités et applications (activités fantômes), telles que Finger et FTP, pour imiter davantage l'activité d'un véritable système et éviter les soupçons des intrus potentiels.

Tout en surveillant tout le trafic destiné aux hôtes de son réseau virtuel, CyberCop Sting effectue un réassemblage de fragmentation IP et un réassemblage de flux TCP sur les paquets destinés à ces hôtes, convainquant ainsi les espions de la légitimité du réseau apparemment secret qu'ils ont découvert.

CyberCop Sting offre un certain nombre d'avantages aux administrateurs de sécurité, notamment :

1. Détection d'activités suspectes.

2. Pas de frais de surveillance des systèmes réels.

3. Utilisation de paquets réalistes d’informations.

4. Enregistrement en temps réel des activités des espions.

5. Collecte d’informations sur les attaquants.

6. Nécessite très peu d'espace fichier, mais crée un réseau virtuel sophistiqué.

7. Il s’agit donc d’améliorer la sécurité et la capacité de survie des réseaux et systèmes réels d’entreprises.

C’est un « pot de miel », un « honeypot ».