Comprendre la manière dont les attaquants travaillent est une réelle plus value si l’on veut mettre en place des mécanismes de défenses pertinents. Aujourd’hui, il est simple d’avoir accès à de nombreux feeds de données et d’IOCs permettant d’alimenter des outils de sécurité.

Le problème est qu’il est souvent difficile d’avoir un vrai contexte à partir de feeds d’IOCs. Des listes de hashs ou d’IPs ne suffisent souvent pas pour bien appréhender certains types d’attaques et il devient alors possible pour certains attaquants de contourner les solutions de sécurité.

Une des solution les plus simples permettant de monitorer le comportement des attaquants en terme d’approche et de rapidité de mise en oeuvre sont : les Honeypots.

A travers une suite de blog posts, nous allons vous décrire les méthodes du CERT OPMD pour avoir une vue sur le niveau de la menace et le comportement des attaquants.