PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004
vendredi, 21 avril 2023 09:00
Revue de la détection des menaces : Menaces internes dans la cybersécurité
À l'échelle mondiale, 67 % des entreprises connaissent entre 21 et 40 incidents liés à des initiés par an, selon le rapport The Cost of Insider Threats 2022 du Ponemon Institute. Ce même rapport révèle que la fréquence et le coût des attaques internes ont considérablement augmenté au cours des deux dernières années. Les menaces internes sont l'une des attaques les plus difficiles à prévoir et à prévenir, en raison de la difficulté à identifier les initiés. On entend généralement par "initié" un employé ayant un accès potentiel à des données sensibles. Mais un initié est bien plus qu'un simple employé, ce qui nous amène à reconsidérer la question : Qui est un initié ?
Qui est un initié ?
Sur la base de la combinaison de scénarios et des diverses définitions disponibles, une entité peut être considérée comme un initié si :
- Ils sont directement ou indirectement associés à l'entreprise.
- Ils ont un accès régulier à des informations sensibles appartenant à, ou contrôlées par l'entreprise.
- Ils exposent des données par inadvertance en raison d'une négligence ou d'un manque de savoir-faire en matière de sécurité.
Les acteurs qui agissent dans l'intention malveillante de voler des données sont appelés acteurs de la menace interne. Pour faire simple, le terme "utilisateurs" dans la section suivante ne désigne pas seulement les employés, mais toutes les parties prenantes, comme les partenaires, qui ont accès aux données de l'entreprise. De manière générale, les initiés peuvent être de deux types :
Les initiés involontaires : Ce groupe comprend tous les utilisateurs qui, par manque de sensibilisation ou par négligence des procédures de l'entreprise, finissent par exposer des données organisationnelles. Il peut s'agir de la perte de clés USB contenant des données officielles ou du non-respect par les employés des règles de sécurité des mots de passe.
Les acteurs de la menace interne : Ce groupe comprend tous les utilisateurs ayant une motivation monétaire ou personnelle pour exposer des données organisationnelles. Il peut s'agir, par exemple, d'anciens employés mécontents, d'employés actuels qui peuvent obtenir de meilleures opportunités professionnelles en échangeant des données internes, et de partenaires qui peuvent obtenir de meilleures affaires sur la base de données internes.
Pourquoi est-il difficile de repérer les menaces internes ?
Les initiés sont souvent des entités de confiance ayant des rôles organisationnels spécifiques. Vous ne seriez pas en mesure de prévoir les attaques d'une menace inexistante, c'est-à-dire jusqu'à ce qu'elles se produisent. Ce seul fait rend la prédiction extrêmement difficile. Si l'on ajoute à cela les utilisateurs par inadvertance, qui peuvent ignorer qu'ils ont exposé des données organisationnelles, la difficulté est multipliée. Selon le rapport Ponemon "Insider Threat 2022", les employés ou entrepreneurs négligents ont été à l'origine de 56 % des menaces internes. Pour identifier la source d'une menace, les spécialistes de la sécurité IT doivent surveiller les fuites involontaires et repérer les exploitations intentionnelles des failles de sécurité. Cela revient à lutter contre le feu en essayant de trouver la source de l'incendie, ce qui nous amène à la question la plus importante.
Comment atténuer les menaces internes ?
Pour lutter contre les menaces internes délicates, il est préférable d'organiser les efforts en fonction de la définition de l'initié. J'entends par là la création de stratégies de détection et de réponse aux menaces pour autant de scénarios que possible. Une combinaison d'audits de l'activité des utilisateurs, de protection des données en cours d'utilisation, en transit et au repos, de campagnes de sensibilisation des parties prenantes et de contrôles de sécurité adéquats pour les dispositifs de stockage des données sont quelques-unes des approches possibles. Plusieurs outils de détection des menaces internes sont disponibles pour lancer la surveillance de l'activité des utilisateurs et des données dans les entreprises.
Vous trouverez ci-dessous un plan approximatif pour commencer à prévenir les menaces internes. Notez que des idées d'outils et de processus permettant de mettre en œuvre les suggestions sont énumérées à la ligne suivante. Il ne s'agit pas de recommandations d'un expert en sécurité, mais d'enseignements tirés d'études continues sur les menaces internes.
|
Contrôle de la détection et de la prévention |
Initiés involontaires insiders |
Acteurs de la menace interne |
Initiés complices (entités externes et internes s'associant) |
Utilisateurs tiersusers |
|
Appliquez des programmes de sensibilisation et établissez des contrôles. |
Familiarisez les employés avec ce qui constitue une exposition aux données sensibles. Insistez sur le fait que les conversations impliquant des informations personnelles ou concurrentielles sont préjudiciables. |
Surveillez les connexions inhabituelles et l'activité des fichiers des utilisateurs ayant accès à des données sensibles. |
Examinez et mettez en corrélation les modèles entre les événements de fichiers suspects et les connexions. |
Menez des programmes de sensibilisation et des contrôles périodiques pour vous assurer que les fournisseurs respectent les procédures et les règles de l'entreprise. |
|
Outils et processus |
Simulations de phishing et de malwares, programmes de formation basés sur le GDPR, HIPAA ou autres mandats, et BYOD policy. |
Outils de monitoring de l'activité des utilisateurs en temps réel, outils de suivi des modifications et accès aux fichiers, gestion des autorisations de fichiers et logiciel de gestion des identités pour des connexions sécurisées. |
Outil d'audit Active Directory, outil d'audit USB et monitoring de l'accès aux fichiers pour repérer les transferts de fichiers non autorisés. |
Programmes de formation des partenaires sur les données sensibles, mandats relatifs aux données et conséquences d'une violation. Réglementation stricte de l'accès en autorisant l'accès aux données uniquement lorsque cela est nécessaire et pour une durée limitée. |
|
Implémentez des mesures de sécurité solides en matière d'identité et de justificatifs d'identité. |
Veillez à ce que tous les employés suivent des mesures d'authentification et d'autorisation actualisées. |
Soyez sélectif dans l'octroi des accès et examinez les privilèges indus pour tous les utilisateurs. |
Implémentez un modèle Zero Trust pour traiter tous les utilisateurs, qu'ils soient employés ou partenaires, comme des entités non fiables. |
Instituez une gestion de l'identité des partenaires et identifiez les personnes clés qui ont besoin de données. Examinez et traitez périodiquement les changements de rôle et les exigences. |
|
Outils et processus |
E-mails périodiques, alertes en cas de nouvelle source de connexion ou d'heure inhabituelle de connexion, authentification multifacteur (MFA). |
Monitoring du paysage des autorisations de fichiers et révocation des autorisations non requises par les rôles utilisateur. |
Normes et directives industrielles, par exemple la réglementation NIST 800 207 ou ZTX de Forresters. |
L'authentification multifacteur, processus clair pour les demandes de ressources, processus de sélection des fournisseurs avec une pertinence accrue par rapport aux précédents incidents de cybersécurité ou aux contrôles mis en œuvre. |
|
Renforcez les contrôles de sécurité des infrastructures. |
Renforcez les verrouillages physiques et les autorisations dans les espaces de travail et les data stores physiques. |
Puisqu'il est impossible d'identifier les intentions malveillantes, il est préférable de restreindre l'accès aux serveurs physiques et aux stores. |
Le personnel qui manipule les appareils ou les réseaux ne doit pas faire d'exception, même pour ses pairs les plus proches. Installez des caméras dans les zones pour surveiller les entrées et les sorties comme l'un des contrôles physiques. |
Validez les besoins des tiers et assurez le suivi en révoquant l'accès une fois que le besoin a été satisfait. |
|
Outils et processus |
Récompensez les employés qui adhèrent aux protocoles de sécurité. |
Déployez des contrôles d'accès basés sur les rôles, examinez le personnel qui manipule des données personnelles. |
Définissez clairement les responsabilités des utilisateurs qui ont accès à des données sensibles. Limitez les conversations officielles aux réunions enregistrées. |
Vérifiez les exigences des tiers et instaurez un processus d'évaluation et d'approbation des requêtes de données. |
|
Effectuez une analyse forensique des événements passés. |
Examinez les actions passées des utilisateurs qui ont mené à l'incident en conservant une piste d'audit. |
Conservez et analysez les incidents précédents afin de dégager un modèle récurrent. |
Examinez les machines, périphériques de stockage et autres canaux officiels utilisés par les initiés pour divulguer des données et établissez une corrélation avec la configuration actuelle des utilisateurs. |
Examinez les relations avec les fournisseurs et les incidents passés qui pourraient être liés aux fournisseurs ou à d'autres sociétés affiliées. |
|
Outils et processus |
Utilisez des outils de monitoring des changements AD qui offrent l'avantage de préserver les pistes d'audit. |
Lancez une analyse de la mémoire, une analyse forensique du système de fichiers et une analyse forensique du réseau pour comprendre comment une attaque a été lancée sans être détectée. |
Effectuez une analyse réseau et examinez les canaux de communication pour détecter les transferts de données non autorisés et les sécuriser suffisamment. |
Documentez toutes les violations commises par des tiers et dressez une liste de blocage des fournisseurs non conformes. Utilisez ces informations pour évaluer les fournisseurs. |
Dans le monde entier, 57 % des professionnels IT utilisent l'analyse du comportement des utilisateurs et des entités (UEBA) pour réduire les menaces internes. L'UEBA est une version actualisée de la technologie d'analyse du comportement des utilisateurs (UBA) qui permet de repérer les activités inhabituelles des utilisateurs, alertant immédiatement les administrateurs IT d'une menace interne potentielle. Ces deux technologies sont largement utilisées pour détecter l'activité inhabituelle des entreprises et saisir rapidement les attaques.
Des informations basées sur l'UBA pour vous aider à repérer à temps les menaces internes.
ManageEngine ADAudit Plus fournit une suite d'outils d'audit AD avec des rapports en temps réel et des alertes de menaces réactives. Outre la surveillance essentielle des changements AD, vous pouvez déployer :
- Des analyses pilotées par l'UBA pour capturer instantanément les activités anormales des utilisateurs.
- Une surveillance des changements en temps réel pour repérer les changements AD douteux, par exemple, dans la création d'utilisateurs ou les autorisations.
- Un audit des connexions pour enquêter sur les échecs multiples de connexion des utilisateurs.
- Une surveillance des fichiers pour repérer les changements de fichiers
- Un audit des supports amovibles et des copies de fichiers pour suivre les transferts de fichiers non autorisés.
- Une surveillance des connexions à distance pour examiner les connexions à distance inhabituelles à partir de comptes d'utilisateurs privilégiés.
Essayez toutes ces fonctionnalités et exploitez les rapports prêts à l'emploi pour garantir la conformité au GDPR, HIPAA et autres mandats en utilisant notre version d'essai gratuite entièrement fonctionnelle.
Téléchargez l'essai gratuit de 30 joursInformations supplémentaires
- Logiciels AD: ADAudit Plus
Derniers blogs
- AD360 remporte la médaille d'argent au 2023 ‘ASTORS’ Homeland Security Awards Program
- Le Patch Tuesday d'avril 2024 propose des correctifs pour 149 vulnérabilités, mais pas de zero day.
- La supervision de l'expérience numérique dans Application Manager
- Mars 2024 Le Patch Tuesday propose des correctifs pour 60 vulnérabilités, mais pas de zero day
Dernières mises à jour
- Endpoint Central MSP - 11.2.2325.23 to 11.3.2400.15 - Jan,fev,mars
- Endpoint Central 11.2.2325.23 to 11.3.2400.15 - jan,fev,mars
- Password Manager Pro : Nouvelle version 12420
- EventLog Analyzer : nouvelle version 12430
- PAM360 : Nouvelle version 6540
- ADSelfService Plus : Nouvelle version 6404
- M365 Security Plus : Notes de mise à jour pour la version 4608
- M365 Manager Plus : Nouvelle version 4608