Avec autant d'informations consacrées aux attaques externes, l'une des principales menaces à la sécurité, aux revenus et à la réputation des données de votre entreprise sont les menaces internes. Les initiés - les employés ayant accès à des données de valeur externe - sont responsables de 28% de toutes les violations de données. Bien que 28% ne semble pas être aussi important que le supposent 72% des attaques par des attaquants externes, 28% est en réalité un nombre énorme.

Les attaques externes s'appuient sur l'automatisation, le code préprogrammé et la nature opportuniste du ciblage de millions d'adresses e-mail pour rechercher et trouver leur prochaine victime. Les initiés, en revanche, sont des personnes qui exécutent personnellement l'action de menace. Les attaques externes doivent trouver les données qu’elles jugent utiles, alors que les initiés connaissent déjà chaque bit de vos données utiles auquel ils ont accès. Ainsi, alors que le chiffre de 28% peut sembler immatériel, c'est tout le contraire.

En fait, les initiés peuvent représenter une plus grande menace pour l'organisation que les attaquants externes.

Chaque organisation dispose de données commerciales confidentielles, de données clients, de données personnelles d'employés et de propriétés intellectuelles qui ne doivent être utilisées que dans l'intérêt de l'organisation. De plus, comme un initié malveillant utilise des autorisations d'accès aux applications, aux ressources et aux données qui lui ont été accordées dans le cadre de son travail, il est extrêmement difficile de déterminer si une activité doit être considérée ou non comme une menace. Cela signifie qu'ils peuvent voler des informations et que vous ne le saurez peut-être jamais.!

L'initié peut être n'importe qui au sein de l'organisation. Dans une enquête récente, les organisations informatiques craignaient à la fois les utilisateurs informatiques privilégiés et les employés réguliers en tant qu'acteurs potentiels de la menace interne. Et ils devraient être; toute personne ayant accès à des données considérées de valeur à l'extérieur est potentiellement une menace.

Gardez également à l'esprit que presque tous les attaquants externes ressemblent à un initié. L'utilisation d'identifiants internes compromis par un attaquant externe est l'action de menace la plus courante dans les violations de données. Cela souligne l’utilité d’identifier les menaces internes le plus tôt possible..

Alors, comment les organisations peuvent-elles repérer l'initié - de préférence avant qu'une action de menace ait lieu?

Détecter les menaces d'initiés

L'objectif est de rechercher des indicateurs avancés d'un comportement inapproprié ou malveillant des employés. Cela se vérifie lors de l'observation d'une activité anormale de l'utilisateur - mais il doit s'agir d'une activité suggérant une menace potentielle, et pas nécessairement d'une activité suggérant qu'une activité menaçante est en cours. Par exemple, vous pouvez surveiller les copies excessives de fichiers ou les augmentations de trafic Web pour détecter le vol éventuel de données, mais la réalité est que, une fois que ces activités se sont produites, il est trop tard - la menace est survenue..

Ce qu'il faut faire, c'est surveiller l'activité qui se produit bien avant que des mesures de menace ne soient prises. La connexion la plus simple et la plus commune à toutes les actions de menace interne est la connexion. Presque toutes les actions de menace nécessitent la connexion à l'aide d'informations d'identification internes. Accès aux points finaux, mouvements latéraux entre les points finaux, accès externe via VPN, accès au bureau à distance, etc., partagent tous les besoins communs d'une connexion..

Examinons trois scénarios de menaces internes potentielles et expliquons comment la gestion des connexions permet d'identifier et de gérer les menaces internes..

Scénario 1: l'initié malveillant

Dans ce scénario, l'employé utilise ses propres informations d'identification, exploitant les privilèges accordés à ses propres fins. Cela peut être n'importe quoi, du vol de données de valeur pour eux personnellement, des données de valeur pour un concurrent ou une startup, aux données vendables sur le marché noir..

L'initié malveillant sait qu'il peut être attrapé. Son objectif principal est donc de cacher son activité. Voici quelques moyens courants utilisés pour y parvenir (qui servent également d’indicateurs de la menace):

  • Venir travailler tôt - Rien ne dit “personne ne saura” que personne ne soit autour. Les initiés profitent des premières heures du matin pour mener des actions menaçantes.
  • Quitter le travail en retard - De la même manière, rester après les heures a le même effet.
  • Plusieurs connexions - Les initiés deviennent souvent nerveux, s’empêchant de continuer. Cela se traduit par plusieurs ouvertures de session et déconnexions successives sur une courte période.
  • Après les heures d'ouverture de session - Un employé qui ne vient jamais le samedi et qui le fait soudainement est suspect.
  • Connexion à distance - Les actions malveillantes sont plus faciles dans le confort de votre foyer. L'accès à distance au réseau de l'entreprise par une personne qui normalement ne devrait pas soulever quelques sourcils.

Utilisation de la gestion de la connexion pour identifier et arrêter un initié

  • Audit de connexion - Les anomalies de connexion liées à l'heure, à la fréquence, au type et à la machine source peuvent être facilement identifiées, ce qui permet aux équipes informatiques de réagir de manière appropriée..
  • Règles de connexion - Les restrictions peuvent limiter l'utilisation de la connexion, depuis où, à quelle fréquence et avec quel type de session (interactive, RDP, Wi-Fi, etc.). Cela limite les options de connexion des employés, ce qui peut les dissuader d'effectuer des actions de menace..
  • Limites de temps - Si un employé veut “trainer dehors” après les heures normales, les utilisateurs peuvent être déconnectés de force à la fin d'un horaire de travail approuvé.
  • Actions réactives - Après avoir été averti, le service informatique peut mettre en miroir des sessions pour surveiller des actions, verrouiller le poste de travail et forcer un utilisateur à quitter la session, le tout avant que tout acte malveillant ne se produise..

Scénario 2: initié malveillant avec des informations d'identification volées ou partagées

Parfois, l'initié n'utilise pas du tout ses propres informations d'identification. Au lieu de cela, ils exploitent les informations d'identification d'un autre utilisateur. Comment ont-ils obtenu les informations d'identification? Ils ont été partagés. Dans une étude récente, nous avons constaté que 49% des employés (de départements clés tels que les services juridiques, des ressources humaines, des technologies de l'information, des finances, etc.) partagent leurs compétences avec d'autres collègues..

Insider en utilisant les privilèges d'un autre est un excellent moyen d'augmenter instantanément l'étendue et la profondeur de son accès à des données précieuses. Les indicateurs courants de l’utilisation abusive des identifiants incluent:

  • Ouverture de session depuis un autre poste de travail - Il est beaucoup plus probable que le “emprunté” les informations d'identification seront utilisées depuis le poste de travail de l'initié par rapport à celui utilisé normalement par l'utilisateur possédant les informations d'identification.
  • Ouverture de session en temps anormal - Les employés sont généralement des créatures d'habitude. Ils vont et viennent selon le même horaire. Il est donc probable que la connexion de l'initié paraisse inhabituelle.
  • Ouvertures de session simultanées - L'initié n'attendra pas que le propriétaire des informations d'identification soit déconnecté; ils se connecteront alors que le propriétaire des informations d'identification est toujours connecté. Ou du moins, essayez de le faire (selon que vous avez ou non des restrictions concernant les ouvertures de session simultanées).

Repérer et arrêter l'initié avec la gestion des connexions

  • Règles de connexion - Des stratégies peuvent être configurées pour limiter les ouvertures de session simultanées, restreindre l'ouverture de session au poste de travail du propriétaire des informations d'identification et interdire les ouvertures de session simultanées à partir de différents systèmes..
  • Audit et notifications - Le service informatique peut être averti des tentatives de connexion et des connexions anormales réussies.
  • Actions réactives - Si une connexion semble suspecte, l'utilisateur peut non seulement être déconnecté, mais le compte peut être bloqué de toute nouvelle connexion (jusqu'à ce qu'elle soit levée par le service informatique)..

Scénario 3: attaquant malveillant avec informations d'identification compromises

Le modèle d'attaque externe le plus courant implique que l'attaquant commence par prendre pied à l'aide de son terminal initialement compromis. À partir de là, ils doivent se déplacer latéralement dans l’organisation, passant d’une machine à l’autre pour tenter de rechercher, d’identifier et d’accéder à des données utiles. Pour chaque saut, il doit y avoir une connexion. Les indicateurs communs incluent:

  • Connexion de poste de travail à poste de travail - Les connexions d’un point à l’autre, à l’autre, se produiront pour faciliter les mouvements latéraux.
  • Temps de connexion anormaux - Les attaquants externes profitent de l'accès qu'ils ont obtenu et n'attendront pas le prochain jour ouvrable. Ils commenceront le mouvement latéral dès qu'ils le pourront.
  • Plusieurs connexions simultanées - Si un compte compromis leur donne accès à un large éventail de terminaux, ils l'utiliseront encore et encore, ce qui entraînera de nombreuses ouvertures de session à partir du même compte..

Repérer et arrêter l'initié avec la gestion des connexions

  • Politique de connexion - Des stratégies peuvent être établies pour limiter les machines ou les plages d'adresses IP à partir desquelles un compte peut se connecter, ce qui limite considérablement l'utilisation d'un compte compromis et arrête les mouvements latéraux..
  • Audit et notification - Le suivi des tentatives d'utilisation peut alerter le personnel informatique et le faire passer à l'action pour faire face à la menace..
  • Bloquer l'attaque - Avant qu'une activité malveillante ne se produise, il est possible de mettre fin à la session connectée et, plus important encore, d'empêcher le compte de se connecter à tout système du réseau..

Arrêter les menaces internes lors de la connexion

La menace interne est réelle et c'est ici. Aujourd'hui. Déjà sur votre réseau. Il s’agit des employés avec lesquels vous travaillez tous les jours, où le passage à leur statut d’initié peut prendre un peu plus que des relations brisées, une promotion perdue ou des difficultés personnelles. Il est donc aussi important de disposer d'une solution proactive et économique pour lutter contre les menaces internes, tout comme votre protection de point de terminaison, vos pare-feu et votre passerelle de messagerie..

Le facteur commun à chaque scénario d'initié est la connexion. En tirant parti de Logon Management, vous mettez au centre de votre détection des menaces internes et de votre réponse bien au-dessus de toute action malveillante qui pourrait avoir lieu, bloquant ainsi la vie de l'initié, avec un contrôle total de l'informatique..

François Amigorena, PDG de Décisions IS

  • Nous avons également mis en évidence le meilleur antivirus