A

Audit de Fichiers – Un outil de Détection et de Prévention de la Violation de Données

Les Violations de Données aujourd'hui

À moins que vous ne soyez caché sous un rocher, les attaques externes axées sur les violations de données (site en anglais) sont l'un des vecteurs de menaces les plus courants auxquels les organisations sont confrontées aujourd'hui. Les organisations cybercriminelles, intéressées par le paiement le plus élevé, sont attirées par l’exfiltration de centaines de milliers de documents contenant des informations d'identification, des informations personnelles ou des données de santé afin de les vendre sur le marché noir. Cela signifie donc qu’elles concentrent leurs efforts sur la violation de la sécurité de votre organisation, et donc, de vos données.

En 2017, plus de 174 millions de dossiers ont été volés (site en anglais) dans le cadre de violations de données reconnues publiquement1. Bien que cela semble être un très grand nombre, ce n'est que le nombre documenté connu de dossiers exposés – la grande majorité des violations sont attribuées à un nombre inconnu de dossiers exposés1. Ce qui rend cette activité criminelle encore plus décourageante est le fait que la plupart des exfiltrations de données sont mesurées en minutes2, alors que la découverte des violations de données est le plus souvent mesurée en mois ou en années2.

Les organisations informatiques ont besoin d'un moyen de détecter rapidement les accès et activités inappropriés pour éviter de faire partie des statistiques.

Où se trouvent toutes ces données?

Dans presque tous les marchés verticaux, les serveurs restent le principal atout de choix pour les attaques2, donnant aux organisations un choix clair quant à l'endroit où placer leurs efforts de prévention et de protection. Au bout du compte, les attaquants recherchent une seule chose - des fichiers. Des fichiers contenant des données de valeur, qui incluent:

  • Carte de crédit ou coordonnées bancaires
  • Renseignements personnels sur la santé (RPS)
  • Informations personnelles identifiables
  • Les secrets commerciaux des sociétés
  • Propriété intellectuelle
  • Information d’identification

Selon les processus opérationnels des organisations attaquées, ces données peuvent résider dans des bases de données, des documents de bureau, des fichiers utilisés dans le cadre d'opérations de transfert de données et bien plus encore – la création de fichier (et, par conséquent, l'accès aux fichiers) représente le point central d'une violation de données.

Mais est-ce aussi simple que de faire une copie?

Le rôle des fichiers dans une violation de données

Les fichiers jouent deux rôles distincts dans le processus de violation de données.

  1. Le premier rôle est très évident: les fichiers (qui peuvent être des bases de données) contenant des données de valeur sont copiés par des attaquants et sont transférés vers l'extérieur par une certaine forme de transfert de fichiers. Ce procédé est plus connu sous le nom d'exfiltration.
  2. Le second rôle, parfois oublié, est la manipulation des fichiers du système d'exploitation et des systèmes de fichiers pour permettre l’accès à un point de terminaison donné. Les logiciels malveillants utilisés pour accéder à un point de terminaison placent souvent (et, dans certains cas, remplacent) des fichiers utilisés au démarrage pour maintenir la persistance. En outre, certaines techniques qui impliquent la copie, le remplacement et le changement de nom de fichiers sont utilisées pour permettre l'accès à des points de terminaison supplémentaires afin de faciliter les mouvements latéraux au sein de votre réseau.

Vous pensez peut-être avoir besoin d'un ensemble complexe de solutions de sécurité pour identifier et vous protéger contre une violation de données - détection de point de terminaison, pare-feu, protection contre les failles, prévention de la perte de données, solutions SIEM et bien plus encore (qui sont tous importants au sein d’une stratégie globale de sécurité).

Mais, au final, le système de fichiers sera utilisé soit comme une cible soit comme un atout pour la prochaine activité malveillante, faisant de l'audit de fichiers un élément clé de votre stratégie de sécurité contre les intrusions.

Comment utiliser l'audit de fichiers pour aider à détecter et arrêter une violation de données?

À la base, l'audit de fichiers est simplement la journalisation de toutes les actions entreprises concernant le système de fichiers. Les copies, les déplacements, les lectures, les suppressions ainsi que les changements de noms, d'autorisations et de propriétaires peuvent tous être enregistrés, analysés et rapportés. C'est la base de son utilité dans une situation de violation de données.

Il convient de noter qu'étant donné que l'audit de fichier existe généralement en tant qu'exercice au niveau du système d'exploitation (les données du journal d'audit sont traitées et fournies en tant qu’actions individuelles, c’est comme ça que le système d'exploitation le voit), l'intelligence requise pour considérer plusieurs activités de fichier comme une seule action nécessite l’aide de solutions tierces.

L’audit de fichier peut jouer un double rôle dans une violation de données – il peut permettre de – détecter la violation et de l’arrêter.

Détecter une violation de donnée grâce à un audit fichiers

Si l’on prend en considération qu’une majorité de violations de données ne sont découvertes que bien après que la violation ait eu lieu, l'objectif évident est donc de réduire le temps nécessaire pour détecter une violation.

Malgré les revendications des solutions de sécurité pour identifier les violations de données, il existe deux vérités simples qui s'appliquent à toute exfiltration impliquant un mouvement latéral au sein de l'organisation:

  1. L'attaquant DOIT se connecter / s'authentifier à un certain moment
  2. L'attaquant DOIT accéder au système de fichiers d'un point de terminaison

Les ouvertures de session peuvent être considérées comme un indicateur principal de l'activité de violation, avec l'accès aux fichiers représentant un indicateur d’activité de violation actuelle – ce qui fait de l'audit fichiers une partie viable de votre stratégie de protection contre les violations de données.

Alors, que devriez-vous rechercher?

En bref, une activité de fichier anormale. Ce qui, pour votre organisation, doit être déterminé par l’observation de modèles d'accès réguliers concernant les fichiers qui contiennent des données de valeur. Les mêmes comptes utilisateurs accèderont en règle générale aux mêmes fichiers, avec la même régularité, pendant les mêmes périodes de la journée et les mêmes jours de la semaine, à partir des mêmes systèmes - donc tout ce qui est en dehors de cela devrait être considéré comme des drapeaux rouges potentiels.

Certains aspects d’activité inhabituelle que vous devriez surveillez comprennent:

Fréquence

Les fichiers sont-ils accédés plus souvent que d'habitude et plusieurs fois? Un initié incertain ayant des doutes sur le vol de données peut faire plusieurs tentatives d'accès avant de finalement prendre des données.

Montant

L'accès d’un utilisateur normal tourne probablement autour d'une utilisation quotidienne moyenne. La présence d'une copie de masse ou d'une suppression en masse ou d'un mouvement de données mérite d'être étudiée.

Jour / Heure

Un utilisateur qui accède à des données à 22h le vendredi soir alors qu’il n'a normalement accès aux fichiers que du lundi au vendredi pendant les heures de travail parait suspect.

Point de terminaison / adresse IP

L'accès à partir d'une machine située en dehors du réseau de l'entreprise ou qui n'accède normalement pas à un groupe de fichiers donné peut être un signe évident d'une utilisation inappropriée.

Changements d'autorisation

Les attaquants aiment assurer la persistance, à la fois sur les terminaux et sur les données. La réaffectation des permissions aux comptes (ceux récemment créés en particulier) est une tactique régulièrement utilisée.

Processus

Les attaquants peuvent utiliser leurs propres outils pour exfiltrer les données. Ainsi, voir des processus autres qu'Explorer, Word, etc. accéder à des fichiers peut indiquer qu’il y a un problème.

L'audit des fichiers, associé à la possibilité d'alerter les équipes informatiques et sécurité de la présence d'une activité suspecte d'accès aux fichiers, peut facilement attirer l'attention sur ce qui peut équivaloir à une violation de données.

Alerte d'une activité suspecte d'accès aux fichiers

Mais détecter une violation - même quelques minutes après qu'elle ce soit produite - peut être trop tard. Ce dont les organisations informatiques ont également besoin, c'est d'une capacité à arrêter une violation avant que le dommage ne soit fait.

Arrêter une violation de données grâce à un audit fichier

Pour atteindre l’objectif d'arrêter une violation, nous devons d'abord considérer l'audit comme un exercice réactif. Comme pour tout audit, une action doit être effectuée, le système d'exploitation doit enregistrer l'activité et la solution d'audit doit déclencher une alerte basée sur l'action déjà effectuée. Donc, il est logique de penser que l'audit de fichiers ne peut pas arrêter une violation de données.

Ou peut-il ?

Il existe un moyen clair d'arrêter une violation: la repérez avant que le vol de données réel n’ait lieu. Cela semble assez facile. Il existe des moyens par lesquels l'audit de fichiers peut aider à arrêter une violation de données, mais cela implique pour l’informatique de changer la façon d’auditer les fichiers.

Alors, comment l’informatique peut-elle tirer parti de l'audit des fichiers dans le but d’arrêter une violation de données?

Modifier l'audit fichiers d'une mesure de sécurité réactive à une mesure de sécurité proactive implique trois étapes:

  1. Arrêtez de penser qu’il faut auditer seulement les fichiers importants – toutes les organisations informatiques le font: ils identifient les fichiers importants et configurent l'audit sur ces fichiers uniquement. C'est comme si vous fixiez constamment votre montre de luxe, sans vous rendre compte que quelqu'un est en train de voler tout le reste dans votre maison. Une fois que vous avez été informé que ces fichiers ont été consultés, il se peut qu'il soit trop tard.
  2. Commencez à élargir la portée de l'audit – Pensez comme un hacker. Ils ne savent pas où se trouvent les «bonnes données», ils vont donc chercher à identifier les données de valeur. De plus, l'activité de mouvement latéral (comme mentionné précédemment) nécessite souvent la manipulation de fichiers du système d’exploitation pour fournir un accès correct à l'attaquant. Si vous auditez les fichiers spécifiques du système d'exploitation, ainsi qu'un éventail plus large de fichiers (pas seulement les fichiers "importants") vous augmentez vos chances d’identifier un attaquant avant qu'il ne trouve vos données de valeur.
  3. Commencez à utiliser l'intelligence pour identifier des comportements suspects – Mettre les deux étapes précédentes en action va générer une tonne de données à trier. Ainsi, regarder les actions individuelles ne fera qu'enterrer l'informatique sous une vague de données d'audit. Ce dont nous avons besoin, c'est d'une capacité à tirer parti de plusieurs facteurs d'accès mentionnés précédemment pour repérer les activités suspectes du système de fichiers bien avant que quiconque n’accède aux données de valeur.

En mettant ces trois étapes en action, vous changez efficacement l'audit fichiers d'un exercice réactif “ils ont déjà nos données” à un exercice où l'on informe l’informatique d'un comportement suspect (Ex. Un utilisateur regarde beaucoup de dossiers qu’il ne regarde normalement pas), l’autorisant à désactiver temporairement le compte et ... du coup - arrêter la violation de données avant qu'elle ne se produise.

Maîtriser les violations de données... avant et après qu'elles se manifestent

C'est un fait simple: ceux qui souhaitent voler des données doivent d’abord accéder aux fichiers qu'ils veulent voler. C'est comme si les fichiers les plus précieux de votre serveur se trouvaient dans une boîte en verre blindée au milieu d'une grande galerie éclairée par un projecteur. Vous savez exactement où le voleur doit frapper. Mais vous voulez attraper le voleur avant même qu'il n’atteigne la boîte, vous devez donc surveiller toute la pièce.

L'audit de fichier - lorsqu'il est fait correctement - peut être utilisé à la fois pour identifier une violation de données (regarder la boîte en verre) et potentiellement pour l’arrêter (surveiller la pièce). Cela va engendrer des changements dans la façon dont l’informatique utilise l'audit de fichiers dans le cadre d'une stratégie de sécurité. Cela engendrera également la nécessité d’utiliser une solution tierce pour assurer le suivi centralisé et l'analyse des données d'activité des fichiers nécessaire à l’identification rapide et intelligente et au signalement de potentielles activités de violation.

1 ITRC, 2017 Data Breach Report (2017)
2 Verizon, Data Breach Investigations Report (2017)

Aide à la sécurisation de
vos données importantes

FileAudit

A propos de FileAudit

Sans agent, distant et non intrusif; FileAudit offre un outil simple mais solide pour la surveillance, l'audit et l'alerte sur tous les accès et tentatives d'accès, aux fichiers, dossiers et partages de fichiers qui résident sur le système Windows.

En savoir plus et version d’essai