L

Logiciel de menace interne – un indicateur précoce pour éviter les attaques

Que ce soit des utilisateurs malveillants, négligents ou exploités, il est généralement admis que le plus grand risque pour une organisation provient de la menace interne.

N'oubliez pas que presque tous les attaquants externes ressemblent à un initié. L'utilisation d’identifiants internes compromis par un attaquant externe constitue la menace la plus courante dans les violations de données (Verizon, Data Breach Investigations Report 2018). Cela sous-tend l'intérêt d'identifier les menaces internes le plus tôt possible.

Aucune technologie ne peut complètement éliminer le risque d'attaque, mais il existe un moyen de réduire considérablement les risques potentiels.

La menace interne concerne tous les utilisateurs

La définition de CERT concernant la Menace Interne (page en anglais) est la possibilité pour un individu qui a ou qui avait un accès autorisé aux actifs d'une organisation d'utiliser son accès, de manière malveillante ou non intentionnelle, de manière à nuire à l'organisation.

«Un individu» signifie que les menaces internes concernent plus qu’uniquement les utilisateurs privilégiés. Toute personne ayant accès à des données considérées comme utiles à l’extérieur est potentiellement une menace. Et quand on dit n'importe qui, on ne parle pas seulement des employés immédiats. Pensez aux partenaires, aux entrepreneurs, aux chaînes d'approvisionnement ... toute personne ayant accès à votre réseau peut représenter une menace.

Alors, comment les organisations peuvent-elles identifier l'initié, de préférence avant qu'une action de menace ait lieu?

L'activité de l’utilisateur est la clé pour repérer une menace potentielle

Les menaces internes sont généralement difficiles à détecter. Enregistrer simplement toute l'activité réseau n'est pas suffisant pour protéger une organisation contre une activité malveillante ou imprudente. L'objectif est de rechercher des indicateurs avancés du comportement inapproprié, malveillant ou négligent des employés.

Cela se produit en surveillant l'activité anormale des utilisateurs – mais il doit s'agir d'une activité qui suggère une menace potentielle, et pas nécessairement une activité suggérant qu'une activité de menace est en cours.

Par exemple, vous pouvez surveiller la copie excessive de fichiers ou les pics de trafic web de téléchargement pour détecter les vols de données potentiels, mais la réalité est qu'une fois ces activités effectuées, il est trop tard - l'action de menace a eu lieu.

Ce qui doit se passer:

  1. Surveillez les activités qui se produisent bien avant que des actions de menace soient entreprises. Plus la détection est précoce, moins la menace peut causer de dommages.
  2. Créez le moins de faux positifs possible. Si les paramètres de détection sont trop larges, le service informatique passe son temps à chasser les fantômes et pas à arrêter les menaces.
  3. Ne vous contentez pas de détecter la menace. Arrêtez la menace - bien avant toute action malveillante.

Pour ce faire, concentrez vos efforts sur la partie de l’attaque qui ne peut être contournée - la connexion.

Détection et prévention des menaces internes avec la gestion des connexions

L'activité la plus simple et la plus commune à chaque action de menace interne est la connexion. Presque toutes les actions de menace nécessitent une connexion à l'aide d’informations d'identification internes. L'accès aux points de terminaison, le mouvement latéral entre les points de terminaison, l'accès externe via VPN, l'accès au bureau à distance, etc., ont tous en commun l'exigence d'une connexion.

Le concept de gestion de la connexion s'articule autour de quatre fonctions principales – toutes fonctionnent ensemble pour maintenir un environnement sécurisé:

  • Politique et restrictions – Établit qui peut se connecter quand, depuis où, pendant combien de temps, combien de fois et à quelle fréquence (sessions simultanées). On peut également limiter les types d'ouverture de session spécifiques (tels que les connexions basées sur la console et RDP).
  • Surveillance en temps réel et reporting - Chaque connexion est surveillée et testée par rapport aux stratégies existantes pour déterminer si une connexion doit être autorisée. Le reporting aide à obtenir des informations détaillées pour toute enquête.
  • Alertes pour l’informatique et l’utilisateur final – Informe le service informatique et l'utilisateur de l'activité de connexion inappropriée et des tentatives infructueuses.
  • Réponse immédiate – Permet au service informatique d'interagir avec une session suspecte, de verrouiller la console, de déconnecter l'utilisateur ou même de les empêcher de se connecter ultérieurement.

Essentiellement, la gestion des connexions fait de la connexion elle-même un événement scruté et protégé.

Gestion des connexions pour Windows Active Directory

La solution de gestion des connexions IS Decisions, UserLock, fournit une couche complète de sécurité pour les réseaux Windows au niveau de la connexion. Grâce à une combinaison de stratégies de connexions exécutables, d'alerte et d'actions de réponse, UserLock permet aux organisations informatiques de tirer parti de la connexion Active Directory comme point de contrôle de sécurité critique avant que des initiés n'interviennent.

La possibilité de se connecter avec succès (et de rester connecté) devient plus que la simple utilisation des informations d'identification appropriées. Ce faisant, il offre une protection efficace contre les menaces internes.

Une solution de gestion des connexions détecte une tentative d'accès anormale basée sur les stratégies de connexion personnalisées et granulaires définies pour ce compte particulier (employé). Il agira en conséquence - soit en refusant, soit en approuvant la connexion - et en informant le service informatique (ou l'utilisateur approprié lui-même) si cela est stipulé.

Regardez des cas d'utilisation populaires sur la façon dont les restrictions de connexion UserLock protègent contre les violations de sécurité:

Il est difficile d’identifier les accès réseau malveillants à partir d’identifiants utilisateurs de connexion volés, partagés ou provenant d’un phishing. Votre système estime que la personne sur le réseau est qui elle prétend être. Mais avec UserLock, vous pouvez créer des restrictions efficaces - personnalisables facilement pour chaque employé - qui protègent contre les accès non autorisés, même lorsque les informations d'identification sont compromises.

Regardez des cas d'utilisation populaires (en anglais)

La gestion de la connexion est un moyen simple, efficace et rentable de contrecarrer les menaces internes potentielles. Elle fournit une couche de protection à la connexion, qui existe logiquement avant que l'action ne se produise, pour arrêter complètement la menace. Aucune connexion, aucune menace.

Parmi les scénarios de menaces d’initiés potentiels qui sont actuellement contrecarrés, citons:

  • Les identifiants compromis (venant d'utilisateurs exploités) sont désormais inutiles pour les attaquants internes ou externes.
  • Le comportement imprudent de l'utilisateur, tel que le partage de mot de passe, les postes de travail partagés laissés déverrouillés ou la connexion simultanée à plusieurs ordinateurs, est maintenant éradiqué.
  • L'accès à toute donnée / ressource est désormais toujours identifiable et attribué à un utilisateur individuel. Cette responsabilité décourage un initié d'agir avec malveillance et rend tous les utilisateurs plus attentifs à leurs actions.
  • Une activité suspecte est alertée pour permettre à l'équipe informatique de réagir instantanément.
  • Les utilisateurs sont avertis par un message et des alertes sur mesure, y compris des alertes sur leur propre accès sécurisé. Les employés informés sont une autre ligne de défense.

Arrêter les menaces internes à la connexion

La menace interne est réelle et elle est ici. Aujourd'hui. Déjà sur votre réseau. Ce sont les employés avec lesquels vous travaillez tous les jours, où leur passage au statut d’initié peut dépendre d’une simple relation brisée, une promotion passée ou des difficultés personnelles. Ainsi, disposer d'une solution proactive et économique pour faire face aux menaces internes est aussi important que la protection de vos points de terminaison, les pare-feu et la passerelle de messagerie.

Le facteur commun à chaque scénario d'initié est la connexion. Avec les ouvertures de session en tant que votre indicateur clé de menace interne:

  1. Vous avez identifié le potentiel de menace très tôt dans le processus.
  2. Les faux positifs sont évités grâce à des stratégies granulaires (par compte, si nécessaire) qui définissent ce qui est et n'est pas «normal».
  3. La connexion est refusée, arrêtant la menace.

En tirant parti de la gestion des connexions, vous placez la détection et la réponse à vos menaces internes bien au-delà des actions malveillantes qui pourraient avoir lieu, arrêtant ainsi tout risque interne, avec un contrôle total de l’équipe informatique.