Menace interne : un indicateur avancé pour éviter les attaques
François Amigorena, fondateur et PDG de la société, IS Decisions, explique pourquoi une gestion minutieuse des connexions constitue une alerte et une parade efficace à nombre d’attaques, à commencer par celles qui viennent de l’intérieur.
Le plus grand risque pour une organisation vient de l’intérieur – la menace interne. Elle peut venir d’utilisateurs malveillants, négligents ou exploités.
Le problème vient du fait que pratiquement tous les attaquants externes ressemblent à un initié. En effet, selon le Data Breach Investigations Report 2018 de Verizon, l'utilisation d’identifiants internes compromis par un attaquant externe constitue la menace la plus courante dans les violations de données. Cela montre l'intérêt d'identifier les menaces internes le plus tôt possible.
Le risque zéro n’existe pas, mais il y a un moyen de réduire fortement les risques potentiels.
Alors, comment les organisations peuvent-elles identifier l'initié, de préférence avant qu'une action de menace ait lieu?
En règle générale, les menaces internes sont difficiles à détecter. Le fait de surveiller simplement toute l'activité réseau n'est pas suffisant pour protéger une organisation contre les activités malveillantes ou imprudentes. Il faut donc rechercher des indicateurs avancés d’un comportement inapproprié, malveillant ou négligent des employés.
Pour cela, il faut concentrer vos efforts sur la partie de l’attaque qui ne peut être contournée - la connexion.
Détecter et prévenir les menaces internes grâce aux activités de connexion
La connexion représente l'activité la plus simple et surtout la plus commune à chaque action de menace interne. La majorité des actions de menace a besoin d’une connexion à l'aide d’identifiants internes. L'accès aux points de terminaison, le mouvement latéral entre les points de terminaison, l'accès externe via VPN, l'accès au bureau à distance, etc., ont tous en commun la sollicitation d'une connexion.
Le concept de gestion de la connexion se structure autour de quatre fonctions essentielles qui agissent ensemble pour maintenir un environnement sécurisé:
- Politique et restrictions – Établit qui peut se connecter quand, depuis où, pendant combien de temps, combien de fois et à quelle fréquence (sessions simultanées). On peut également limiter les types d'ouverture de session spécifiques (tels que les connexions basées sur la console et RDP).
- Surveillance en temps réel et reporting - Chaque connexion est surveillée et testée par rapport aux stratégies existantes pour déterminer si une connexion doit être autorisée. Le reporting aide à obtenir des informations détaillées pour toute enquête.
- Alertes pour l’informatique et l’utilisateur final – Informe le service informatique et l'utilisateur de l'activité de connexion inappropriée et des tentatives infructueuses.
- Réponse immédiate – Permet au service informatique d'interagir avec une session suspecte, de verrouiller la console, de déconnecter l'utilisateur ou même de les empêcher de se connecter ultérieurement.
Finalement, la gestion des connexions fait de la connexion elle-même un événement scruté et protégé.
Avec une solution de gestion des connexions, une tentative d’accès anormale est immédiatement détectée grâce aux stratégies de connexion personnalisées et granulaires définies pour ce compte particulier (employé). La solution agira ensuite en conséquence - soit en refusant, soit en approuvant la connexion - et en informant le service informatique (ou l'utilisateur lui-même) si cela est stipulé.
La gestion de la connexion est un moyen simple, efficace et rentable de contrecarrer les menaces internes potentielles. Elle fournit une couche de protection à la connexion, qui existe logiquement avant que l'action ne se produise, pour arrêter complètement la menace. Aucune connexion, aucune menace.
Parmi les scénarios de menaces internes potentiels qui sont actuellement contrecarrés, citons:
- Les connexions authentiques mais compromises d'utilisateurs exploités sont désormais inutiles pour les initiés malveillants ou les attaquants potentiels.
- Le comportement imprudent de l'utilisateur, tel que le partage de mot de passe, les postes de travail partagés laissés déverrouillés ou la connexion simultanée à plusieurs ordinateurs, est maintenant éradiqué.
- L'accès à toute donnée / ressource est désormais toujours identifiable et attribué à un utilisateur individuel. Cette responsabilité décourage un initié d'agir avec malveillance et rend tous les utilisateurs plus attentifs à leurs actions.
- Une activité suspecte est alertée pour permettre à l'équipe informatique de réagir instantanément.
- Les utilisateurs sont avertis par un message et des alertes sur mesure, y compris des alertes sur leur propre accès sécurisé. Les employés informés représentent une autre ligne de défense.
Mettre fin aux menaces internes à la connexion
La menace interne est réelle et elle est ici. Aujourd'hui. Déjà sur votre réseau. Ce sont les employés avec lesquels vous travaillez tous les jours, où leur passage au statut d’attaquant interne peut dépendre d’une simple relation brisée, une promotion passée ou des difficultés personnelles. Ainsi, disposer d'une solution proactive et économique pour faire face aux menaces internes est aussi important que la protection de vos points de terminaison, les pare-feu et la passerelle de messagerie.
Le facteur commun à chaque scénario d'initié est la connexion. Avec les ouvertures de session en tant que votre indicateur clé de menace interne:
- Vous identifiez le potentiel de menace très tôt dans le processus.
- Les faux positifs sont évités grâce à des stratégies granulaires (par compte, si nécessaire) qui définissent ce qui est et n'est pas «normal».
- La connexion est refusée, arrêtant la menace.
En tirant parti de la gestion des connexions, vous placez la détection et la réponse à vos menaces internes bien au-delà des actions malveillantes qui pourraient avoir lieu, arrêtant ainsi tout risque interne, avec un contrôle total de l’équipe informatique.