par Jake Anthony, LogPoint Senior Sales Engineering Manager
Nous ne vivons plus dans un monde où nous avons le privilège de croire que notre vie privée nous appartient ou que nous sommes efficaces à 100% pour protéger la vie privée des personnes qui nous confient leurs données. Lentement, et même très lentement, les organisations en viennent à l’idée que, quelles que soient les mesures préventives en place, la question n’est pas de savoir si la compromission va avoir lieu, mais quand elle va avoir lieu.
Au cours des 10 à 15 dernières années, les organisations ont utilisé tout ce que comportait leur arsenal pour atténuer les problèmes causés par les auteurs de menaces externes. Bien que le succès n’ait pas été total, cela a forcé les auteurs de menaces à changer de tactique et ‘Insider Threat’ est actuellement l’expression qui fait le buzz et qui est sur toutes les lèvres.
Si nous acceptons l’hypothèse que la question est de savoir si la compromission va se produire et non quand elle va survenir, il devient alors évident que répondre de manière appropriée à une telle demande, c’est concentrer son attention sur la capacité à détecter et comprendre les indicateurs de compromission (IoCs) que les attaquants laissent derrière eux.
D’où vient la menace ?
La périphérie de votre entreprise n’est sans doute pas ce à quoi vous pensez en premier lorsque vous parlez de menace interne. Mais, dans un monde où une grande partie de l’infrastructure de l’entreprise est exposée au monde extérieur, la menace interne ne se limite pas au simple ‘dedans’. L’utilisation d’une infrastructure cloud et d’architectures d’accès à distance qui permettent un fonctionnement et des opérations flexibles augmentent aussi considérablement les points d’accès à votre réseau.
Dans ce contexte, les anomalies géographiques sont monnaie courante. Elles émergent régulièrement lors d’une infiltration par un auteur de menaces plus imprudent ou inexpérimenté. Si votre entreprise ne travaille qu’au sein de la zone EMEA, existe-t-il une raison pour que vous communiquiez avec un réseau basé en Asie-Pacifique ? Très peu probable, et même s’il y en a une, c’est certainement un IoC évident et cela mérite d’être examiné.
Fiabilité des terminaux
Poursuivant sur le thème de la menace interne émanant de l’extérieur, les terminaux (en particulier les terminaux mobiles) constituent un autre exemple d’extension de la périphérie de l’entreprise, au détriment potentiel de la sécurité globale de l’organisation. Les professionnels de la sécurité sont en permanente recherche d’équilibre entre la flexibilité et la responsabilité vis-à-vis de leurs utilisateurs, tout en maintenant un réseau d’entreprise sécurisé.
En raison de la sécurité souvent laxiste qui les caractérisent, ces terminaux mobiles sont des cibles de choix pour les auteurs de menaces potentiels qui cherchent à s’infiltrer dans un réseau.
L’examen ou la surveillance des processus en cours d’exécution sur des terminaux, en regard d’une liste prédéfinie de processus approuvés, est un moyen simple d’identifier les processus dévoyés. Considérant qu’un IoC n’est pas infaillible, cela mérite certainement une conversation avec le propriétaire du terminal.
Propagation
La majorité des menaces internes s’appuie principalement sur la capacité de leurs auteurs à obtenir un accès apparemment « légitime » au réseau, via des comptes prédéfinis, puis à se propager à partir de là. Ceci est réalisé par des moyens divers, notamment l’ingénierie sociale et le croisement de données provenant de violations précédentes et qui contiennent des données d’accès potentiellement utiles.
Une fois ces données extraites avec succès, il est crucial pour l’attaquant de les utiliser de manière efficace en suscitant le moins de suspicion possible au sein de l’organisation. En dépit de cela, il existe une grande variété d’indicateurs de compromission potentiels dans cet espace, allant de l’emplacement à l’heure où la connexion a eu lieu ou même au nombre de fois qu’elle s’est produite. Ceux-ci peuvent être entièrement définis ou définis par rapport à un comportement de base, mais quoi qu’il en soit, c’est un ensemble d’IoC faciles à repérer que vous devriez surveiller.
Vivre longtemps et prospérer
C’est un fait courant que l’infiltration initiale d’une organisation ne procure souvent que peu d’éléments, voire aucun, en termes de renseignements, de données et de droits. L’objectif des attaquants est de se propager sur le réseau à partir du point d’infection initial, en augmentant les privilèges et la visibilité au fur et à mesure de leur progression. Plus un attaquant est actif longtemps sur votre réseau, plus il amasse de données et de capacités de contrôle.
Ce concept du mouvement latéral au sein d’une organisation pour obtenir des privilèges et des informations n’est pas nouveau et demande une analyse détaillée dans la plupart des cas pour obtenir les IoC sous-jacents.
Toutefois, l’augmentation de privilèges est un simple IoC que vous pouvez rechercher dans ce sens, en surveillant les modifications de privilège dans votre base de comptes et donc l’accès à tous les comptes. Dès qu’un compte nouvellement créé a accès à des privilèges d’administrateur, on doit se poser des questions sur la validité de cette action.
Comment LogPoint peut vous aider ?
Lorsqu’une solution SIEM, optimisée par des analyses de cybesécurité de premier ordre, aide les analystes dans leur chasse aux menaces, le temps passé à éliminer les faux positifs est considérablement réduit. Ainsi votre équipe peut se concentrer sur les menaces vraiment importantes.
Avec l’UEBA LogPoint, vous pouvez facilement détecter les comportements suspects d’utilisateurs en même temps que d’autres entités comme le cloud, les applications mobiles ou sur site, les terminaux, les réseaux et les menaces externes. Et tout est fourni clé en main.
Découvrez comment l’UEBA LogPoint peut vous aider à détecter les menaces internes et à réduire le délai de réponse aux attaques :