Guide de détection des menaces internes : stratégies et outils d'atténuation
La détection des menaces internes fait partie des nombreux développements récents en matière de cybersécurité. Le problème des menaces internes est devenu si grave que le gouvernement américain a mis en place le Groupe de travail national sur les menaces internes (ITTF) en septembre 2011. La mission principale de la Task Force est d’établir une politique de détection et de prévention des menaces internes à destination des agences gouvernementales. Vous devez vous assurer que votre organisation prend des mesures similaires pour empêcher les initiés de saboter votre système ou de voler des données sensibles.
Qu’est-ce qu’une menace interne ?
Tout le monde peut comprendre le concept de une menace à un système. La plupart des outils de cybersécurité visent à empêcher les pirates et les logiciels malveillants d'attaquer un réseau ou d'autres ressources de l'entreprise. Un initié est une personne autorisée à utiliser le système de l’entreprise.
Alors que les attaques externes peuvent inclure de nombreux systèmes logiciels, tels que les chevaux de Troie d'accès à distance, les attaques DDoS, les ransomwares, les logiciels espions et les virus, les menaces internes sont presque exclusivement processus manuels . Un interne peut endommager le système en supprimant des données, en supprimant des programmes ou en modifiant les configurations du système, mais l'objectif principal d'une menace interne est Le vol de données .
Bien que l’endommagement ou la suppression du logiciel système puisse poser problème, très peu de titulaires de compte dans une entreprise ont la capacité d’effectuer ces actions de manière significative. Par exemple, un employé qui désinstalle la suite de productivité de son propre poste de travail ne cause pas vraiment de dommages à l’organisation. Les applications à l'échelle de l'entreprise, telles qu'un serveur Web ou des systèmes de bases de données, ne peuvent être altéré par un nombre très limité de personnes au sein du service informatique.
Les petites entreprises sont plus vulnérables au sabotage de la part de leur nombre limité d'employés et d'associés, car les progiciels plus petits utilisés par ces entreprises ont tendance à faire moins de distinctions entre opérateurs et administrateurs. Pourtant, même dans les petites entreprises, les menaces internes se concentrent sur problèmes de données .
Quels initiés constituent une menace ?
Il existe huit types d'employés qui constituent une menace pour une organisation :
- Employé mécontent – Une personne qui estime avoir été traitée injustement par l'entreprise, qui n'a pas bénéficié d'une promotion, qui s'est vu refuser le paiement d'heures supplémentaires ou de dépenses, ou qui nourrit du ressentiment envers un superviseur ou un chef de section.
- Quittant – Une personne qui a été attirée par une entreprise concurrente peut être incitée à emporter avec elle des données commerciales au profit du nouvel employeur.
- Cinquième chroniqueur – Un employé qui a un parti pris politique contre l’entreprise et ses activités et qui cherche à nuire à la rentabilité ou à la viabilité de l’entreprise.
- Individu manipulé – Quelqu’un qui subit une pression sociale ou morale pour aller à l’encontre des intérêts de l’entreprise.
- Employé négligent – Quelqu’un qui n’a pas l’intention de saboter l’entreprise ou de divulguer des informations, mais qui cause des dommages en négligeant de suivre les meilleures pratiques et qui est susceptible de se montrer indiscret avec les données ou les informations d’identification d’accès au système.
- trop dépenser – Une personne qui a besoin de plus d’argent qu’elle n’en gagne et est susceptible de chercher à gagner de l’argent en vendant les données de l’entreprise.
- Ancien employé – Une personne qui a quitté l’entreprise mais dont l’accès au système n’a pas été révoqué.
- Lanceur d'alerte – Une personne qui cherche à obtenir une récompense morale en divulguant les secrets commerciaux d’une entreprise.
Minimiser les menaces internes
Avant d'approcher détection des menaces internes , une organisation doit mettre en œuvre des contrôles système qui rendent plus difficiles à réaliser le vol de données ou les dommages au système. Minimiser le potentiel d'actions des employés est la première phase de gestion des menaces internes .
Une stratégie visant à réduire le potentiel de menaces internes se divise en deux catégories :
- Gestion des identités et des accès (IAM)
- Prévention contre la perte de données (DLP)
Ces deux sujets sont expliqués en profondeur ci-dessous.
Gestion des identités et des accès
La gestion des identités implique la création de comptes d'utilisateurs qui peuvent ensuite être appliqués aux ressources. La gestion des comptes utilisateurs est un moyen de dissuasion efficace contre les menaces internes si elle est soigneusement mise en œuvre.
Gestion des identités les tâches incluent la création de niveaux et de types d'utilisateurs. Cela nécessite la définition de différents types d’accès requis par différents rôles métier. La population générale des utilisateurs doit appartenir à une seule catégorie. Cette catégorie pourrait être davantage divisée par département. Ainsi, les utilisateurs du service financier et le personnel RH auront besoin accéder à différents progiciels, par exemple.
En définissant les exigences des différents titres de poste, l'administrateur système peut arriver à un ensemble de profils d'utilisateurs. Chaque profil sera défini par le logiciel qui groupe d'utilisateurs besoins, les ressources matérielles auxquelles ils auront besoin d'accéder pour fonctionner et les magasins de données auxquels ce groupe doit accéder. Les profils seront encore affinés en fonction du niveau d’accès aux données dont chacun a besoin – droits de lecture seule ou de modification.
Des profils d'utilisateurs qui incluent des niveaux d'autorisation plus élevés doivent être attribués à un nombre très limité d'utilisateurs. Les profils de techniciens doivent être très restreints et ceux profils de techniciens qui bénéficient de tous les privilèges de superutilisateur doivent être attribués à seulement quelques membres de l'organisation.
Prévention de la perte de données
Les mesures de prévention contre la perte de données sont plus importantes pour un type limité de données. Les entreprises ne stockent les données que parce qu’elles sont utiles. Cependant, certains types de données sont plus importants que d’autres. Si votre secteur est soumis à des contraintes juridiques concernant la divulgation des données ou à des normes industrielles, telles que PCI DSS ou HIPAA , vous devez concentrer vos efforts les plus importants en matière de prévention des pertes de données sur les types de données spécifiés dans les normes que votre entreprise est tenue de respecter.
La prévention de la perte de données implique localiser tous les magasins de données sensibles et en plaçant des mesures de suivi et de protection supplémentaires à ces endroits. Comme toutes les données détenues par l'entreprise sont importantes, tous les événements d'accès aux données doivent être suivis.
Gestion des menaces internes
La gestion des menaces internes est le processus consistant à combiner gestion des identités et des accès avec prévention contre la perte de données .
Aucun système ne peut vous garantir à 100 % que vous ne subirez jamais de menace interne. Même si votre système informatique est le plus strict possible, vous serez toujours confronté à la menace du stylo et du papier. En plus de contrôles informatiques efficaces contre les menaces internes, vous devrez également mettre en œuvre des contrôles d’accès physiques dans vos locaux, profilage du personnel et surveillance des employés en personne.
Vous pouvez affiner votre stratégie de gestion des menaces internes en mettant en œuvre la surveillance des transactions.
Analyse du comportement des utilisateurs et des entités
Les systèmes de surveillance automatisés peuvent facilement suivre chaque événement qui se produit dans le système informatique. Cependant, identifier quel événement constitue une menace pour la sécurité est une proposition difficile. Heureusement, un domaine de compétence appelé analyse du comportement des utilisateurs et des entités (UEBA) contribue à cette tâche.
UEBA est un outil d'IA et constitue un type avancé d'apprentissage automatique. Un système UEBA enregistre chaque transaction effectuée, en particulier celles qui impliquent l'accès aux données. Au fil du temps, le système UEBA définit une norme de comportement normal . Une fois que le système UEBA a fonctionné suffisamment longtemps pour faire une estimation raisonnable du comportement standard, il est plus facile de repérer les comportements suspects.
Vous ne pouvez pas donner d’instruction à un ordinateur pour lui dire de surveiller toute activité suspecte, car il est presque impossible de définir ce qui est et ce qui ne l’est pas. » suspect .» L'UEBA se concentre sur l'élaboration de ce qui comportement régulier ressemble et déclenche ensuite une alerte lorsque quelque chose qui dévie de cette norme se produit. Cet outil permet aux spécialistes de la sécurité des systèmes de se concentrer sur les menaces internes probables plutôt que d'essayer de surveiller chaque transaction.
Journalisation des événements
Comme aucun système n’est infaillible à 100 pour cent, c’est une bonne idée d’espérer le meilleur, mais de planifier le pire. Vous devez mettre en place des systèmes qui vous permettront de enquêter sur les menaces internes une fois qu'ils se sont produits. Même si vous mettez en place des contrôles très stricts, quelqu’un pourrait un jour les contourner.
Enregistrer tout ce qui se passe génère une grande quantité de données. Cependant , le stockage est très bon marché de nos jours, le coût de conservation de tous ces messages de journal est donc minime. Si les enregistrements de tous les événements sont stockés, ils peuvent être recherchés pour rechercher des indicateurs d'attaque. Si jamais vous découvrez qu'un initié essaie de voler des données ou vous découvrez qu'un événement de perte de données vient de se produire. Vous devez effectuer une recherche dans les journaux pour examiner toutes les activités passées de cet utilisateur, car il est peu probable que vous l'ayez attrapé par hasard à sa première tentative.
Si vous devez montrer conformité Selon une norme de sécurité des données, la journalisation des événements est une exigence et non une option.
Triage
Le triage consiste à concentrer vos efforts sur la source de menace la plus probable. l'UEBA et suivi d'activité automatisé vous aider à identifier les comptes d'utilisateurs probablement malveillants. Une fois ces candidats identifiés, vous devez examiner de très près leurs activités. Vous ne pouvez pas licencier quelqu’un parce qu’il est soupçonné d’activité malveillante ; il te faut une preuve.
Contrôles des documents
Les documents et les présentations de diapositives contiennent non seulement des données, mais constituent également une méthode clé pour partager les stratégies d'entreprise. Les fichiers électroniques sont faciles à copier et à envoyer par courrier électronique ou à emporter du bâtiment sur une clé USB.
La première couche de protection contre le vol de données via des documents consiste à numériser tous emails sortants pour fixation et bloc Prises USB sur les postes de travail.
Toutes les pièces jointes aux e-mails ne constituent pas des tentatives de vol de données : il est une pratique commerciale acceptée d’envoyer des devis, des commandes, des factures, des propositions, des arguments de vente et des reçus en pièces jointes. Par conséquent, l’analyse des pièces jointes sortantes doit être sophistiquée.
L'autre ligne de défense en matière de contrôle des documents réside dans prise d'empreintes digitales . En cas de fuite de documents clés, il devrait être plus facile de retrouver l'initié responsable si tous les systèmes d'accès et de distribution des documents marquent chaque copie avec un identifiant.
Contrôles de sortie de données
Dans le cadre des systèmes de prévention des pertes de données, données sensibles est localisé et suivi avec des contrôles plus stricts. Ces contrôles doivent accorder une attention particulière à toute tentative d’envoi de ces types de données en pièce jointe à un e-mail ou de les copier sur une clé USB. Cela s'applique au tri au suivi des mouvements de données.
Suivi d'activité
Toutes les stratégies de gestion des menaces internes ci-dessus reposent sur le suivi des activités. Des outils analytiques doivent être appliqués à journalisation des événements systèmes pour regrouper une série d’actions qui pourraient contribuer à un événement de perte de données. En effet, le vol de données implique généralement plusieurs étapes. Chacune de ces étapes prise isolément pourrait sembler anodine. Ce n’est que lorsque ces événements s’enchaînent que le vol devient apparent.
Tous les éléments énumérés ci-dessus contribuent à une stratégie de suivi d’activité efficace . Les contrôles sur les comptes d'utilisateurs mis en œuvre via une stratégie de gestion des identités et des accès limitent les comptes qui doivent être minutieusement surveillés. Les techniques de prévention des pertes de données qui identifient les magasins de données sensibles permettent aux moniteurs d'activité de savoir sur quelles parties du système se concentrer.
Ainsi, si un compte utilisateur doté de droits d’autorisation élevés accède à un magasin de données sensibles, vous disposez d’une activité qui doit être suivie de près. Qu'est-ce que ce compte utilisateur fait ensuite c'est tres important. Vous ne souhaitez pas verrouiller complètement l’accès aux données sensibles, car ces données sont stockées à titre de référence et sans elles, de nombreux services de votre entreprise cesseraient de fonctionner. Vous ne voulez pas non plus bloquer ces comptes de superutilisateur : ils ont été créés pour une raison.
Utilisations du suivi d'activité triage déclencher un moniteur en cas d'accès à des données sensibles, déclencher une alarme lorsqu'une action ultérieure sort du modèle normal de comportement de travail (établi par l'UEBA), et appliquer un contrôle et procédures d'enquête qui analyse les journaux d'événements.
Outils de gestion des menaces internes
Vous avez beaucoup de données à protéger et de nombreuses activités à surveiller. Naturellement, vous ne pouvez pas faire tout cela manuellement. Heureusement, l’ensemble de votre stratégie de gestion des menaces internes peut être mise en œuvre avec juste quelques outils spécialisés . Voici deux outils qui démontrent comment deux domaines de spécialisation peuvent couvrir toutes les tâches que vous devez effectuer dans votre système de détection des menaces internes.
Ce ne sont pas les seuls outils dans leur domaine mais nous les considérons comme les meilleurs.
Endpoint Protector par CoSoSys (DÉMO D'ACCÈS GRATUIT)
Protecteur de point de terminaisonest un prévention contre la perte de données système hébergé dans le Cloud. La défense contre les menaces internes est un service clé de ce système de sécurité. Le service Endpoint Protector met en œuvre trois stratégies pour bloquer les menaces internes : le suivi de l'activité des appareils, la classification de la sensibilité des données et la surveillance de l'utilisation des applications.
Le système Endpoint Protector surveille les appareils en cours d'exécution les fenêtres , macOS , et Linux . Il vérifie les ports USB pour surveiller les activités de transfert de fichiers et peut bloquer la copie de certains fichiers. La notation des dossiers nécessitant des contrôles particuliers découle d'une classification des données système. Vous définissez ensuite politiques de sécurité liés à différentes classifications de données.
Le système de création de politiques de sécurité peut faire la distinction entre les services métiers, les groupes d'utilisateurs ou les statuts des utilisateurs. Ainsi, certaines personnes d'un service spécifique seraient autorisées à transférer une catégorie de fichiers, tandis que simultanément, d'autres utilisateurs seraient autorisés à transférer une catégorie de fichiers. bloqué de, effectuer de telles actions.
Les contrôles d'application dans Endpoint Protector surveillent les activités effectuées dans Microsoft Outlook , Skype , et Boîte de dépôt . Le service peut également surveiller les données envoyées aux imprimantes. Ainsi, tous les canaux de divulgation des données sont surveillés : clés mémoire, e-mails, applications de chat, imprimantes et transferts de fichiers.
Endpoint Protector est proposé sous forme de SaaS système. Vous pouvez choisir d'obtenir le forfait en tant que service sur AWS , GCP , ou Azur les serveurs. Il est également possible d'acquérir le logiciel pour Endpoint Protector et de l'installer sur votre propre système en tant que appareil virtuel .
Avantages:
- Peut prévenir les menaces internes grâce à une variété de fonctionnalités
- Les politiques de sécurité personnalisées peuvent être basées sur l'utilisateur plutôt que sur la machine
- Évalue automatiquement les risques en fonction des vulnérabilités trouvées sur le point final
- Peut alerter en cas d'accès inapproprié aux fichiers ou de menaces internes (agit comme une solution DLP)
- Empêche le vol de données et les attaques BadUSB via les paramètres de contrôle des appareils
Les inconvénients:
- J'aimerais voir une version d'essai disponible pour les tests
Vous pouvez demander l'accès à la démo gratuite afin d'évaluer le service sans risque.
Démo GRATUITE d’accès à Endpoint Protector
Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)
Le Gestionnaire d'événements de sécurité depuis Vents solaires est une catégorie de logiciels de sécurité appelée SIEM . Il collecte et recherche dans les messages de journal les menaces – qu’il s’agisse d’intrusion ou de menaces internes.
Les messages de journal sont générés en permanence et leur lecture permet une source de données d'activité en direct . Le gestionnaire d'événements de sécurité collecte les messages de journal de chaque partie du système et les met dans un format commun. Cela permet au SIEM de rechercher dans les journaux la recherche de corrélations d'événements – des modèles de différents événements qui se combinent pour indiquer une faille de sécurité.
Le SEM utilise UEBA établir une base de comportement normal par rapport à laquelle il peut identifier les anomalies. Lorsqu'un événement potentiel de menace interne est détecté, le SEM déclenche une alerte, attirant l'attention sur ce compte utilisateur. Tous les enregistrements de journaux sont stockés pour permettre analyse historique . Ainsi, une fois qu'un compte utilisateur est identifié comme affichant comportement suspect , toutes les activités de cet utilisateur jusqu'à ce point peuvent être rappelées.
Le Security Event Manager est capable de mettre en œuvre réponse aux incidents actions automatiquement. Il peut suspendre un compte, éjecter une clé USB, bloquer tous les e-mails sortants d'un utilisateur et déconnecter cet utilisateur du système. La possibilité de déclencher des réponses automatiques appartient à l'administrateur système. Une approche alternative consisterait à laisser le système déclencher des alertes, puis à laisser la réponse à un décideur une fois qu'une analyse plus approfondie aura été effectuée.
Avantages:
- SIEM axé sur l'entreprise avec une large gamme d'intégrations
- Filtrage simple des journaux, pas besoin d'apprendre un langage de requête personnalisé
- Des dizaines de modèles permettent aux administrateurs de commencer à utiliser SEM avec peu de configuration ou de personnalisation
- Interface utilisateur facile à utiliser et à personnaliser
- L'outil d'analyse historique permet de détecter les comportements anormaux et les valeurs aberrantes dans le réseau.
Les inconvénients:
- SEM est un produit SIEM avancé conçu pour les professionnels, nécessite du temps pour apprendre pleinement la plateforme
SolarWinds Security Event Manager s’installe sur Serveur Windows et il est disponible avec un essai gratuit de 30 jours.
SolarWinds Security Event Manager Téléchargez un essai GRATUIT de 30 jours
Teramind DLP
Teramind DLP est une prévention contre la perte de données système qui dispose de modèles pour adapter ses opérations selon des normes spécifiques de sécurité des données. Il s'agit d'un excellent système de protection contre les menaces internes pour les entreprises qui doivent se conformer à la PCI DSS , HIPAA , OIN 27001 , et RGPD normes.
Comme son nom l'indique, Teramind DLP se concentre sur la protection des données. Il est idéal pour bloquer les intrus et les menaces internes. L'outil démarre son service en recherchant dans tout le système informatique tous les magasins de données. Il recherche ensuite dans chaque emplacement de données des informations spécifiques types de données et les catégorise. Cela permet au service de se concentrer sur des données spécifiques, en particulier sur les types d'informations qu'une norme de sécurité des données donnée vise à protéger.
La recherche de données sensibles se poursuit tout au long de la durée de vie des systèmes. Tous les événements liés aux données sensibles identifiées sont suivi et enregistré . Tout en surveillant les magasins de données, le système analyse également tous comptes utilisateur . Il met en œuvre UEBA pour avoir une vue globale de l'activité normale afin de pouvoir ensuite identifier les comportements anormaux. Naturellement, les activités inhabituelles touchant des données sensibles génèrent une alerte.
En plus de la surveillance des données et des utilisateurs, le service vérifie transferts de données sur le réseau, dans les e-mails et sur les clés USB. Toute activité non autorisée est bloquée. Le système comprend également des outils d'enquête pour analyse des données historiques et des méthodes de réponse ainsi que des systèmes de surveillance, tels qu'un enregistreur de frappe qui peut être appliqué aux comptes d'utilisateurs suspects.
Teramind DLP empêche la perte de données, surveille les événements de vol de données, puis enquête sur les événements une fois qu'ils se sont produits. Il s'agit d'un système complet de protection des données pour gestion des menaces internes .
Avantages:
- Rapports hautement visuels et surveillance en temps réel
- Conçu dans un souci de conformité, offrant des rapports préconfigurés
- Va au-delà de la surveillance des fichiers avec des options de surveillance active des sessions et d'enregistrement des frappes
- Est très complet – idéal pour les réseaux et les entreprises complexes
Les inconvénients:
- La plateforme essaie de tout faire, ce qui peut être écrasant pour ceux qui souhaitent uniquement utiliser des outils de détection des menaces internes.
- Cette plate-forme a une courbe d'apprentissage plus abrupte par rapport aux produits concurrents