Quelles sont les traces laissées par les auteurs internes dans le trafic réseau ?
De nombreuses discussions aiment peindre le propre collaborateur sur le mur comme un risque de sécurité informatique. Mais le danger réel qu'il représente n'est souvent pas clair. Différents profils d'auteurs d'attaques internes peuvent causer des dommages plus importants. La détection et la défense contre ces actions ne sont possibles que grâce à un regard permanent sur le trafic réseau et les points finaux - basé sur l'intelligence artificielle.
Derrière les risques internes pour l'informatique, les informations et les processus commerciaux se cachent des actions intentionnelles ou non de la part des collaborateurs ainsi que des fournisseurs ou des travailleurs indépendants ayant accès au réseau.
Profils des auteurs d'agressions internes
Le plus grand danger vient de l'auteur de l'intrusion qui agit intentionnellement et utilise ses accès aux fichiers, applications et systèmes. Les raisons personnelles et financières sont les principales motivations, bien avant le sabotage. Il existe ici deux types :
- Le site Collaborateur est actif pour ses commanditaires : concurrents, acteurs cybercriminels de logiciels malveillants ou même États.
- Le site "loup solitaire" agit de manière indépendante et sans être influencé. S'il s'agit d'un utilisateur disposant des privilèges correspondants, un tel auteur dispose d'un potentiel de danger sérieux.
L'auteur qui n'agit pas intentionnellement ou négligemment peut également être divisé en deux catégories.
- Le site Pion dans les échecs des cybercriminels ("pawn")Il est un utilisateur autorisé que les pirates manipulent sans sa volonté. Les cybercriminels l'attaquent par spear phishing ciblé pour usurper son identité. De nombreuses attaques visent le point de terminaison d'un seul utilisateur.
- Goof" agissant sans le vouloirIl enfreint les directives de sécurité informatique par arrogance, ignorance, incompétence ou tout simplement par manque de conscience. Il est souvent une proie facile pour les attaques de phishing suivies d'une escalade de privilèges.
Tout collaborateur peut mettre de côté et effacer des informations sur son ordinateur. Pour les attaques plus importantes et plus complexes, le cercle des auteurs se rétrécit. La majeure partie du personnel ne dispose pas des moyens, des droits et des connaissances nécessaires pour lancer des attaques graves sur un serveur de sauvegarde ou un serveur Active Directory. De plus, ils ne peuvent pas escalader des privilèges ou exfiltrer des données à grande échelle d'un point final du cloud bien protégé par le fournisseur. Seuls des collaborateurs techniquement compétents de l'administration informatique sont en mesure de le faire. Mais si des pirates s'emparent des identités d'un collaborateur ordinaire, celles-ci peuvent également devenir une arme dangereuse.
Le regard vers l'intérieur
Chaque type d'attaquant laisse des traces dans le trafic réseau et sur les terminaux. Au niveau du réseau, ils utilisent par exemple le protocole de réseau Windows à leurs propres fins avec Server Message Blog (SMB). Une exfiltration d'informations se trahit par le contact avec une adresse IP inconnue. Lorsque des utilisateurs internes se comportent soudainement différemment, une intelligence artificielle (IA) détecte ces écarts ponctuels par rapport aux processus normaux, tant sur le réseau que sur le point final. Les solutions d'IA rendent les processus visibles et les placent dans un contexte. Même les petites et moyennes entreprises peuvent utiliser ces solutions d'IA. C'est justement pour la protection contre les agresseurs de l'intérieur qu'elles sont un instrument nécessaire pour une sécurité informatique gérable.
Le comportement anormal des délinquants sur le réseau est surtout visible à travers les activités suivantes :
- Accès non autorisé ou anormal à des systèmes ou à des données avec des données d'accès légitimes : Un collaborateur se connecte par exemple soudainement au réseau à des heures ou à des endroits inhabituels. Un administrateur informatique ou un collaborateur explore des zones du réseau pour lesquelles il n'a pas de droits. Ces scénarios sont tout aussi suspects que l'accès à un serveur de sauvegarde, qui n'est généralement utilisé que pour la gestion, la vérification des sauvegardes ou la restauration des données.
- Recherche sur le réseau : En temps normal, un utilisateur interne se déplace en toute sécurité sur les voies qui lui sont indiquées et se dirige de manière ciblée vers les systèmes, les données et les applications. S'il les quitte, il se comporte comme un agresseur externe : il se dirige peu à peu vers des systèmes pour les explorer ou les modifier.
- Exfiltration de données : Les données sensibles sont copiées sur un support de données externe ou envoyées par mail et services cloud. La connexion d'un appareil est visible, tout comme l'impact du trafic de données.
Défense au filet et au point final
Les attaques d'un cybercriminel peuvent être détectées grâce à la surveillance continue de l'ensemble du trafic interne et externe. Par exemple, grâce à une analyse cohérente du comportement de l'entité utilisateur (UEBA), à l'examen des activités des utilisateurs, à l'analyse des connexions, des accès aux fichiers et de l'utilisation des ressources.
Il en découle des mesures préventives dans la topologie du réseau et dans le blocage des attaques par une détection et une réponse au niveau du point de terminaison juste avant l'exécution d'une attaque. Parmi ces mesures, on compte notamment, dans le réseau et au point final
- Micro-segmentation en réseau afin de pouvoir bloquer rapidement et complètement les systèmes qui communiquent régulièrement avec le point final attaqué en cas d'urgence. Cela limite en même temps le rayon des mouvements latéraux d'un attaquant interne.
- Contrôle des points finaux : Les pirates modifient les systèmes non seulement en créant de nouveaux logiciels malveillants, mais aussi en modifiant les configurations. L'analyse des modifications du système est donc la première condition pour bloquer un système. Si une anomalie sur un point final est suffisamment frappante, une défense automatisée déclenche immédiatement la sauvegarde du système afin de sauver les informations avant un cryptage. Le PC attaqué est alors mis en quarantaine - tout comme les ordinateurs des autres collaborateurs d'un service.
- Utilité des technologies de sécurité informatique comme avant tout le pare-feu antivirus, la prévention des pertes de données ou la gestion de l'accès aux identités.
L'œil humain de l'analyste de sécurité
De nombreux malfaiteurs internes, qui agissent souvent de manière individuelle, ne peuvent pas être détectés par des approches unidimensionnelles de la sécurité ou par la seule surveillance automatisée. Les attaquants utilisent généralement des outils légitimes et installent rarement un logiciel malveillant. Ils n'ont pas besoin d'outils d'intrusion. Les entités telles que les utilisateurs ou les systèmes sont néanmoins reconnaissables à certains comportements anormaux. Pour avoir une vue d'ensemble et surtout pour se défendre efficacement, il faut en plus l'œil humain d'un analyste de sécurité. Il analyse le comportement enregistré des entités internes. Il reconnaît, grâce à des log ins exceptionnels, que ce n'est probablement plus l'utilisateur réel qui contrôle le compte. Il réagit aux alertes d'infection par des logiciels malveillants ou, dans le cas de campagnes d'hameçonnage, il le considère comme le point de départ possible d'une attaque interne. Il gère la défense et bloque les protocoles ou la transmission de données suspects via le pare-feu qu'il gère. En dialoguant avec les entreprises à protéger, l'analyste de sécurité détecte si un utilisateur légitime ne se cache pas sous un comportement suspect - un nouveau collaborateur, une nouvelle filiale ou une compétence nouvellement attribuée.