Logiciel de lutte contre les menaces internes : un indicateur précoce pour prévenir les attaques
Une activité anormale de l'utilisateur est un signal d'alarme important pour une menace interne. Découvrez comment UserLock aide les professionnels de l'informatique à s'appuyer sur l'ouverture de session Active Directory comme point de contrôle de sécurité critique, en arrêtant les initiés avant qu'ils ne passent à l'action.
Publié le 27 août 2018Quel que soit votre secteur ou votre industrie, il est généralement admis que le plus grand risque pour une organisation provient de la menace interne. Les logiciels de lutte contre les menaces d'initiés permettent de détecter ces menaces à un stade précoce et de réagir avant que les dégâts ne soient causés.
Il existe trois grands types de menaces internes : l'accident, la négligence et la malveillance. N'oubliez pas que presque tous les attaquants externes ressemblent à un initié.
L'utilisation d'informations d'identification internes compromises par des attaquants externes est la menace la plus courante dans les violations de données (Verizon, Data Breach Investigations Report 2018). Cela souligne l'intérêt d'identifier les menaces internes le plus tôt possible.
Aucune technologie ne peut éliminer complètement le risque d'attaque, mais il existe un moyen de réduire considérablement les risques potentiels.
Les menaces internes sont généralement difficiles à détecter. Enregistrer simplement toute l’activité réseau n’est pas suffisant pour protéger une organisation contre une activité malveillante ou imprudente. L’objectif est de rechercher des indicateurs avancés du comportement inapproprié, malveillant ou négligent des employés.
Cela se produit en surveillant l’activité anormale des utilisateurs – mais il doit s’agir d’une activité qui suggère une menace potentielle, et pas nécessairement une activité suggérant qu’une activité de menace est en cours.
Par exemple, vous pouvez surveiller la copie excessive de fichiers ou les pics de trafic web de téléchargement pour détecter les vols de données potentiels, mais la réalité est qu’une fois ces activités effectuées, il est trop tard - l’action de menace a eu lieu.
Ce qu'il faut faire, c'est.. :
Surveillez les activités qui se produisent bien avant que des actions de menace soient entreprises. Plus la détection est précoce, moins la menace peut causer de dommages.
Créez le moins de faux positifs possible. Si les paramètres de détection sont trop larges, le service informatique passe son temps à chasser les fantômes et pas à arrêter les menaces.
Ne vous contentez pas de détecter la menace. Arrêtez la menace - bien avant toute action malveillante.
Toute personne ayant accès à des données considérées comme utiles à l’extérieur est potentiellement une menace, pas seulement les utilisateurs privilégiés. Et quand on dit n’importe qui, on ne parle pas seulement des employés immédiats. Pensez aux partenaires, aux entrepreneurs, aux chaînes d’approvisionnement ... toute personne ayant accès à votre réseau peut représenter une menace.
Pour arrêter ces menaces, concentrez vos efforts sur la partie de l’attaque qui ne peut être contournée - la connexion.
Utilisez un logiciel de lutte contre les menaces internes pour sécuriser les connexions et stopper les menaces
L’activité la plus simple et la plus commune à chaque action de menace interne est la connexion. Presque toutes les actions de menace nécessitent une connexion à l’aide d’informations d’identification internes. L’accès aux points de terminaison, le mouvement latéral entre les points de terminaison, l’accès externe via VPN, l’accès au bureau à distance, etc., ont tous en commun l’exigence d’une connexion.
Le concept de gestion de la connexion s’articule autour de quatre fonctions principales – toutes fonctionnent ensemble pour maintenir un environnement sécurisé. Sur un environnement Windows Active Directory, ceci est réalisé avec le logiciel UserLock.
Politique et restrictions: Établit qui peut se connecter quand, depuis où, pendant combien de temps, combien de fois et à quelle fréquence (sessions simultanées). On peut également limiter les types d’ouverture de session spécifiques (tels que les connexions basées sur la console et RDP).
Surveillance en temps réel et reporting: Chaque connexion est surveillée et testée par rapport aux stratégies existantes pour déterminer si une connexion doit être autorisée. Le reporting aide à obtenir des informations détaillées pour toute enquête.
Alertes pour l’informatique et l’utilisateur final: Informe le service informatique et l’utilisateur de l’activité de connexion inappropriée et des tentatives infructueuses.
Réponse immédiate: Permet au service informatique d’interagir avec une session suspecte, de verrouiller la console, de déconnecter l’utilisateur ou même de les empêcher de se connecter ultérieurement.
Essentiellement, la gestion des connexions fait de la connexion elle-même un événement scruté et protégé.
La possibilité de se connecter avec succès (et de rester connecté) devient plus que la simple utilisation des informations d’identification appropriées. Ce faisant, il offre une protection efficace contre les menaces internes.
La gestion de la connexion est un moyen simple, efficace et rentable de contrecarrer les menaces internes potentielles. Elle fournit une couche de protection à la connexion, qui existe logiquement avant que l’action ne se produise, pour arrêter complètement la menace. Aucune connexion, aucune menace.
Parmi les scénarios de menaces d’initiés potentiels qui sont actuellement contrecarrés, citons:
Les identifiants compromis (venant d’utilisateurs exploités) sont désormais inutiles pour les attaquants internes ou externes.
Le comportement imprudent de l’utilisateur, tel que le partage de mot de passe, les postes de travail partagés laissés déverrouillés ou la connexion simultanée à plusieurs ordinateurs, est maintenant éradiqué.
L’accès à toute donnée / ressource est désormais toujours identifiable et attribué à un utilisateur individuel. Cette responsabilité décourage un initié d’agir avec malveillance et rend tous les utilisateurs plus attentifs à leurs actions.
Une activité suspecte est alertée pour permettre à l’équipe informatique de réagir instantanément.
Les utilisateurs sont avertis par un message et des alertes sur mesure, y compris des alertes sur leur propre accès sécurisé. Les employés informés sont une autre ligne de défense.
La sécurité des connexions avec UserLock est un moyen simple et efficace de déjouer les menaces internes potentielles.
Le logiciel de détection des menaces internes place la sécurité là où elle compte : au moment de la connexion
La menace interne est réelle et elle est ici. Aujourd’hui. Déjà sur votre réseau. Ce sont les employés avec lesquels vous travaillez tous les jours, où leur passage au statut d’initié peut dépendre d’une simple relation brisée, une promotion passée ou des difficultés personnelles. Ainsi, disposer d’une solution proactive et économique pour faire face aux menaces internes est aussi important que la protection de vos points de terminaison, les pare-feu et la passerelle de messagerie.
En exploitant le logiciel de sécurité UserLock, vous accordez une importance particulière à la détection et à la réaction des menaces internes bien avant les actions malveillantes qui pourraient avoir lieu.