La plupart des entreprises se concentrent sur les attaquants externes dans la lutte contre la cybercriminalité. Mais une menace croissante rôde également dans leurs propres rangs. Les experts en sécurité informatique de FireEye Mandiant prévoient que 33 % de tous les incidents de sécurité en 2021 seront dus à des menaces internes. Que peuvent faire les entreprises pour se protéger ?
L'accès légitime est l'alpha et l'oméga : les employés l'ont et les attaquants le veulent. Le meilleur verrou de sécurité sur la porte est inutile si le criminel est déjà à l'intérieur. Tous les fanatiques du crime le savent. La situation est similaire avec les cyberattaques qui proviennent des propres rangs de l'entreprise. Ils sont particulièrement dangereux car les auteurs sont des personnes en qui nous avons réellement confiance. C'est d'autant plus inquiétant que le nombre de menaces internes augmente significativement. En 2019 et 2020, les équipes de Mandiant ont vu plus de cas que jamais d'initiés compromettant des systèmes critiques pour l'entreprise, exposant des données confidentielles ou faisant chanter leurs employeurs. De tels incidents peuvent causer des dommages financiers importants et nuire à la réputation.
Qui est derrière les attaques d'initiés
La plupart des menaces internes peuvent être attribuées à des employés négligents qui n'ont pas de mauvaises intentions, mais qui offrent plutôt aux pirates une porte d'entrée par insouciance. Cependant, il existe également des attaques ciblées par des initiés. Tout comme les attaques d'acteurs externes, celles-ci se déroulent souvent sur une plus longue période. Les agresseurs tentent généralement de passer inaperçus et de dissimuler leurs activités. Dans certains cas, ils utilisent même les comptes d'autres employés pour détourner l'attention d'eux-mêmes.
Derrière les attaques d'initiés, il n'y a plus seulement l'ex-employé mécontent qui veut se venger de son ancien employeur ou le voler. Essentiellement, toute personne ayant accès aux réseaux, aux systèmes et aux données présente un risque potentiel, qu'il s'agisse de votre propre employé, de votre entreprise ou de votre partenaire de la chaîne d'approvisionnement. Les organisations disposant d'une propriété intellectuelle importante ou les entreprises qui fusionnent, sont acquises ou subissent des changements et des défis importants courent un risque accru d'être victimes d'initiés malveillants.
Contrairement à ce à quoi on pourrait s'attendre, les acteurs d'aujourd'hui n'agissent souvent pas seuls, mais en groupes comprenant des administrateurs informatiques et des membres de l'équipe des menaces internes qui empêchent les alertes et les enquêtes. Des membres partiels de ce groupe sont extérieurs aux entreprises, tels que des organisations criminelles et même affiliées au gouvernement qui mènent des activités techniques pour permettre l'accès aux données et le vol.
Les quatre menaces internes les plus courantes
Les enquêteurs de Mandiant ont examiné divers types d'attaques d'initiés dans la pratique. Quatre tendances se dégagent :
Chantage numérique
L'initié malveillant menace de divulguer les données volées et peut se faire passer pour un pirate extérieur. L'initié demande généralement une rançon dans une monnaie numérique telle que Bitcoin.
espionnage industriel
Dans ce scénario, l'initié malveillant vole la propriété intellectuelle et partage les données avec des tiers, y compris des acteurs gouvernementaux, contre une rémunération ou une opportunité d'emploi.
Destruction d'actifs
L'initié malveillant tente de perturber les systèmes critiques de l'entreprise, de provoquer une panne opérationnelle ou de détruire des stocks de données importants.
Harcèlement
Jon Ford, directeur général des services gouvernementaux mondiaux et des solutions de sécurité contre les menaces internes chez Mandiant (Image : FireEye).
L'initié malveillant accède aux données sensibles des employés ou aux comptes d'utilisateurs de collègues afin d'obtenir des informations personnelles.
Face aux tentatives de chantage, les entreprises subissent une énorme pression : doivent-elles se conformer aux exigences ou doivent-elles essayer d'identifier l'initié le plus rapidement possible ? Et si cela n'arrive pas à temps ? Comprendre les scénarios d'attaque et traquer les auteurs est complexe. Les principaux défis pour les équipes de sécurité lors d'une tentative d'extorsion sont les suivants : 1) déterminer si des données ont effectivement été volées et 2) faire la distinction entre un incident interne et une attaque par un tiers malveillant. Cela nécessite une combinaison de criminalistique technique, de renseignements sur les menaces et de méthodes d'enquête traditionnelles. Des spécialistes externes fournissent des analyses indépendantes et une expertise importante pour cela.
De cette façon, les entreprises peuvent se protéger contre les risques internes
Les organisations doivent allier technologie et vigilance, et sensibiliser leurs employés aux dangers des menaces internes grâce à des formations régulières pour détecter efficacement les attaques internes. Pour éviter que des choses ne se produisent, les entreprises doivent être conscientes du danger que représentent les menaces internes et prendre les mesures de protection appropriées. Cinq conseils pour minimiser les risques :
- Investissez dans une solution de prévention des pertes de données contre les menaces internes. Il reconnaît les comportements malveillants, déclenche une alarme et peut bloquer des actions si nécessaire. La solution devrait fonctionner avec et sans connexion Internet.
- Protégez tous les environnements de vos réseaux avec des contrôles d'accès. Chaque utilisateur, développeur et administrateur ne doit recevoir que les droits dont il a absolument besoin pour son travail quotidien. Limitez au minimum le nombre d'employés autorisés à créer de nouveaux comptes dans des environnements sur site et cloud.
- Envoyez les données de journal et l'agrégation d'événements à un SIEM (Security Information and Event Management). Cela garantit l'authenticité des journaux et empêche un attaquant de les supprimer ou de les manipuler.
- Implémenter la segmentation du réseau. En séparant les zones réseau avec des contrôles de sécurité, vous empêchez un attaquant de se propager sans restrictions. Vous devez également limiter le trafic inutile entre les environnements hautement sensibles et moins fiables. Tous les systèmes qui ne doivent pas nécessairement être accessibles au public doivent être séparés de l'accès public.
- Assurer un débarquement en toute sécurité. Si un employé quitte l'entreprise, vous devez immédiatement bloquer son accès au réseau. Toutes les clés SSH, les fichiers PEM et les mots de passe auxquels la personne avait accès doivent être modifiés pour tous les environnements. L'authentification multifacteur (MFA) doit également être désactivée immédiatement.
Des évaluations régulières sont importantes
Pour atténuer le risque de menaces internes, les entreprises ont besoin de processus de prévention des pertes de données, de fonctionnalités SIEM, d'analyses comportementales et d'une équipe dédiée. Les trois domaines clés que sont les personnes, les processus et les outils doivent être pris en compte ici. Les enquêtes sur les menaces internes doivent être fondées sur des preuves qui réfutent le profilage et résistent à un examen juridique. Des spécialistes externes peuvent examiner les capacités existantes pour maximiser les investissements, accélérer la création d'un nouveau programme de menaces internes ou améliorer un programme existant basé sur des années de catalogage des meilleures pratiques dans l'industrie. Étant donné que les exigences peuvent changer rapidement, il est important d'effectuer régulièrement des évaluations de sécurité. Ils permettent de découvrir les vulnérabilités et d'améliorer en permanence la posture de sécurité. Ainsi, les entreprises reçoivent une feuille de route individuelle pour se protéger efficacement contre les attaques internes et leurs effets.
Plus sur FireEye.com
À propos de Trellix Trellix est une entreprise mondiale qui redéfinit l'avenir de la cybersécurité. La plate-forme ouverte et native Extended Detection and Response (XDR) de la société aide les organisations confrontées aux menaces les plus avancées d'aujourd'hui à avoir l'assurance que leurs opérations sont protégées et résilientes. Les experts en sécurité de Trellix, ainsi qu'un vaste écosystème de partenaires, accélèrent l'innovation technologique grâce à l'apprentissage automatique et à l'automatisation pour soutenir plus de 40.000 XNUMX clients commerciaux et gouvernementaux.