M

Menaces internes –
comment éviter
les attaques ?

Ne vous contentez pas de détecter la menace interne, arrêtez-la avant toute action malveillante. Dans ce livre blanc, nous allons vous montrer comment la gestion et la sécurisation des connexions avec UserLock peuvent constituer un indicateur précoce permettant de mettre fin aux attaques provenant de la menace interne.

  • Protéger les utilisateurs exploités en rendant les connexions authentiques, mais compromises, inutiles pour les attaquants
  • Restreindre à juste titre certains comportements d'utilisateurs imprudents
  • Décourager un initié d'agir de manière malveillante
  • Alerter les utilisateurs sur les activités suspectes impliquant leur propre accès sécurisé
UserLock

En savoir plus sur UserLock

La menace interne

Peu importe votre secteur d'activité ou industrie, il est généralement admis que le plus grand risque pour une organisation provient de la menace interne.

Il existe trois principaux types de menaces internes : l’accident, la négligence et la malveillance. N'oubliez pas que presque tous les attaquants externes ressemblent à un initié. L'utilisation d’identifiants internes compromis par un attaquant externe constitue la menace la plus courante dans les violations de données (Verizon, Data Breach Investigations Report 2018). Cela sous-tend l'intérêt d'identifier les menaces internes le plus tôt possible.

Aucune technologie ne peut complètement éliminer le risque d'attaque, mais il existe un moyen de réduire considérablement les risques potentiels.

Détecter les menaces internes grâce à l'activité de tous les utilisateurs...

Les menaces internes sont généralement difficiles à détecter. Enregistrer simplement toute l'activité réseau n'est pas suffisant pour protéger une organisation contre une activité malveillante ou imprudente. L'objectif est de rechercher des indicateurs avancés du comportement inapproprié, malveillant ou négligent des employés.

Cela se produit en surveillant l'activité anormale des utilisateurs – mais il doit s'agir d'une activité qui suggère une menace potentielle, et pas nécessairement une activité suggérant qu'une activité de menace est en cours.

Par exemple, vous pouvez surveiller la copie excessive de fichiers ou les pics de trafic web de téléchargement pour détecter les vols de données potentiels, mais la réalité est qu'une fois ces activités effectuées, il est trop tard - l'action de menace a eu lieu.

Ce qui doit se passer:

  1. Surveillez les activités qui se produisent bien avant que des actions de menace soient entreprises. Plus la détection est précoce, moins la menace peut causer de dommages.
  2. Créez le moins de faux positifs possible. Si les paramètres de détection sont trop larges, le service informatique passe son temps à chasser les fantômes et pas à arrêter les menaces.
  3. Ne vous contentez pas de détecter la menace. Arrêtez la menace - bien avant toute action malveillante.

...Pas seulement des utilisateurs privilégiés

Toute personne ayant accès à des données considérées comme utiles à l’extérieur est potentiellement une menace, pas seulement les utilisateurs privilégiés. Et quand on dit n'importe qui, on ne parle pas seulement des employés immédiats. Pensez aux partenaires, aux entrepreneurs, aux chaînes d'approvisionnement ... toute personne ayant accès à votre réseau peut représenter une menace.

Pour arrêter ces menaces, concentrez vos efforts sur la partie de l’attaque qui ne peut être contournée - la connexion.

Arrêter les menaces internes grâce à la sécurité des connexions

L'activité la plus simple et la plus commune à chaque action de menace interne est la connexion. Presque toutes les actions de menace nécessitent une connexion à l'aide d’informations d'identification internes. L'accès aux points de terminaison, le mouvement latéral entre les points de terminaison, l'accès externe via VPN, l'accès au bureau à distance, etc., ont tous en commun l'exigence d'une connexion.

Le concept de gestion de la connexion s'articule autour de quatre fonctions principales – toutes fonctionnent ensemble pour maintenir un environnement sécurisé. Sur un environnement Windows Active Directory, ceci est réalisé avec le logiciel UserLock.

  • Politique et restrictions – Établit qui peut se connecter quand, depuis où, pendant combien de temps, combien de fois et à quelle fréquence (sessions simultanées). On peut également limiter les types d'ouverture de session spécifiques (tels que les connexions basées sur la console et RDP).
  • Surveillance en temps réel et reporting - Chaque connexion est surveillée et testée par rapport aux stratégies existantes pour déterminer si une connexion doit être autorisée. Le reporting aide à obtenir des informations détaillées pour toute enquête.
  • Alertes pour l’informatique et l’utilisateur final – Informe le service informatique et l'utilisateur de l'activité de connexion inappropriée et des tentatives infructueuses.
  • Réponse immédiate – Permet au service informatique d'interagir avec une session suspecte, de verrouiller la console, de déconnecter l'utilisateur ou même de les empêcher de se connecter ultérieurement.

Essentiellement, la gestion des connexions fait de la connexion elle-même un événement scruté et protégé.

La possibilité de se connecter avec succès (et de rester connecté) devient plus que la simple utilisation des informations d'identification appropriées. Ce faisant, il offre une protection efficace contre les menaces internes.

Un indicateur précoce pour prévenir les attaques internes

La gestion de la connexion est un moyen simple, efficace et rentable de contrecarrer les menaces internes potentielles. Elle fournit une couche de protection à la connexion, qui existe logiquement avant que l'action ne se produise, pour arrêter complètement la menace. Aucune connexion, aucune menace.

Parmi les scénarios de menaces d’initiés potentiels qui sont actuellement contrecarrés, citons:

  • Les identifiants compromis (venant d'utilisateurs exploités) sont désormais inutiles pour les attaquants internes ou externes.
  • Le comportement imprudent de l'utilisateur, tel que le partage de mot de passe, les postes de travail partagés laissés déverrouillés ou la connexion simultanée à plusieurs ordinateurs, est maintenant éradiqué.
  • L'accès à toute donnée / ressource est désormais toujours identifiable et attribué à un utilisateur individuel. Cette responsabilité décourage un initié d'agir avec malveillance et rend tous les utilisateurs plus attentifs à leurs actions.
  • Une activité suspecte est alertée pour permettre à l'équipe informatique de réagir instantanément.
  • Les utilisateurs sont avertis par un message et des alertes sur mesure, y compris des alertes sur leur propre accès sécurisé. Les employés informés sont une autre ligne de défense.

La sécurité des connexions avec UserLock est un moyen simple et efficace de déjouer les menaces internes potentielles.

Logiciel de détection des menaces internes

La menace interne est réelle et elle est ici. Aujourd'hui. Déjà sur votre réseau. Ce sont les employés avec lesquels vous travaillez tous les jours, où leur passage au statut d’initié peut dépendre d’une simple relation brisée, une promotion passée ou des difficultés personnelles. Ainsi, disposer d'une solution proactive et économique pour faire face aux menaces internes est aussi important que la protection de vos points de terminaison, les pare-feu et la passerelle de messagerie.

En exploitant le logiciel de sécurité UserLock, vous accordez une importance particulière à la détection et à la réaction des menaces internes bien avant les actions malveillantes qui pourraient avoir lieu.

Ne nous croyez pas sur parole, téléchargez dès maintenant un essai gratuit de 30 jours.

Télécharger ce livre blanc en format PDF

Version PDF - 170 KB

UserLock

UserLock

Protégez toutes les connexions et tentatives de connexion vers un domaine Windows Active Directory des attaques externes et de la menace interne.

Réduire le risque de violation de la sécurité grâce à:

  • Des contrôles d'accès contextuels
  • Une surveillance en temps réel et des alertes
  • Un audit complet

En savoir plus et version d’essai