D

Détecter et arrêter
les violations de données
grâce à l’audit de fichier

Les données d'entreprise sensibles doivent être protégées contre les accès non autorisés, les vols, les modifications ou les suppressions. Les entreprises informatiques ont besoin d'un logiciel d’audit de fichiers pour détecter, réagir et même arrêter rapidement une violation de données.

Dashboard FileAudit

Dans ce livre blanc, vous apprendrez :

  • Le rôle des fichiers dans une violation de données
  • Détecter une violation de données avec l’audit de fichiers
  • Arrêter une violation de données avec l’audit de fichiers
  • Comment FileAudit peut aider

Les Violations de Données aujourd'hui

À moins que vous ne soyez caché sous un rocher, les violations de données sont l'un des vecteurs de menaces les plus courants auxquels les organisations sont confrontées aujourd'hui. Les organisations cybercriminelles, intéressées par le paiement le plus élevé, sont attirées par l’exfiltration de centaines de milliers de documents contenant des informations d'identification, des informations personnelles ou des données de santé afin de les vendre sur le marché noir. Cela signifie donc qu’elles concentrent leurs efforts sur la violation de la sécurité de votre organisation, et donc, de vos données.

Depuis le 25 mai 2018, plus de 1200 violations de données ont été signalées à la CNIL. Ce qui rend cette activité criminelle encore plus décourageante est le fait que la plupart des exfiltrations de données sont mesurées en minutes1, alors que la découverte des violations de données est le plus souvent mesurée en mois ou en années1.

Détecter les violations de données devient indispensable pour les organisations qui souhaitent éviter de faire partie de ces statistiques.

Où se trouvent toutes ces données?

Dans presque tous les marchés verticaux, les serveurs restent le principal atout de choix pour les attaques1, donnant aux organisations un choix clair quant à l'endroit où placer leurs efforts de prévention et de protection. Au bout du compte, les attaquants recherchent une seule chose - des fichiers. Des fichiers contenant des données de valeur, qui incluent:

  • Carte de crédit ou coordonnées bancaires
  • Renseignements personnels sur la santé (RPS)
  • Informations personnelles identifiables
  • Les secrets commerciaux des sociétés
  • Propriété intellectuelle
  • Information d’identification

Selon les processus opérationnels des organisations attaquées, ces données peuvent résider dans des bases de données, des documents de bureau, des fichiers utilisés dans le cadre d'opérations de transfert de données et bien plus encore – la création de fichier (et, par conséquent, l'accès aux fichiers) représente le point central d'une violation de données.

Mais est-ce aussi simple que de faire une copie?

Violation de données : quel rôle pour les fichiers ?

Les fichiers jouent deux rôles distincts dans le processus de violation de données.

  1. Le premier rôle est très évident: les fichiers (qui peuvent être des bases de données) contenant des données de valeur sont copiés par des attaquants et sont transférés vers l'extérieur par une certaine forme de transfert de fichiers. Ce procédé est plus connu sous le nom d'exfiltration.
  2. Le second rôle, parfois oublié, est la manipulation des fichiers du système d'exploitation et des systèmes de fichiers pour permettre l’accès à un point de terminaison donné. Les logiciels malveillants utilisés pour accéder à un point de terminaison placent souvent (et, dans certains cas, remplacent) des fichiers utilisés au démarrage pour maintenir la persistance. En outre, certaines techniques qui impliquent la copie, le remplacement et le changement de nom de fichiers sont utilisées pour permettre l'accès à des points de terminaison supplémentaires afin de faciliter les mouvements latéraux au sein de votre réseau.

Vous pensez peut-être avoir besoin d'un ensemble complexe de solutions de sécurité pour identifier et vous protéger contre une violation de données - détection de point de terminaison, pare-feu, protection contre les failles, prévention de la perte de données, solutions SIEM et bien plus encore (qui sont tous importants au sein d’une stratégie globale de sécurité).

Mais, au final, le système de fichiers sera utilisé soit comme une cible soit comme un atout pour la prochaine activité malveillante, faisant de l'audit de fichiers un élément clé de votre stratégie de sécurité contre les intrusions.

Détecter & arrêter une violation de données grâce à l'audit de fichiers

À la base, l'audit de fichiers est simplement la journalisation de toutes les actions entreprises concernant le système de fichiers. Les copies, les déplacements, les lectures, les suppressions ainsi que les changements de noms, d'autorisations et de propriétaires peuvent tous être enregistrés, analysés et rapportés. C'est la base de son utilité dans une situation de violation de données.

Il convient de noter qu'étant donné que l'audit de fichier existe généralement en tant qu'exercice au niveau du système d'exploitation (les données du journal d'audit sont traitées et fournies en tant qu’actions individuelles, c’est comme ça que le système d'exploitation le voit), l'intelligence requise pour considérer plusieurs activités de fichier comme une seule action nécessite l’aide de solutions tierces.

L’audit de fichier peut jouer un double rôle – il peut permettre de – détecter la violation de données et de l’arrêter.

Détecter une violation de donnée grâce à un audit fichiers

Si l’on prend en considération qu’une majorité de violations de données ne sont découvertes que bien après que la violation ait eu lieu, l'objectif évident est donc de réduire le temps nécessaire pour détecter une violation.

Malgré les revendications des solutions de sécurité pour identifier les violations de données, il existe deux vérités simples qui s'appliquent à toute exfiltration impliquant un mouvement latéral au sein de l'organisation:

  1. L'attaquant DOIT se connecter / s'authentifier à un certain moment
  2. L'attaquant DOIT accéder au système de fichiers d'un point de terminaison

Les connexions peuvent être considérées comme un indicateur principal de l'activité de violation, avec l'accès aux fichiers représentant un indicateur d’activité de violation actuelle – ce qui fait de l'audit de fichiers une partie viable de votre stratégie de protection contre les violations de données.

Alors, que devriez-vous rechercher pour détecter une violation de données?

En bref, une activité de fichier anormale. Ce qui, pour votre organisation, doit être déterminé par l’observation de modèles d'accès réguliers concernant les fichiers qui contiennent des données de valeur. Les mêmes comptes utilisateurs accèderont en règle générale aux mêmes fichiers, avec la même régularité, pendant les mêmes périodes de la journée et les mêmes jours de la semaine, à partir des mêmes systèmes - donc tout ce qui est en dehors de cela devrait être considéré comme des drapeaux rouges potentiels.

Certains aspects d’activité inhabituelle que vous devriez surveillez comprennent:

Fréquence

Les fichiers sont-ils accédés plus souvent que d'habitude et plusieurs fois? Un initié incertain ayant des doutes sur le vol de données peut faire plusieurs tentatives d'accès avant de finalement prendre des données.

Montant

L'accès d’un utilisateur normal tourne probablement autour d'une utilisation quotidienne moyenne. La présence d'une copie, d'une suppression ou d'un mouvement de données en masse mérite d'être étudiée.

Jour / Heure

Un utilisateur qui accède à des données à 22h le vendredi soir alors qu’il n'a normalement accès aux fichiers que du lundi au vendredi pendant les heures de travail parait suspect.

Point de terminaison / adresse IP

L'accès à partir d'une machine située en dehors du réseau de l'entreprise ou qui n'accède normalement pas à un groupe de fichiers donné peut être un signe évident d'une utilisation inappropriée.

Changements d'autorisation

Les attaquants aiment assurer la persistance, à la fois sur les terminaux et sur les données. La réaffectation des permissions aux comptes (ceux récemment créés en particulier) est une tactique régulièrement utilisée.

Processus

Les attaquants peuvent utiliser leurs propres outils pour exfiltrer les données. Ainsi, voir des processus autres qu'Explorer, Word, etc. accéder à des fichiers peut indiquer qu’il y a un problème.

L'audit des fichiers, associé à la possibilité d'alerter les équipes informatiques et sécurité de la présence d'une activité suspecte d'accès aux fichiers, peut facilement attirer l'attention sur ce qui peut équivaloir à une violation de données.

Alerte d'une activité suspecte d'accès aux fichiers

Mais détecter une violation - même quelques minutes après qu'elle se soit produite - peut être trop tard. Ce dont les organisations informatiques ont également besoin, c'est d'une capacité à arrêter une violation avant que le dommage ne soit fait.

Arrêter une violation de données grâce à un audit fichier

Pour atteindre l’objectif d'arrêter une violation de données, nous devons d'abord considérer l'audit comme un exercice réactif. Comme pour tout audit, une action doit être effectuée, le système d'exploitation doit enregistrer l'activité et la solution d'audit doit déclencher une alerte basée sur l'action déjà effectuée. Donc, il est logique de penser que l'audit de fichiers ne peut pas arrêter une violation de données.

Ou peut-il ?

Il existe un moyen clair d'arrêter une violation de données: la repérer avant que le vol de données réel n’ait lieu. Cela semble assez facile. Il existe des moyens par lesquels l'audit de fichiers peut aider à arrêter une violation de données, mais cela implique pour l’informatique de changer la façon d’auditer les fichiers.

Alors, comment l’informatique peut-elle tirer parti de l'audit des fichiers dans le but d’arrêter une violation de données?

Modifier l'audit fichiers d'une mesure de sécurité réactive à une mesure de sécurité proactive implique trois étapes:

  1. Réagissez aux activités avec une réponse automatisée – Outre l'identification des menaces et la notification aux administrateurs, il faut également quelque chose pour agir sur les alertes. Une action immédiate, sans attendre l'intervention d'un administrateur informatique, est préférable. Par exemple, un script pouvant être exécuté chaque fois qu'une alerte spécifique est déclenchée; pour éteindre une machine ou déconnecter un utilisateur. Une entreprise est bien mieux équipée en exécutant et surveillant des solutions offrant des réponses automatisées en plus de l’identification des menaces et des notifications en temps réel.
    Exécution script
  2. Arrêtez de penser qu’il faut auditer seulement les fichiers importants – toutes les organisations informatiques le font: ils identifient les fichiers et dossiers importants et configurent l'audit sur ces fichiers et dossiers uniquement. C'est comme si vous fixiez constamment votre montre de luxe, sans vous rendre compte que quelqu'un est en train de voler tout le reste dans votre maison. Une fois que vous avez été informé que ces fichiers ont été consultés, il se peut qu'il soit trop tard.
  3. Commencez à élargir la portée de l'audit – Pensez comme un hacker. Ils ne savent pas où se trouvent les «bonnes données», ils vont donc chercher à identifier les données de valeur. De plus, l'activité de mouvement latéral (comme mentionné précédemment) nécessite souvent la manipulation de fichiers du système d’exploitation pour fournir un accès correct à l'attaquant. Si vous auditez les fichiers spécifiques du système d'exploitation, ainsi qu'un éventail plus large de fichiers (pas seulement les fichiers "importants") vous augmentez vos chances d’identifier un attaquant avant qu'il ne trouve vos données de valeur.

En mettant ces trois étapes en action, vous changez efficacement l'audit fichiers d'un exercice réactif “ils ont déjà nos données” à un exercice où l'on informe l’informatique d'un comportement suspect (Ex. Un utilisateur regarde beaucoup de dossiers qu’il ne regarde normalement pas), l’autorisant à désactiver temporairement (et automatiquement) le compte, ce qui permet d’arrêter la violation de données avant qu'elle ne se produise.

Détecter et arrêter les violations de données grâce à FileAudit

C'est un fait simple: ceux qui souhaitent voler des données doivent d’abord accéder aux fichiers qu'ils veulent voler. C'est comme si les fichiers les plus précieux de votre serveur se trouvaient dans une boîte en verre blindée au milieu d'une grande galerie éclairée par un projecteur. Vous savez exactement où le voleur doit frapper. Mais vous voulez attraper le voleur avant même qu'il n’atteigne la boîte, vous devez donc surveiller toute la pièce.

FileAudit peut être utilisé à la fois pour détecter une violation de données et pour l’arrêter. En plus de la surveillance en temps réel et de l’identification des menaces, il est impératif de pouvoir agir sur les menaces potentielles.

FileAudit permet de réagir immédiatement à une alerte sans devoir attendre que le service informatique intervienne. Un script personnalisé peut être créé et exécuté à chaque fois qu'une alerte spécifique est déclenchée.

Arrêtez une machine, déconnectez l'utilisateur… Agissez sur les menaces potentielles avant que tout dommage ne soit causé.

1 Verizon, Data Breach Investigations Report (2017)

Aide à la sécurisation de
vos données importantes

FileAudit

A propos de FileAudit

Sans agent, distant et non intrusif; FileAudit offre un outil simple mais solide pour la surveillance, l'audit et l'alerte sur tous les accès et tentatives d'accès, aux fichiers, dossiers et partages de fichiers qui résident sur le système Windows et dans le cloud.

En savoir plus et version d’essai