Une menace d’initié est un risque de sécurité pour une organisation qui provient de l’intérieur même de l’entreprise. Elle peut provenir d’employés actuels ou anciens, de contractants ou de tout autre associé commercial qui ont – ou ont eu – accès aux données et aux systèmes informatiques d’une organisation. Parce qu’elle provient de l’intérieur et qu’elle peut être intentionnelle ou non, une menace d’initié est parmi les plus coûteuses et les plus difficiles à détecter de tous les types d’attaque.
Types de menaces d’initiés
Il existe plusieurs types de menaces d’initiés qui sont définis sur l’intention et la motivation des personnes impliquées.
- Les initiés « négligents » peuvent ne pas avoir l’intention de mettre l’organisation en danger, mais le font de manière non malveillante en se comportant de manière non sécurisée. Ces initiés peuvent ne pas réagir aux exercices de sensibilisation et de formation à la sécurité ou commettre des erreurs isolées en faisant preuve de mauvais jugement. Dans un cas comme dans l’autre, la négligence est souvent citée comme le type de risque le plus coûteux pour les employés.
- Les initiés « collusifs » collaboreront avec des acteurs externes malveillants de la menace pour compromettre l’organisation. Bien qu’il soit risqué et rare, ce type de menace interne devient plus courant car les cybercriminels professionnels utilisent de plus en plus le dark web pour recruter des employés comme alliés. Ces affaires impliquent souvent une fraude, un vol de propriété intellectuelle ou une combinaison des deux, ce qui peut les rendre très coûteuses. Ce type de collusion peut également prendre plus de temps à détecter, car les acteurs externes malveillants de la menace sont généralement bien au fait des technologies de sécurité et des stratégies permettant d’éviter la détection.
- Les initiés « malveillants » exfiltrent des données ou commettent d’autres actes négatifs contre l’organisation dans le but d’obtenir des récompenses financières ou d’autres gains personnels. Les initiés malveillants à la recherche d’un deuxième flux de revenus exfiltrent généralement les données lentement vers des comptes personnels pour éviter la détection. Un autre type d’initié malveillant, l’employé mécontent, cherche à saboter délibérément une entreprise ou à voler sa propriété intellectuelle. On peut les voir passer au peigne fin les informations sensibles de l’entreprise ou réaliser d’importantes exportations de données, surtout à peu près au moment où ils démissionnent de leur poste ou donnent le préavis habituel de deux semaines avant de quitter un poste.
- Les initiés « tiers » sont des entrepreneurs ou des fournisseurs auxquels une entreprise a généralement donné un certain type d’accès à son réseau. Ces initiés peuvent avoir des employés qui entrent dans l’une des catégories ci-dessus ou peuvent simplement avoir des failles dans leurs propres systèmes et appareils qui ouvrent des vulnérabilités aux attaquants.
Risques posés par les menaces d’initiés
Les initiés sont particulièrement dangereux parce que, contrairement aux personnes extérieures qui travaillent pour pénétrer l’organisation, ils ont généralement un accès légitime aux systèmes informatiques et au réseau, dont ils ont besoin pour effectuer leurs tâches quotidiennes. Si ces autorisations font l’objet d’un abus ou sont exploitées pour nuire à l’organisation, les résultats peuvent être catastrophiques et coûteux pour l’entreprise.
Lorsqu’ils travaillent activement à compromettre une organisation, les initiés ont également un avantage car ils connaissent généralement la structure des données de l’entreprise et savent où réside la propriété intellectuelle. Ils peuvent également savoir comment ces informations sont protégées, ce qui leur permet de contourner plus facilement toute mesure de sécurité.
Parce qu’un initié a déjà un accès direct à l’organisation et à son réseau et n’a pas besoin de pirater le périmètre extérieur, les menaces internes sont souvent plus difficiles à défendre que les attaques provenant de l’extérieur. Elles sont également plus difficiles à détecter car les mouvements des menaces d’initiés se fondent souvent dans des comportements justifiés par l’entreprise.
Détection des menaces d’initiés
Les menaces d’initiés peuvent facilement échapper aux défenses existantes, ce qui rend leur détection plus difficile. Cependant, la familiarité et l’accès aux données sensibles dont disposent les initiés rendent la détection critique. Comme les menaces d’initiés peuvent se mêler à des activités justifiées par l’entreprise, les équipes de sécurité doivent être capables de regarder au-delà des artefacts individuels pour découvrir des comportements et d’autres modèles qui peuvent indiquer une compromission. Ces schémas varient en fonction du type de menace d’initié.
La probabilité de détecter un initié, et les points du cycle de vie de l’attaque où ils sont susceptibles d’être découverts est différente pour chaque type de menace d’initié. Les initiés négligents peuvent être détectés en identifiant leurs vulnérabilités existantes avant qu’elles ne soient compromises, en identifiant quand leurs informations d’identification sont compromises ou si leurs informations d’identification sont exploitées pour le commandement et le contrôle, ou en découvrant un mouvement latéral inhabituel qui provient de cet utilisateur. Les initiés collusoires sont le plus souvent détectés lorsqu’ils communiquent avec leurs collaborateurs externes malveillants ou leur transmettent des données. Les initiés malveillants peuvent avoir tendance à accéder ou à exfiltrer des informations dont ils n’ont pas besoin ou auxquelles ils ne devraient pas avoir accès. Les initiés tiers peuvent également être identifiés de toutes ces manières.
Lorsque l’on détecte des menaces d’initiés, il est vital que les organisations aient une image complète des appareils, des personnes et des autres entités sans avoir besoin de journaux ou d’agents de points de terminaison à travers leur réseau, car ceux-ci peuvent souvent ne pas être disponibles. Ces derniers doivent être suivis même lorsque les adresses IP changent, afin d’identifier les données et les modèles de comportement. Les équipes de sécurité doivent également avoir accès à un contexte complet autour de ces entités, y compris les profils des appareils et des utilisateurs ayant une fonction commerciale, les adresses e-mail, les domaines visités, les fichiers consultés, les relations et plus encore.
Détection des menaces d’initiés & Investigation
Awake détecte les attaques de menaces d’initiés qui se fondent dans une activité justifiée par l’entreprise en identifiant les anomalies et les mauvaises intentions. La plateforme de détection et de réponse réseau Awake analyse les données de capture de paquets complets pour extraire des centaines de signaux pertinents pour la sécurité, déduisant et profilant des entités telles que des appareils et des domaines, ainsi que leurs comportements et leurs relations. Elle capture également les connaissances institutionnelles de l’équipe, notamment le contexte commercial qui peut éclairer les rôles des utilisateurs et les comportements de base. La plateforme permet ensuite la détection comportementale des TTP des attaquants et des menaces spécifiques à l’organisation. Toute l’activité est corrélée dans une chronologie des menaces qui englobe les CIO, les TTP et les logiciels non malveillants. Ce processus permet un triage automatique avec des scores de risque pour chaque appareil et domaine.
Ce niveau de visibilité et d’analyse forensique détaillée n’était auparavant possible que pour les experts en sécurité les plus sophistiqués du monde, et même dans ce cas, n’était possible que par un processus manuel et chronophage signifiant que les menaces d’initiés étaient découvertes tardivement, voire pas du tout. Awake a rendu la détection des menaces d’initiés accessible à toute organisation, quels que soient sa taille, son budget ou son degré de sophistication, permettant aux équipes de sécurité de mener une réponse concluante et rapide en exploitant les renseignements exhaustifs du réseau.
Voir aussi
- Solving the enigmatic insider threat within
- Lateral Movement Detection via Remote Service Creation
- Lessons for Security Teams from the Season’s Mega Breaches
.