Qu’est-ce qu’une menace d’initié ? Les menaces d’initiés sont des utilisateurs ayant un accès légitime aux actifs de l’entreprise qui utilisent cet accès, de manière malveillante ou non, pour causer des dommages à l’entreprise. Les menaces d’initiés ne sont pas nécessairement des employés actuels, il peut aussi s’agir d’anciens employés, d’entrepreneurs ou de partenaires qui ont accès aux systèmes ou aux données d’une organisation.
Les menaces d’initiés représentant le vecteur principal de 60 % des violations de données, les organisations doivent examiner minutieusement les menaces qui franchissent leur porte chaque jour avec autant de rigueur qu’elles en font preuve lorsqu’elles sécurisent le périmètre contre les attaquants externes.
Pourquoi les menaces d’initiés sont-elles si dangereuses ?
Dans un rapport SANS de 2019 sur les menaces avancées, les praticiens de la sécurité ont identifié des lacunes majeures dans la défense contre les menaces d’initiés, motivées par un manque de visibilité sur une base de référence du comportement normal des utilisateurs ainsi que sur la gestion des comptes d’utilisateurs privilégiés, qui représentent une cible plus attrayante pour les cas de phishing ou de compromission des crédences.
Détecter les menaces d’initiés n’est pas une tâche facile pour les équipes de sécurité. L’initié a déjà un accès légitime aux informations et aux actifs de l’organisation et distinguer l’activité normale d’un utilisateur d’une activité potentiellement malveillante est un défi. Les initiés savent généralement où vivent les données sensibles au sein de l’organisation et disposent souvent de niveaux d’accès élevés.
En conséquence, une violation de données causée par un initié est nettement plus coûteuse pour les organisations que celle causée par un attaquant externe. Dans l’étude 2018 Cost of Insider Threats du Ponemon Institute, les chercheurs ont observé que le coût annuel moyen d’une menace d’initié était de 8,76 millions de dollars, tandis que le coût moyen d’une violation de données sur la même période était de 3,86 millions de dollars.
En savoir plus sur la détection des menaces d’initiés
4 types de menaces d’initiés
Bien que le terme de menace d’initiés ait été quelque peu coopté pour décrire un comportement strictement malveillant, il existe un spectre défini de menaces d’initiés. Tous les initiés ne se ressemblent pas et varient considérablement en termes de motivation, de sensibilisation, de niveau d’accès et d’intention.
Avec chaque type de menace d’initié, il existe différents contrôles techniques et non techniques que les organisations peuvent adopter pour renforcer la détection et la prévention. Gartner classe les menaces d’initiés en quatre catégories : le pion, le gogo, le collaborateur et le loup solitaire.
Pion
Les pions sont des employés qui sont manipulés pour exécuter des activités malveillantes, souvent involontairement, par le biais du spear phishing ou de l’ingénierie sociale. Qu’il s’agisse d’un employé involontaire qui télécharge un logiciel malveillant sur son poste de travail ou d’un utilisateur qui divulgue des informations d’identification à un tiers se faisant passer pour un employé du service d’assistance, ce vecteur est l’une des cibles les plus larges des attaquants qui cherchent à nuire à l’organisation.
Un exemple concerne Ubiquiti Networks, qui a été victime d’une attaque de spear-phishing dans laquelle des courriels provenant de cadres supérieurs demandaient aux employés de transférer 40 millions de dollars sur le compte bancaire d’une filiale. Les employés ne savaient pas à l’époque que les courriels étaient usurpés et que le compte bancaire était contrôlé par des fraudeurs.
La gaffe
Les gaffes n’agissent pas avec une intention malveillante mais prennent délibérément des mesures potentiellement nuisibles. Les goofs sont des utilisateurs ignorants ou arrogants qui croient être exemptés des politiques de sécurité, que ce soit par commodité ou par incompétence. Quatre-vingt-quinze pour cent des organisations ont des employés qui tentent activement de contourner les contrôles de sécurité et près de 90 % des incidents internes sont causés par des « goofs ». Un exemple de gaffe pourrait être un utilisateur qui stocke des informations personnelles identifiables (PII) non cryptées dans un compte de stockage en nuage pour y accéder facilement sur ses appareils, tout en sachant que cela va à l’encontre de la politique de sécurité.
Collaborateur
Les collaborateurs sont des utilisateurs qui coopèrent avec un tiers, souvent des concurrents et des États-nations, pour utiliser leur accès d’une manière qui cause intentionnellement du tort à l’organisation. Les collaborateurs utilisent généralement leur accès pour voler de la propriété intellectuelle et des informations sur les clients ou pour perturber les opérations commerciales normales.
Un exemple de collaborateur est Greg Chung, un ressortissant chinois et ancien employé de Boeing qui a thésaurisé des documents relatifs au programme de la navette spatiale pour les renvoyer en Chine. L’espionnage d’entreprise est également répandu avec les collaborateurs comme dans le cas d’Uber et de Waymo. Uber a embauché un ingénieur de Waymo qui était en possession d’une technologie confidentielle et exclusive de voiture autopilotée et l’aurait utilisée dans le cadre de son projet de voiture autopilotée.
Loup solitaire
Les loups solitaires sont entièrement indépendants et agissent de manière malveillante sans influence ou manipulation extérieure. Les loups solitaires sont particulièrement dangereux lorsqu’ils disposent de niveaux élevés de privilèges, comme les administrateurs système ou les administrateurs de BD. Un exemple classique de loup solitaire est Edward Snowden, qui a utilisé son accès aux systèmes classifiés pour divulguer des informations relatives au cyberespionnage à la NSA.
Comment lutter contre les menaces internes : Créer un plan de détection
Pour détecter efficacement les menaces d’initiés, les organisations doivent d’abord combler les lacunes en matière de visibilité en regroupant les données de sécurité dans une solution de surveillance centralisée, qu’il s’agisse d’une plateforme de gestion des informations et des événements de sécurité (SIEM) ou d’une solution autonome d’analyse du comportement des utilisateurs et des entités (UEBA). De nombreuses équipes commencent par les journaux d’accès, d’authentification et de changement de compte puis élargissent le champ d’application à d’autres sources de données telles que les journaux de réseaux privés virtuels (VPN) et de points d’extrémité à mesure que les cas d’utilisation de la menace d’initié mûrissent.
Une fois que les informations ont été centralisées, le comportement des utilisateurs peut être modélisé et des scores de risque liés à des événements à risque spécifiques peuvent être attribués, tels que les changements de géographie de l’utilisateur ou le téléchargement sur des supports amovibles. Avec suffisamment de données historiques, une ligne de base du comportement normal peut être créée pour chaque utilisateur individuel. Cette ligne de base indique l’état de fonctionnement normal d’un utilisateur ou d’une machine, de sorte que les écarts dans cette activité peuvent être signalés comme anormaux. Les écarts doivent être suivis non seulement pour un utilisateur spécifique, mais aussi par rapport à d’autres utilisateurs dans le même lieu, avec le même titre de poste ou la même fonction.
Les anomalies comportementales aident les équipes de sécurité à identifier quand un utilisateur est devenu un initié malveillant ou si ses informations d’identification ont été compromises par un attaquant externe. L’attribution de scores de risque donne également aux équipes du centre d’opérations de sécurité (SOC) la possibilité de surveiller les risques dans toute l’entreprise, qu’il s’agisse de créer des listes de surveillance ou de mettre en évidence les utilisateurs les plus à risque dans leur organisation. En adoptant une vue centrée sur l’utilisateur, les équipes de sécurité peuvent rapidement repérer l’activité des menaces d’initiés et gérer les risques liés aux utilisateurs à partir d’un emplacement centralisé au lieu de rassembler manuellement des points de données disparates qui, individuellement, peuvent ne pas donner une image complète.
Fermeture de la boucle avec la remédiation
Comme mentionné, les comptes à privilèges représentent des cibles de grande valeur pour les initiés. Il est important pour les organisations d’adopter une solution de gestion des accès privilégiés (PAM) et d’alimenter les données sur l’accès aux comptes privilégiés de cette solution dans leur SIEM. L’analyse comportementale de l’utilisateur peut détecter des choses telles que des tentatives de connexion anormales, ou plusieurs tentatives de mot de passe échouées et générer une alerte le cas échéant pour que l’analyste puisse la valider.
Une fois validée, un incident de menace d’initié pourrait être créé dans un système intégré d’orchestration, d’automatisation et de réponse de sécurité (SOAR), où le playbook peut spécifier quelle remédiation est nécessaire. La remédiation potentielle pourrait inclure l’interpellation de l’initié avec MFA, ou la révocation de l’accès, l’une ou l’autre pouvant être effectuée automatiquement dans la solution IAM.
Il existe plusieurs types de menaces d’initiés que les organisations doivent connaître et chacune présente différents symptômes que les équipes de sécurité doivent diagnostiquer. En comprenant les motivations des attaquants, les équipes de sécurité peuvent être plus proactives dans leur approche de la défense contre les menaces d’initiés.
En savoir plus sur la protection de votre organisation avec la gestion des accès privilégiés (PAM)
Ce blog a été récemment mis à jour en réaction à l' » attaque coordonnée d’ingénierie sociale » de juillet 2020 contre Twitter, afin d’inclure des informations sur la prévention et la remédiation à la suite de menaces d’initiés.