AVIS D’EXPERT. On appelle menace d’initié le comportement cybercriminel d’une personne en interne, a priori de confiance (employé, sous-traitant, fournisseur, partenaire, etc.). Généralement, la malveillance est délibérée, mais parfois l’initié ignore qu’il agit sous l’influence d’un agresseur extérieur. Dans les deux cas, il utilise abusivement son accès et ses privilèges à des fins illicites.
Thomas Manierre, directeur EMEA Sud de BeyondTrust, nous décrypte ici ces menaces, à la fois les menaces les plus difficiles à détecter et potentiellement les plus dommageables.
Auparavant, ces attaques étaient régulièrement relayées dans les médias. Mais, depuis quelques années, les entreprises victimes tendent plutôt à garder le silence pour éviter toute mauvaise publicité. L’exemple classique d’une menace d’initié est le vol de listes de clients par un employé avant son départ de l’entreprise. A l’ère du numérique et de l’Internet, un initié peut facilement détourner de gros volumes de données sans que quiconque ne s’en rende compte. On se rappelle notamment des cas d’Edward Snowden, le lanceur d’alerte auto-proclamé qui en fait travaillait pour la NSA, ou de celui de l’Elliot Greenleaf Law Firm avec l’exfiltration et la suppression d’informations sensibles par plusieurs juristes. Si la technologie moderne facilite incontestablement les agissements d’initiés au détriment de l’entreprise, c’est un sujet rarement abordé. Mais les professionnels de la sécurité sont bien informés de ses risques et savent qu’il suffirait de bloquer les autorisations pour limiter ou atténuer nombre de risques liés à ces attaques.
7 questions pour évaluer la vulnérabilité de l’entreprise aux menaces d’initiés
Il s’agit de se poser les questions suivantes :
- Combien de personnes ont accès à des informations sensibles en masse ?
- Qui peut exporter de gros volumes d’information sur simple requête ou via un système tiers ?
- Tous les comptes actifs sont-ils valides ?
- Les comptes sont-ils attribués à des personnes qui sont toujours sous contrat avec l’entreprise ou employées par des tierces parties ?
- Comment sont identifiés les comptes illicites ou de shadow IT ?
- À quelle fréquence les mots de passe des comptes sensibles sont-ils changés ?
- Les accès privilégiés aux systèmes et données sensibles sont-ils surveillés ?
Répondre honnêtement à ces questions pourrait bien ouvrir la boîte de Pandore. Mais il faut bien comprendre son niveau de risque avant de décider des mesures de protection à déployer en priorité.
Les principaux indicateurs et comment les détecter
Le meilleur moyen de détecter des menaces d’initiés est de surveiller les indicateurs de compromission (IoC) pouvant être reliés à des comportements inappropriés. Parfois, il est difficile de distinguer ces indicateurs de la conduite normale des opérations, mais il y a toujours un indice pouvant laisser penser que l’intention est malveillante. Voici quelques indicateurs de menaces d’initiés et les méthodes permettant de les détecter :
- Le déplacement inhabituel d’informations sensibles : il convient de surveiller chaque fois que des données ou informations sont déplacées vers une destination atypique ou non autorisée. Rien que les interactions d’individus non autorisés avec des données sensibles peuvent être un indicateur de compromission, assez facile à détecter sur la base des identités et des journaux d’accès. Mais si l’initié interagit fréquemment et normalement avec les données, alors c’est la destination inhabituelle qui pourra laisser penser à une activité illicite : supports amovibles non autorisés, clés USB, solutions de stockage dans le cloud et même e-mails.
- Une intensité anormale de recherches sur le réseau : on se trompe en pensant qu’un initié malveillant saura quelles données viser et où les trouver. Ce n’est pas toujours le cas. Certains feront volontiers des recherches sur les réseaux, les intranets, les ports, les applications, etc. cherchant des informations sensibles à extraire et valoriser. Il est donc recommandé de surveiller les applications et identités qui opèrent de larges recherches et scannent les réseaux en quête de fichiers, buckets et applications pour tenter d’obtenir des informations au sein d’une chaîne d’attaque.
- Des accès inhabituels et des anomalies de connexion : si un initié non autorisé à accéder à des données ou systèmes dans ses fonctions se met soudainement à multiplier les tentatives d’accès, il est possible qu’une attaque d’initié soit en cours. Il faut absolument surveiller les activités d’authentification et d’autorisation pour détecter des indicateurs de compromission. Pour obtenir un point de vue sur l’ensemble des actifs d’une entreprise, il faut pouvoir consolider les fichiers journaux dans un outil SIEM. Les activités ponctuelles aideront à identifier les anomalies potentielles, surtout si l’accès est récent. Ceci va au-delà de la correspondance de patterns au sein d’un SIEM et suppose de pouvoir investiguer des comportements ponctuels.
- L’utilisation abusive d’outils natifs ou déjà installés : les initiés mal intentionnés utilisent souvent des outils leur permettant d’extraire des informations de certains systèmes pour parvenir à leurs fins. La détection d’outils étrangers peut donc être un indicateur de compromission. Mais un initié avisé procédera à une attaque Living-off the land (LotL), à savoir via des outils natifs et d’autres outils de confiance pour faire progresser son attaque. Dans ce cas, c’est le comportement qui devient le principal indicateur de compromission. Parmi les comportements qu’il convient de surveiller, on compte les accès en dehors des heures ouvrées, les accès sans contrôle des changements et les accès réseau depuis des lieux inhabituels ou depuis l’étranger. Le contrôle avancé des applications qui protège également contre les menaces sans fichier, comme l’utilisation abusive d’applications de confiance, est très utile pour identifier ces activités d’initiés et se protéger contre les menaces.
Éviter les fuites de données suite à des attaques d’initiés
La réussite des menaces d’initiés doit beaucoup à des privilèges excessifs/mal gérés et/ou à une gestion insuffisante de la sécurité, des vulnérabilités, de la configuration, des audits/fichiers journaux. En appliquant 10 des meilleures pratiques de sécurité, il est possible d’en atténuer les risques :
- Instaurer le principe de moindre privilège et la séparation des privilèges
- Restreindre l’accès aux données aux administrateurs ou à certains employés selon leur rôle
- Affiner les politiques de gestion des identités et des accès (IAM)
- Utiliser des gestionnaires de mots de passe d’entreprise
- Exercer une surveillance robuste du comportement des utilisateurs et de l’activité sur le réseau
- Installer des antivirus ou solutions de protection des terminaux et les maintenir à jour
- Activer les mises à jour automatiques de Windows et des applications de tiers, ou déployer une solution de gestion des correctifs pour les appliquer dès qu’ils sont disponibles
- Utiliser une solution de gestion ou d’évaluation des vulnérabilités
- Déployer une solution Application Control avec Trusted Application Protection (TAP) pour garantir que seules les applications autorisées puissent être exécutées avec les privilèges requis
- Chaque fois que possible, segmenter les utilisateurs des systèmes et des ressources
Rares sont les entreprises qui observent à la lettre tous ces contrôles de sécurité pourtant ces 10 mesures recommandées peuvent grandement aider à protéger les entreprises contre les menaces d’initiés et d’autres vecteurs d’attaque.
Thomas Manierre, directeur EMEA Sud de BeyondTrust
