Le travail à domicile : les menaces de l’interne et les attaques externes
Nous avons ciblé 10 éléments dont toute organisation devrait surveiller spécifiquement durant cette période où les activités externes et internes augmentent les risques de menaces. Voici une explication sur comment Netwrix peut vous aider avec des mises en situation.
Mise en contexte
Laura : l’employée qui veut travailler à partir de la maison durant la pandémie, mais qui aimerait aussi continuer à le faire à l’occasion après. Elle reçoit plusieurs offres malicieuses de Paul.
But : travailler quand elle veut et d’où elle veut dans sa maison sans recevoir des courriels d’avis de sécurité sur les meilleures pratiques de Martin à tous les jours.
Martin : est le responsable TI de l’entreprise qui s’assurer que la sécurité n’est pas compromise. Sans augmenter sa charge de travail.
But : permettre à Laura et ses collègues de travailler de leur maison et garder Paul loin des informations sensibles de l’entreprise.
Paul : est un pirate informatique qui lui travail toujours dans le confort de son sous-sol à longueur d’année, pandémie ou pas.
But : compromettre le compte de Laura et passer sous le radar de Martin pour accéder à des données.
#1 des menaces internes : Connexions VPN
Laura, l’employée, doit utiliser le VPN pour accéder aux ressources de l’entreprise dont elle a besoin travailler.
Problème : elle utilise son ordinateur personnel vu qu’elle n’a pas d’ordinateur portable fourni par l’entreprise et il n’est pas sécurisé comme son ordinateur du bureau.
Martin, le responsable des TI, n’a normalement que quelques VPN ouverts à surveiller.
Avec Netwrix Auditor pour équipements réseaux, il peut facilement réviser les informations détaillées de toutes les connexions de ses utilisateurs en télétravail et identifier rapidement les connexions suspectes provenant de périphériques non sécures ou durant des heures anormales. De plus Netwrix surveille les connexions avec succès et en échec.
Lorsque Paul tente de compromettre la connexion VPN de Laura, Martin est en mesure de le détecter et de le bloquer.
#2 des menaces internes : Les téléchargements de données de l’entreprise
Laura, l’employée, consulte plusieurs documents durant sa journée et télécharge ceux-ci sur l’ordinateur avec lequel elle travaille pour y avoir accès à tout moment, afin de ne pas avoir à se reconnecter à chaque fois. Elle laisse aussi régulièrement sa connexion VPN ouverte.
Problème : elle télécharge des documents confidentiels sur son ordinateur personnel non sécurisé par l’entreprise et ils y resteront pour une période indéterminée.
Martin, le responsable TI, s’assure que les ordinateurs de l’entreprise sont bien protégés par ses sécurités d’entreprises sur son réseau et lorsqu’ils sont mobiles.
Avec Netwrix Auditor pour Sharepoint, serveur de fichier et périphériques réseau, il peut facilement détecter s’il y a un téléchargement anormal de SharePoint en ligne, sur un serveur de fichier ou encore un volume excédant 1GB de données à travers une connexion VPN ce qui indique que beaucoup de documents sortent de l’entreprise.
Lorsque Paul, le pirate, accède au réseau de l’entreprise grâce au compte de Laura pour y extraire des données sensibles, Martin le détecte et le bloque.
De plus si Laura télécharge beaucoup de documents, Martin en est informé et peut l’aviser afin d’éviter que du contenu de l’entreprise ne se retrouve sur son ordinateur personnel et que Paul y accède.
#3 des menaces internes : L’élévation de privilège
Laura, l’employée, utilise la plateforme infonuagique de l’entreprise beaucoup plus fréquemment maintenant.
Problème : des données sensibles se trouvent exposées dans MS TEAMS (Exemple) sans contrôle sur les actions qui peuvent faites avec celles-ci. Elle peut inviter d’autres collègues ou des invités externes dans des équipes sans prendre de précautions à savoir si ceux-ci ont le droit d’accéder à celles-ci.
Martin, le responsable TI, contrôle les accès des utilisateurs et des membres des groupes d’accès dans son active directory.
Avec Netwrix Auditor pour Azure AD, il peut facilement détecter des utilisateurs qui se sont vu donner accès à des données par élévation de privilège, annuler cet accès et s’informer si celui-ci devrait vraiment avoir accès à ces données de façon permanente ou temporaire.
Lorsque, Laura ajoute des membres à son équipe pour leur partager du contenu et autres, Martin s’assure que seul le contenu autorisé s’y retrouve.
#4 des menaces internes : Les niveaux d’activités non autorisés
Laura, l’employée, travaille de chez elle et a le sentiment d’être seule au monde sans personne qui la surveille.
Problème : elle peut fouiller un peu partout sur le réseau et tenter d’accéder à des endroits où elle ne devrait pas normalement. C’est une question de temps avant qu’elle accède à des données qu’elle ne devrait pas.
Martin, le responsable TI, en temps normal n’a qu’un volume limité d’activité d’anormal à surveiller et à sa façon de le faire. En ce moment il est en équipe réduite avec une charge de travail supérieur.
Avec Netwrix Auditor pour AD, Azure AD, Serveur Windows et Serveur de fichier, il peut facilement identifier les niveaux anormaux d’activités et les utilisateurs concernés afin de prendre action immédiatement (détecter, enquêter et résoudre), pour éviter que des données soient accédé par des utilisateurs n’y ayant pas droit.
Lorsque Laura tente d’avoir accès à des données dont elle n’a pas le droit, Martin peut l’en aviser rapidement et elle comprendra que même si elle est chez elle, elle ne peut pas faire ce qu’elle veut.
#5 des menaces internes : L’accès à des données non autorisé.
Laura, l’employée, travaille de chez elle et a le sentiment d’être seule au monde sans personne qui la surveille.
Problème : elle peut fouiller un peu partout sur le réseau et tenter d’accéder à des endroits où elle ne devrait pas normalement. C’est une question de temps avant qu’elle accède à des données qu’elle ne devrait pas.
Martin, le responsable TI, en temps normal n’a qu’un volume limité d’accès non autorisé à surveiller et à sa façon de le faire. En ce moment il est en équipe réduite avec une charge de travail supérieur.
Avec Netwrix Auditor pour AD, Azure AD, Serveur Windows, Serveur de fichier et DATA Classification, il peut facilement valider si seulement les utilisateurs autorisés ont accès aux données sensibles et rapidement détecter les accès non autorisés et quelles activités a été fait avec celles-ci.
Lorsque Laura, tente d’avoir accès ou accède à des données dont elle n’a pas le droit, Martin peut vérifier ce qu’elle a tenté d’accéder ou a fait avec celles-ci. Il peut prendre action avec assurance sur ces évènements.
#1 des menaces externes : Les intrusions ‘’Bruteforce’’
Paul, le pirate, avec ses multitudes de robots peut facilement et sans effort essayer de compromettre des comptes d’utilisateurs avec de vraies attaques ‘’bruteforce’’.
Problème : les tentatives de connexions automatisées passent souvent inaperçu vu l’augmentation du volume du nombre connexions réussies et en échec, elles sont noyées dans la masse.
Martin, le responsable TI, s’attend à un volume plus élevé d’échec de connexion vu la situation, mais n’a pas le temps de les repasser tous pour en trouver qui serait des attaques.
Avec Netwrix Auditor AD, Azure AD, périphériques réseaux ou autres services acceptant des connexions, il pourrait facilement détecter et répondre aux hauts niveaux d’activités d’échec de connexion, tentative de connexion via plusieurs IP, plusieurs périphériques et autres signes d’attaque automatisés.
Lorsque Paul lance son attaque contre l’entreprise de Martin, ses robots n’arrivent pas à trouver de mot d’utilisateurs parce que leurs tentatives sont bloquées et il décide de passer à une autre entreprise après un certain temps, car il est paresseux et cherche celles qui sont faciles à pénétrer.
#2 des menaces externes : La sécurité des serveurs
Paul, le pirate, obtient les clés du château en profitant des brèches de sécurité sur les serveurs web.
Problème : les serveurs web qui n’ont pas été mis à niveau avec les derniers correctifs représentent des points d’entrée qui court-circuite les restrictions de sécurités en place.
Martin, le responsable TI, est très occupé à s’assurer que son ADFS, ses VPN, ses serveurs Proxy fonctionnent tous ensemble en ce moment.
Avec Netwrix Auditor pour Serveurs Windows, il peut passer maximum 10 minutes à si un serveur a besoin d’un correctif de sécurité et identifier le risque inhérent pour ce correctif. Il enregistre aussi les activités sur un serveur du démarrage à son arrêt sou forme de vidéo, permet de voir ce qui aurait été fait sur un serveur compromis.
Lorsque Paul tente de trouver une faille par laquelle entrer, il n’en trouve aucune, car Martin a identifié celle qu’il fallait corriger rapidement représentant un risque élevé pour son entreprise.
#3 des menaces externes : L’élévation de privilège
Paul, le pirate, une fois qu’il est entré dans le réseau, il doit élever les privilèges du compte qu’il a compromis pour lui permettre de réaliser ses attaques.
Problème : donner beaucoup de temps au pirate afin qu’avec ses efforts, il trouve une façon de bien s’installer dans votre environnement.
Pour Martin, le responsable TI, il est difficile de garder un œil sur toutes les activités sur son AD, spécialement de ce temps-ci où il y a beaucoup de changements causés par le télétravail.
Avec Netwrix Auditor pour Active Directory, il peut détecter quand quelqu’un s’ajoute à un groupe critique, cibler un utilisateur faisant partie temporairement d’un groupe de privilèges, d’un utilisateur qui est créer dans l’Azure AD et supprimé avant la réplication AD Connect puis enquêter rapidement sur ces évènements.
Martin détecte rapidement les actions de Paul dans son réseau et lui bloque rapidement accès et l’empêche de causer des dommages.
#4 des menaces externes : Les rançongiciels
Paul, le pirate, est assis tranquillement dans son sous-sol en attendant que son ‘’rançongiciel-à-la-demande’’ démarre son attaque.
Problème : il y a toujours une chance qu’un employé permettre à un rançongiciel inclus dans les hameçonnages ou autres tactiques que Paul utilise pour entrer un sur le réseau de l’entreprise avec toutes ces nouvelles portes ouvertes pour le télétravail.
Pour Martin, les rançongiciels sont toujours une menace, mais il a tellement de tâches à faire, avec une équipe réduite, il a priorisé certaines choses plus que d’autres en ce moment.
Avec Netwrix Auditor pour serveurs Windows et autres modules, il peut détecter lorsqu’un volume anormal de fichiers sont lus, modifiés ou supprimés et contenir la menace. Et avec les réponses automatisées, apporter les correctifs rapidement.
Martin peut continuer de prioriser les services aux utilisateurs, car lorsque Paul installe son rançongiciel, il est détecté et des mesures automatisées l’empêchent de causer des dommages.
#5 des menaces externes : Les comptes utilisateurs compromis
Paul, le pirate, a pour but d’obtenir des portes ouvertes via des comptes qu’il a compromis, car ils lui permettent d’accéder à des données.
Problème : les pirates expérimentés savent passer sous le radar pour une longue période qui lui permet de prendre son temps pour trouver des données qu’il peut voler.
Pour Martin, le responsable TI, a besoin de concentrer ses efforts sur les activités qui requièrent réellement son attention et filtrer celles-ci de toutes celles qui surviennent.
Avec Netwrix Auditor et Netwrix Data Classification, il peut prioriser les utilisateurs à haut risque qui demandent une enquête immédiate. Il peut mettre en lumière facilement les activités en lien avec des données sensibles.
Martin repère rapidement les utilisateurs que Paul a compromis dans son tableau de bord des risques et remédie à la situation immédiatement.
Ce ne sont là que quelques éléments sur lesquels Netwrix peut aider les professionnels des TI durant cette période, mais aussi en tout temps. Il est offert en module annuel ou en formule mensuelle par utilisateur incluant plusieurs modules.
DANSLENUAGE.QUEBEC peut implanter Netwrix pour ou avec vous ainsi que réaliser un projet pilote, contactez-nous dès maintenant pour plus d’information!
CONTACTEZ-NOUS
Partager cet article