Prenez les plus gros piratages de données : Equifax, Target, NSA, Wikileaks, Yahoo, Sony. Tous ont un point commun : les fuites de données venaient de l’intérieur.
Cela ne veut pas dire pour autant que les hackers étaient des employés ou des prestataires, mais une fois que les hackers ont passé la sécurité périphérique, cela fait-il une différence ? De l’extérieur, leurs activités se ressemblent toutes.
Nous rédigeons tant d’articles sur ces phénomènes. Une fois qu’un hacker est parvenu à pénétrer sur le réseau, il a généralement à sa disposition tout ce dont il a besoin pour trouver (et tenter d’exfiltrer) les informations clés qui feront les gros titres : données personnelles, e-mails, documents professionnels, numéros de carte de crédit, etc.
La question devient donc : votre équipe de sécurité des données est-elle en mesure de se rendre compte que le hacker est à l’intérieur, avant qu’il ne soit trop tard ?
Outre votre pare-feu, vos routeurs et votre logiciel de surveillance du réseau, il est impératif que vous surveilliez aussi ce qui est à l’intérieur : comportement des utilisateurs, activité effectuée sur les fichiers, accès aux dossiers et modifications apportées dans AD.
Le périmètre a été franchi
Prenons le scénario suivant : un hacker a accédé à un compte utilisateur et tente de télécharger les données de propriété intellectuelle stockées sur OneDrive. Les premières tentatives d’accès aux données ont échoué mais le hacker persiste et fouille jusqu’à trouver un compte disposant de l’accès dont il a besoin pour lire les fichiers.
Même en surveillant les opérations effectuées sur les fichiers, ce type d’activité est difficile à différencier d’un clic sur le dossier par l’utilisateur qui tente d’y accéder.
Et c’est là que nous entrons en scène. Varonis analyse toutes ces tentatives d’accès à cette partition OneDrive dans leur contexte, en s’appuyant sur l’analyse du comportement des utilisateurs (UBA). De là, vous pouvez utiliser les modèles de menaces Varonis pour analyser et comparer cette activité aux comportements connus de l’utilisateur qui tente d’accéder à ces données, ainsi qu’aux comportements de ses pairs et des hackers qui cherchent à s’infiltrer dans les réseaux de l’entreprise.
Dans ce scénario, ce compte accède tout à coup à des données sensibles classifiées auxquelles il n’avait jamais touché auparavant. C’est un signal d’alerte, et nous possédons des modèles de menaces spécialement conçus pour détecter ce type de comportement.
Cette activité sort du schéma comportemental normal pour le compte exploité par le hacker, et comme Varonis surveille l’ensemble de l’activité de OneDrive depuis plus d’un an, vous avez en main toutes les preuves nécessaires pour agir immédiatement.
Sans Varonis, vous n’auriez probablement jamais repéré les tentatives d’accès à ce dossier OneDrive. Vous n’auriez jamais remarqué que les fichiers étaient en train d’être copiés depuis ce dossier et vous n’auriez pas vu à quel dossier le hacker a accédé ensuite.
Enquête et analyse légale
La première étape consiste à verrouiller et déconnecter ce compte par programmation, des opérations que vous pouvez automatiser avec Varonis. Dans le même temps, des e-mails et alertes peuvent être envoyées à l’équipe de sécurité informatique et/ou à un système SIEM. Une fois les parties impliquées informées, le travail d’investigation peut commercer.
Mais par où commencer ? Déterminez ce qui s’est passé, comment cela s’est produit, quelles vulnérabilités ont été exploitées et ce que vous pouvez faire pour que le problème ne se reproduise plus. Avec l’interface utilisateur Varonis DatAdvantage, vous pouvez extraire l’historique d’audit de fichier de l’identifiant utilisateur piraté pour voir à quels endroits le compte est aussi allé avant que l’alerte n’ait été donnée.
Utilisez la piste d’audit de fichier complète pour identifier les dommages occasionnés (le cas échéant) et verrouiller l’accès à tout le système si nécessaire. Une fois la menace initiale neutralisée, vous pouvez commencer à boucher les trous.
La Plate-forme de sécurité Varonis est un élément clé d’un système de sécurité en couches. Les couches créent une redondance et c’est cette redondance qui augmente la sécurité. Les hackers trouveront et exploiteront tout ce qu’ils peuvent ; il est de notre responsabilité de protéger les données privées de chacun.
En apprenant à utiliser les bons outils et à appliquer des principes sains de sécurité des données, nous pouvons mener la vie dure aux scélérats qui cherchent à tirer profit du piratage et limiter ainsi l’impact des fuites de données.
Vous voulez voir Varonis à l’œuvre dans votre propre environnement pour bloquer ces types de menaces internes ? Cliquez ici pour convenir d’une démonstration avec un de nos experts en sécurité.
