Menaces internes en Cybersécurité: Comprendre les risques et les types de dangers

15 septembre 2020
Vectra AI Security Research team
Cybersécurité
Menaces internes en Cybersécurité: Comprendre les risques et les types de dangers

Alors que les gouvernements et les organisations renforcent la protection de leurs données et de leurs infrastructures en réponse aux affaires de dénonciation des autorités fédérales, quel danger représentent les individus malveillants et négligents en interne, et quels types de menaces existent-ils ? Comment faire la différence ?

Définition de la malveillance et de la négligence

Selon l'équipe d'intervention en cas d'urgence informatique (CERT) de l'université Carnegie Mellon, un initié malveillant est un employé ou un contractant, actuel ou ancien, qui a délibérément exploité ou dépassé le niveau autorisé d'accès au réseau, au système ou aux données d'une manière qui a affecté la sécurité des données, des systèmes ou des opérations commerciales quotidiennes de l'organisation.

Seule une fraction des incidents survenus sur le site individu sont intentionnellement planifiés et exécutés. De nombreux incidents sont dus à la négligence. Il peut s'agir d'un employé qui dépasse involontairement les niveaux d'accès autorisés, permettant éventuellement à d'autres d'agir en son nom, et nuisant ainsi à l'organisation. Une partie externe ou interne malveillante peut alors être à l'origine de l'incident final. Dans une étude réalisée en 2019 par Forrester Research, 57 % des personnes interrogées ont attribué leurs attaques internes à des intentions malveillantes, 35 % à une mauvaise utilisation par inadvertance et 7 % à une combinaison de ces facteurs.

Récemment, nous avons vu des cas où des personnes extérieures ont essayé [et échoué] d'exploiter des personnes internes par la corruption et d'autres moyens. À la mi-2020, un ressortissant russe a offert un million de dollars à un employé de Tesla pour qu'il implante un logiciel malveillant dans le réseau informatique de l'usine de sous-assemblage de véhicules électriques de l'entreprise, située près de Reno, dans le Nevada.

Selon le FBI, une fois le logiciel malveillant installé, le ressortissant russe et ses associés avaient l'intention d'accéder aux fichiers internes de Tesla, d'exfiltrer des données et de faire chanter l'entreprise pour qu'elle paie une rançon. Les malfaiteurs auraient même donné à l'employé un téléphone jetable, en lui demandant de le laisser en mode avion jusqu'à ce que l'argent ait été transféré. Mais l'employé, qui avait un accès direct au réseau de l'entreprise, a contacté le FBI pour l'aider à arrêter les coupables présumés.

Initiés malveillants

Dans le cas d'initiés malveillants, l'objectif est très souvent la destruction, la corruption ou le vol. Alors que le vol a souvent un avantage pécuniaire, la destruction et la corruption peuvent provenir d'employés mécontents et être dirigées contre l'organisation dans son ensemble ou contre des collègues spécifiques. En bref, tout est question d'intention.

Par exemple, une personne mécontente ( individu ) décide de voler les identifiants d'un collègue et de se connecter avec ces identifiants pour consulter des sites web douteux. Le but ultime est de discréditer le collègue en faisant en sorte que le service informatique remarque les violations et les signale aux ressources humaines ou au supérieur hiérarchique du collègue. Aussi simple que puisse paraître cet exemple, il contient un certain nombre de schémas communs de préparation et d'exécution que l'on retrouve dans de nombreux cas de menaces sur individu . Ces schémas sont souvent révélés et observés en employant des outils de gestion de la sécurité. Ils sont souvent révélés et observés par l'utilisation de la technologie.

La première étape est celle de l'exploration et de l'expérimentation, au cours de laquelle le mécontent individu trouve comment voler les informations d'identification, par exemple en effectuant des recherches sur Google. Ensuite, individu essaie plusieurs méthodes d'extraction pour s'assurer qu'elles fonctionnent dans l'environnement local.

Après avoir choisi une méthode viable, le individu passe en mode exécution en volant et en utilisant les informations d'identification de son collègue. L'étape finale est la fuite ou l'évasion par la suppression et l'effacement des preuves qui pourraient mener au mécontent individu. L'ensemble du processus ressemble étonnamment à l'approche qu'utiliserait un acteur de menace externe.

Les initiés négligents

L'exemple suivant montre qu'une personne mécontente ( individu ) peut agir au nom d'une partie extérieure pour infliger des dommages importants à une entreprise.

Un tiers sollicite l'administrateur système d'une petite entreprise technologique pour qu'il installe un logiciel de surveillance sur le réseau de l'organisation en échange d'une somme d'argent. L'administrateur système, récemment rétrogradé, décide d'installer le logiciel avant de quitter l'entreprise pour un autre emploi.

Là encore, le individu commence par explorer et expérimenter en installant le logiciel sur une machine de test afin d'évaluer son empreinte réseau et sa détectabilité sur le réseau. Convaincu que le logiciel ne peut pas être facilement découvert ou retracé, le individu l'installe en utilisant le compte d'un collègue et efface les preuves.

Le individu négligent ne vole pas activement des informations et ne bénéficiera pas directement de ses actions, alors que le individu malveillant le fera.

Quelle est l'importance de la menace provenant de l'intérieur des organisations ?

Il est intéressant de noter que les catégories d'incidents les plus fréquentes sur le site individu concernent l'exposition involontaire de données sensibles par une personne négligente ( individu ) et le vol de propriété intellectuelle par une personne malveillante ( individu).

À la lumière de ces chiffres, si vous pensez toujours que votre organisation est en sécurité, gardez à l'esprit que 87 % de tous les employés de bureau emportent des données avec eux lorsqu'ils changent d'emploi, et que les organisations ont généralement un taux de rotation annuel d'environ 3 %.

C'est le mois de la sensibilisation aux menaces individu . Si vous souhaitez savoir comment Vectra peut vous aider, vous pouvez planifier une démonstration.