Les menaces d’initiés confirment l’importance d’un SIEM géré

 

L’histoire sur la manière dont la Grèce antique a battu la ville solidement fortifiée de Troie représente une mise en garde pour la cybersécurité.

Peu importe à quel point la cybersécurité préventive peut sembler impénétrable, il existe toujours un moyen de s’infiltrer. Et l’un des meilleurs moyens est de recourir à un proxy via un cheval de Troie de personnes de confiance ou d’employés internes.

Ce n’est pas une coïncidence qu’une forme trompeuse du logiciel malveillant soit appelée « cheval de Troie ». Plus que jamais, les organisations doivent aujourd’hui disposer d’une surveillance 24 h/24, 7 j/7 et de capacités de détection généralement disponibles dans le SOC (Security Operations Center), qui comprennent une solution SIEM (Security Information and Event Management).

Bien que la cyber-forteresse d’une entreprise n’ouvre pas les portes à un package malveillant fourni par un acteur malveillant, elle ouvre les portes tous les jours à une autre cybermenace potentiellement dangereuse. Ses propres employés.

Le risque croissant de menaces d’initié

En fait, ces trois dernières années, les menaces d’initié ont connu une augmentation de 47 %. Pire encore, le 2020 Insider Threat Report de Cybersecurity Insiders indique que ces menaces deviennent de plus en plus fréquentes et complexes à détecter, tout en causant des dommages toujours plus lourds. C’est pourquoi les solutions de Security Operations pouvant traiter les besoins en détection des menaces et mesures d’intervention de votre organisation sont si critiques. Exploitant le savoir-faire des analystes de sécurité avec des solutions SIEM, des sources de renseignements sur les menaces et les toutes dernières technologies, un fournisseur de Security Operations gérées vous permet de découvrir et d’atténuer les menaces avant qu’elles ne fassent de réels dommages.

Le risque lié à un employé « cheval de Troie »

Pourquoi les menaces d’initié sont-elles importantes ? Car les résultats peuvent être dévastateurs. Ces initiés dangereux pourraient détruire la réputation de votre entreprise, vous coûter des millions de pertes financières et d’amendes réglementaires, compromettre les données de vos clients et faire fuir des clients, entre autres dommages.

Les initiés les plus dangereux sont les utilisateurs et les administrateurs privilégiés, les employés normaux, les tiers et les employés temporaires, ainsi que les cadres supérieurs ayant accès aux informations les plus confidentielles et sensibles. Les initiés violent généralement vos systèmes délibérément, accidentellement ou via un vol de données, lorsqu’un étranger vole et utilise leurs identifiants.

Selon le dernier rapport de Tessian, la plupart des entreprises se reposent sur la formation de sensibilisation à la sécurité, mais la négligence est la plus fréquente dans les sociétés fournissant les plus grands nombres de formations. En fait, la formation de sensibilisation à la sécurité des employés devient aussi inutile que les remparts de Troie avec un cheval rempli de soldats ennemis.

Un groupe d'employés à leurs ordinateurs à l'intérieur d'un bureau à la mode.

Incidents récents de menace interne

Les gros titres incessants des médias soulignent la menace que représentent les initiés. Voici un aperçu de ce qui s’est passé rien que l’année dernière :

En janvier 2020, dans un exemple majeur de vol de données, des pirates informatiques ont compromis les identifiants de deux employés de Marriott pour pirater 5,2 millions de dossiers des clients de Marriott. Ces dossiers contenaient des informations sensibles qui comprenaient les détails des comptes de fidélisation et des préférences personnelles. Plus grave encore : il a fallu quatre semaines pour que Marriott détecte la violation. Bien que Marriot ait gagné son procès, l’hôtel a dû payer une amande de 23,9 millions de dollars au début de l’année pour une violation de 2014, et sa réputation en matière de sécurité des données a encore été ébranlée.

Neuf mois plus tard, le service fiscal d’un cadre supérieur d’Amazon a été accusé d’avoir divulgué des données financières confidentielles d’Amazon à des membres de sa famille afin qu’ils puissent faire des opérations avec. Amazon a perdu 1,43 million de dollars. Cette violation est un parfait exemple d’activité criminelle d’initié.

La célèbre violation d’Equifax, qui a eu pour conséquence le vol des documents de plus de 164 millions de clients, n’est survenue que parce qu’un simple employé n’a pas tenu compte des avertissements et n’a pas mis à jour le système. Bien que la violation ait été divulguée en 2017, le gouvernement américain l’a localisée dans la People’s Liberation Army en 2020. L’incident Equifax a illustré comment une activité négligente accidentelle peut avoir des conséquences catastrophiques. Equifax a connu une montée en flèche du roulement de personnel dans l’entreprise, 1,4 milliard de dollars de frais de nettoyage, 1,38 milliard de dollars de réclamations client et un déclassement de Moody dans les notations financières.

Comment détecter les menaces d’initié ? Vous avez besoin de capacités permanentes de surveillance, de détection et de réponse, ainsi que d’autres solutions de Security Operations pour réduire le risque et assurer la protection de votre organisation. 

Analyste de cybersécurité surveillant cinq écrans différents.

Les solutions Security Operations aident à stopper les menaces d’initié et les autres attaques

La sécurité doit exister au sein de la forteresse réseau, raison pour laquelle les Security Operations sont si critiques pour surveiller et détecter les menaces, ainsi que pour aider votre équipe à intervenir sur site et dans le cloud. En surveillant le trafic et l’activité réseau, et en passant au crible d’importantes quantités de données et d’alertes de sécurité un jour donné, ces solutions font partie d’une stratégie de cybersécurité complète vous aidant à détecter le danger de manière précoce, avant que les pirates informatiques ne puissent agir.

Au contraire des SIEM existants qui géraient des systèmes fermés et étaient mal équipés pour traiter le big data, les experts en Security Operations actuels exploitent les SIEM qui collectent vos fichiers journaux, alertes de sécurité et événements de façon centralisée. Depuis vos pare-feu, vos points de terminaison, vos systèmes de détection des intrusions et bien plus encore, les équipes de sécurité peuvent plus facilement analyser ces informations.

Pour apprécier le côté pratique, pensez qu’à une époque, les analystes devaient passer péniblement d’un produit de sécurité à un autre pour effectuer des recherches. S’ils trouvaient une activité anormale, ils devaient également passer du temps à l’éliminer sur chaque point.

Maintenant, les SOC profitent d’une plate-forme centrale de big data qui fournit un seul emplacement pour l’analyse et le traitement de ces menaces. Une telle solution alerte instantanément vos analystes des menaces de sécurité en temps réel au sein de tous vos environnements cloud, sur site ou hybrides.

Le cas des Security Operations gérées

Les SIEM peuvent être utilisés à différentes fins, raison pour laquelle ils sont la plate-forme de base des SOC (Security Operations Center). Certaines entreprises utilisent les SIEM pour la protection contre les menaces d’initié (ou chasse aux menaces), qui opère sous la forme d’une recherche proactive d’activités inhabituelles à l’intérieur de leurs organisations. Les SOC utilisent également les SIEM pour préparer les audits à des fins de conformité et pour rechercher les incidents de sécurité antérieurs.

Qui plus est, ils fournissent également des fonctionnalités qui comprennent le stockage des données, l’agrégation des renseignements sur les menaces, la détection des menaces et la notification. Cela permet d’assurer la conformité de votre organisation avec les réglementations gouvernementales. Le problème ? Les SIEM présentent des coûts importants et sont extrêmement difficiles à déployer et à gérer.

C’est pourquoi de nombreuses entreprises découvrent la valeur et la protection complète que leur offrent des fournisseurs de Security Operations gérées, tels qu’Arctic Wolf. Une équipe de Security Operations à temps plein 24 h/24 7 j/7 est ainsi inutile.

Notre  Concierge Security® Team utilise l’Arctic Wolf® Platform cloud native pour déterminer quelles alertes envoyer à votre équipe, afin que vous puissiez vous concentrer sur les menaces les plus importantes et obtenir de la visibilité afin de détecter rapidement et d’éliminer l’éventuelle activité des pirates informatiques, que ce soit sous la forme d’hameçonnage ou même d’une menace interne.

En savoir plus sur la manière dont la solution Security Operations d’Arctic Wolf peut protéger votre organisation des cybermenaces complexes actuelles.

Arctic Wolf

Arctic Wolf

Arctic Wolf provides your team with 24x7 coverage, security operations expertise, and strategically tailored security recommendations to continuously improve your overall posture.
Share :
Table of Contents
Sujet