Questions que vous devez vous poser fréquemment :
- Quelles données ont été divulgé ?
- Quand est-ce que cela s'est terminée ?
- Qui l'a fait, et pourquoi ?
- Quelle est l'étendue des dommages ?
- Que peut-on faire pour limiter les risques futurs ?
- Où pouvez-vous trouver des réponses ?
Ce sont là des questions légitimes, et les professionnels de la sécurité le savent mieux que quiconque : enquêter sur une menace potentielle émanant d'une personne interne à l'entreprise peut prendre du temps (et être une tâche stressante). Sans les bons outils, processus et personnes de sécurité, le temps moyen de détection (MTTD) et le temps moyen de résolution (MTTR) peuvent être considérables.
La plupart des équipes de sécurité doivent extraire les données et les logs de plusieurs systèmes et emplacements pour essayer d'analyser ce qui s'est réellement passé, et rassembler des preuves irréfutables sur qui a fait quoi, pourquoi, quand et comment. Ils ont, comme on le dit trivialement, "le couteau sur la gorge". La direction s'attend à des réponses immédiates, ce qui peut être un gros problème.
Vous savez que vous ne pouvez pas répondre par un "je ne sais pas", "je ne suis pas sûr" ou "je vous rappelle dans quelques jours". Alors, que pouvez-vous faire ?
Comment accélérer les investigations sur les menaces internes ?
-
Obtenir un 'Replay'
Lorsque les gens parlent de menaces internes, ils parlent de trois principes fondamentaux : détection, investigation et prévention. Pour faire l'un des trois, une équipe de sécurité doit d'abord avoir une visibilité sur l'activité des utilisateurs.
Les outils de gestion des menaces internes tels qu'ObserveIT offrent cette visibilité indispensable aux équipes en collectant les données d'activité des utilisateurs " clic par clic " sur des terminaux individuels (postes de travail, ordinateurs portables, serveurs). Le processus de collecte des données prend des instantanés de chaque action, qui peuvent être lus dans le cas où un incident potentiel de menace interne a été détecté, vous donnant une preuve visuelle étape par étape dans ce qui s'est réellement passé.
-
Détecter les menaces internes en temps réel
Une fois que vous avez une visibilité sur l'activité des utilisateurs sur un poste de travail, il est possible de configurer des alertes en temps réel qui avertissent les parties concernées lorsqu'un incident potentiel lié à une menace interne a été détecté.
Les outils de détection des menaces internes d'ObserveIT sont entièrement personnalisables, permettant aux équipes de sécurité d'identifier qui a fait quoi, sur quel ordinateur, quand et depuis quel client, puis d'envoyer des alertes en fonction des déclencheurs que vous trouvez les plus utiles. (Il est même possible de faire apparaître des notifications, de bloquer des applications, ou même de fermer des processus côté utilisateur !)
-
Générer des journaux d'activité utilisateur pour les applications qui n'en ont pas
Toutes les applications n'ont pas la capacité de capturer les données d'activité des utilisateurs via les fichiers de log.
Envisagez d'éliminer un énorme angle mort de sécurité en générant des journaux d'activité des utilisateurs pour les applications qui ne disposent pas de leurs propres journaux, notamment les applications en Cloud, sur mesure et historiques. Corréler les journaux de comportement humain avec les journaux du système dans un SIEM - ceci vous donnera une vue à 360 degrés de chaque événement.
-
Exiger une authentification secondaire
Une fois que vous avez les outils et les processus en place pour accroître votre visibilité sur l'activité des utilisateurs, vous comprendrez que vous pouvez identifier les utilisateurs individuels est un must !
Avec ObserveIT, vous pouvez exiger l'identification individuelle des administrateurs et des fournisseurs distants qui se connectent via un compte partagé (par ex. administrateur, root). Cela vous permettra de rechercher et d'examiner ultérieurement les synthèses et les enregistrements des sessions de surveillance des activités des utilisateurs par utilisateur individuel, quel que soit le compte de connexion initial utilisé.
-
Sachez qui se connecte à vos serveurs - et pourquoi
Empêcher les utilisateurs de se connecter à un serveur sans d'abord entrer un numéro de ticket valide (à partir d'un système de Helpdesk externe), pour s'assurer que chaque login est connecté avec un but spécifique, prédéterminé.
-
Soyez attentif aux prestataires tiers ou aux sous-traitants.
Souvent, le plus gros problème avec la gestion de la sécurité des fournisseurs distants, c'est le manque de visibilité, tout comme avec vos employés. Mais ce sont aussi des menaces internes potentielles, avec accès à des systèmes et des données vitales. Des outils comme ObserveIT vous aident à obtenir une visibilité sur les activités des utilisateurs des fournisseurs ainsi que sur vos propres employés !
Dernières réflexions
Sans les bons outils de sécurité, processus et personnes en place, il peut être pratiquement impossible d'améliorer le délai moyen de détection (MTTD) par rapport au délai moyen de résolution (MTTR).
Si vous êtes prêt à améliorer vos techniques de gestion des menaces internes et à accélérer vos enquêtes sur ces menaces, nous vous suggérons de vous familiariser davantage avec ObserveIT.