À d’autres moments, il peut s’agir d’un employé mécontent ou se préparant à quitter l'entreprise qui envoie des fichiers à lui-même ou à d’autres destinataires externes. Quelles que soient leurs intentions, ces actions peuvent exposer l'organisation à des risques d'exfiltration de données, notamment en termes de propriété intellectuelle, de données sensibles et de données personnelles. Traditionnellement, les équipes de sécurité devaient s’appuyer sur les fournisseurs de messagerie DLP et de sécurité de messagerie. Lors d'analyses d'incidents, ces solutions nécessitent un examen manuel des journaux de messagerie, mais ne fournissent pas le contexte utilisateur.Avec ObserveIT, les équipes de sécurité peuvent détecter l’exfiltration de données d’e-mails en temps réel et examiner ces alertes en quelques minutes avec le contexte complet de l’utilisateur, des fichiers et de l’activité de messagerie pendant, avant et après l’envoi ou la réception de l’email.
ObserveIT 7.8 élargit désormais ces capacités d'analyse avec un enregistrement sélectif des alertes déclenchées, un contrôle accru et davantage de fonctionnalités pour la surveillance des points finaux Mac ainsi que la détection et la réponse à l'exfiltration de données par des applications de messagerie.
Surveillance de l'exfiltration de données par courrier électronique
Le courrier électronique est un point de sortie et d’entrée essentiel pour les données sensibles au sein de toute organisation. Il est donc nécessaire d’avoir une visibilité sur l’activité des utilisateurs et des fichiers associés au courrier électronique.
Avec ObserveIT 7.8, les entreprises peuvent désormais surveiller l’application Microsoft Outlook sur poste de travail Windows et Mac, ainsi que l’application Mac Mail, avec une visibilité complète sur les utilisateurs qui envoient des fichiers sensibles par courrier électronique et enregistrent les pièces jointes reçues.
Les entreprises peuvent détecter, analyser et réagir plus rapidement aux incidents liés au courrier électronique en intégrant un contexte complet. ObserveIT 7.8 offre une visibilité fine sur :
- Domaines de l'expéditeur et du destinataire (y compris les adresses to, cc et cci)
- Objet du mail
- Pièces jointes (Nom de fichiers, Taille de fichier, nombres de fichiers)
La richesse des métadonnées capturées par ObserveIT 7.8 peut être utilisée pour détecter une large variété de cas d'exfiltrations de données par courrier électronique.
- Envois et réception de données sensibles depuis et vers un domaine non autorisé.
- Mouvement inhabituels de pièces jointes volumineuses.
- Utilisateurs ayant un niveau de risque élevé exfiltrant des données hors entreprise.
- Fichiers téléchargés ou enregistrés depuis des mail internes et exfiltré par d'autres canaux.
- Utilisateurs téléchargeant ou enregistrant depuis des domaines douteux par exemple: liés à du phishing ou à des malwares)
ObserveIT fournit l’ensemble du contexte de l’activité de l’utilisateur avant et après l’activité d’exfiltration du courrier électronique. La vue 'Timeline' fournit une vue chronologique des actions de messagerie d'un utilisateur, ainsi que les autres activités de l'utilisateur avant et après l'événement de messagerie.
'Email Diary' présente toutes les métadonnées de courrier électronique dans une vue dédiée et les pièces jointes sont liées à la vue 'Files Diary'.
Chacune de ces vues indiques les actions de l'utilisateur ayant provoqué le déclenchement des alertes par courrier électronique et offre une recherche flexible et des références croisées avec les autres journaux pour faciliter les analyses. Les nouvelles fonctionnalités couvrent les clients Outlook et Mac Mail.
Capture d'écran de la vue Journal de fichier. E-mails filtrés par l'expéditeur ou le destinataire.
'Activity Replay' pour l'enregistrement sélectif
Traditionnellement, les analyses d'incidents prenaient beaucoup de temps et même dans ce cas, l’attribution par utilisateur était très difficile. L'enregistrement des actions utilisateurs lorsqu'ils exercent des activités à haut risque constitue la preuve la plus claire d'intention et les actions fournissent une preuve irréfutable de l'intention préjudiciable ou établissent la nature inoffensive des actions. Cependant, il est souvent inconcevable d’enregistrer toute l’activité en permance, car cela peut augmenter considérablement les besoins en stockage (et les coûts) et ne pas respecter les dernières réglmentations en terme de protection des données personnelles.
Pour ces raisons, ObserveIT 7.8 offre la possibilité de capturer de manière sélective des captures d'écran juste avant et après une violation de stratégie. De cette manière, les équipes ont la possibilité de rejouer l'activité des utilisateurs sans les problèmes de confidentialité ou la crainte d'un dépassement de stockage dût à l'enregistrement des sessions sans restrictions.
Voici une visualisation de la façon dont cela fonctionne :
De cette manière, l'enregistrement du contexte précédent et postérieur à l'activité suspecte permet une analyse améliorée.
Comme nous avons vu précédemment, ObserveIT collecte continuellement les métadonnées, mais aussi, sur déclenchement d'alerte, enregistre les sessions vidéos avant, pendant et après l’événement.
ObserveIT 7.8 offre aux équipes une stratégie d’enregistrement de session flexible qu’elles peuvent adapter à leurs besoins, qu’il s’agisse de respecter des lois spécifiques en matière de confidentialité, de maintenir les normes internes de l’entreprise ou de réduire les coûts. ObserveIT permet spécifiquement aux entreprises d’exclure la surveillance de toute activité privée du personnel (par exemple, l’utilisation d’un compte financier personnel ou de médias sociaux) si l'entreprise le souhaite. Grâce aux nouvelles fonctionnalités, les entreprises peuvent économiser jusqu'à 80% de stockage par jour et par agent (en supposant une activité d'utilisateur et d'alerte moyenne), ce qui entraîne une réduction potentiellement importante du coût total de possession (CTO).
Voici une capture d'écran qui montre comment créer une nouvelle stratégie d'enregistrement :
Avec cette stratégie d'enregistrement flexible, les équipes peuvent créer des exceptions à la stratégie en fonction de certaines applications, sites Web ou types de catégorie Web.
La relecture d'activité peut également être déclenchée parallèlement à la formation ou au blocage des utilisateurs, de sorte que les entreprises ne collectent pas uniquement les informations dont elles ont besoin pour les analyses d'incidents, elles neutralisent également immédiatement les activités risquées des utilisateurs.
Remarque : il s’agit actuellement d’une fonctionnalité exclusivement Windows.
Réglage des alertes pour une détection améliorée
Pour les équipes de sécurité habituées au problème du trop grand nombre d'alertes, ObserveIT 7.8 fournit de nouveaux outils permettant d'affiner tous les types d'alertes à partir d'un seul écran en huit étapes simples.
Le réglage des alertes peut être utilisé pour nettoyer les faux positifs des alertes en cours, réduire le bruit et rendre les alertes plus précises pour l'avenir, comme illustré ci-dessous:
Les analystes en sécurité peuvent exécuter leurs tâches avec plus d'efficacité en utilisant un seul écran «Alertes» pour affiner toutes leurs alertes de menaces internes dans ObserveIT.
Pour les alertes à venir, les analystes peuvent choisir de :
- Exclure des utilisateurs
- Exclure des groupes Active Directory
- Désactiver
- Supprimer
Pour les alertes déjà présentes les analystes peuvent :
- Changer les status
- Supprimer
Ces fonctionnalités permettent aux utilisateurs d’ObserveIT de tirer parti de toute la puissance de la plate-forme sans être gênés par des alertes parasites. (Un pas de plus dans la bonne direction pour réduire les contraintes des analyses.)
Autres nouvelles fonctionnalités et avantages
Outre les mises à jour majeures ci-dessus, ObserveIT 7.8 comprend :
Prise en charge améliorée du Mac
- Nouveau groupe des postes Mac
- Nouveau type de stratégie d'enregistrement Mac avec des champs liés à Mac uniquement
- Nouveau type de stratégie d'enregistrement Mac avec des champs liés à Mac uniquement
- Ne capturer que la fenêtre en cours
- Surveiller les navigateurs Firefox et TOR sur les postes Mac
Améliorations de la convivialité de la surveillance de l'activité des fichiers (FAM)
- Analyses plus rapides et convivialité améliorée dans File Diary
- Lots d'événement regrouper
- Information sur la taille du fichier disponible
- Navigation plus facile
Mises à jour de la bibliothèque de menaces internes
- Cinq nouvelles règles d'alerte sur l'activité de messagerie
- Seules les 60 règles d'alerte les plus utiles sont actives par défaut
Affichage de l'horodatage
- Activez l'affichage de l'horodatage pour clarifier l'heure locale de l'utilisateur
- Utilisation de l'horodatage disponible dans tous les journaux, alertes et recherches.
- Les nouveaux champs de rapports permettent aux utilisateurs d'afficher le temps dans le fuseau horaire local du terminal
Vous trouverez la documentation complète sur la mise à jour du produit, si vous avez besoin de plus de détails.
Moins de bruit, plus de signal
Lorsqu'il s'agit de protection contre les menaces internes, moins, c'est souvent plus. En d'autres termes, un nombre moins élevé d'alertes et une plus grande fidélité sont souvent la clé pour détecter rapidement les menaces.
Nous sommes ravis de vous proposer ObserveIT 7.8 pour permettre à davantage d’équipes d’avoir accès à ces fonctions d’exfiltration de données par courrier électronique, de 'Activity Replay', de réglage des alertes et d’autres nouveautés sur la plate-forme qui rendront les opérateurs de sécurité plus productifs et efficaces contre les menaces internes.
Prêt à faire un essai avec ObserveIT 7.8 ?