Menace d'initié ou risque d'initié - Que cherchez-vous à résoudre ?

Les mots ont leur importance - surtout dans l'utopie des mots à la mode qu'est le marketing de la sécurité de l'information. Ajoutons un nouveau terme à une liste qui ne cesse de s'allonger : le risque d'initié. Si les risques et les menaces liés aux initiés sont souvent considérés comme des synonymes, il existe en réalité une différence. La différence réside dans le problème même que vous essayez de résoudre. Voici ce que j'en pense.

La menace d'initiés est un "problème d'utilisateurs".

La définition la plus respectée a probablement été rédigée (et mise à jour en 2017) par le CERT Insider Threat Center de Carnegie Mellon :

"Menace d'initié - possibilité qu'une personne ayant ou ayant eu un accès autorisé aux actifs d'une organisation utilise cet accès, de manière malveillante ou involontaire, pour agir d'une manière qui pourrait nuire à l'organisation."

Selon le CERT, la menace interne concerne l'individu, la personne, l'employé, l'utilisateur. Toutes les actions possibles de l'utilisateur susceptibles de nuire à une organisation sont couvertes. Cela inclut la fraude, le vol de propriété intellectuelle, le sabotage, l'espionnage, la violence sur le lieu de travail, l' ingénierie sociale, la divulgation accidentelle et la perte ou l'élimination accidentelle d'équipements ou de documents. 

Compte tenu de cette définition largement acceptée, les acheteurs de sécurité se tournent souvent vers des outils centrés sur l'utilisateur, tels que l'analyse du comportement de l'utilisateur (UBA), l'analyse du comportement de l'utilisateur et de l'entité (UEBA) ou la surveillance de l'activité de l'utilisateur (UAM). Les outils de ce type collectent et analysent des montagnes de métadonnées sur l'activité des utilisateurs, qui sont injectées dans un SIEM, mises en corrélation avec d'autres données et automatisées par le biais d'un SOAR. Voilà, votre problème de menace interne est résolu. 

Si seulement c'était aussi simple. En réalité, le comportement des utilisateurs et les outils de surveillance ne sont qu'une pièce du puzzle. En vous fiant uniquement aux outils UBA, UEBA ou UAM, vous risquez de ne pas savoir ce qui, je dis bien qui, constitue une véritable menace. 

Le risque d'initiés est un "problème de données".

Le risque d'initié est une autre paire de manches. Lorsqu'il s'agit de gérer ou d'atténuer les risques liés aux initiés, il ne s'agit plus de se concentrer uniquement sur l'utilisateur, mais d'adopter une approche plus large et holistique pour comprendre les risques liés aux données. À ma connaissance, aucun organisme de normalisation (à moins que vous ne considériez Microsoft comme un "organisme de normalisation") n'a défini le risque d'initié. Nous avons donc élaboré une définition (courte et concise) :

"Il y a risque d'initié lorsque l'exposition de données met en péril le bien-être d'une entreprise et de ses employés, clients ou partenaires."

Les mots clés sont "exposition des données". La menace de l'initié est un problème d'utilisateur. Le risque d'initié est un problème de données. Chez Code42, nous résolvons les deux problèmes, mais notre approche est centrée sur les risques d'exposition des données. En effet, la console de notre produit s'appelle "Risk Exposure Dashboard" (tableau de bord de l'exposition aux risques) et notre rapport de recherche annuel s'intitule "Data Exposure Report" (rapport sur l'exposition aux données). La différence fondamentale entre les outils de lutte contre les menaces d'initiés centrés sur l'utilisateur (UBA, UEBA, UAM) et une solution de lutte contre les risques d'initiés comme la nôtre est qu'ils adoptent une approche basée sur les politiques, alors que nous adoptons une approche basée sur les mathématiques. Notre approche tient compte de tous les aspects de l'équation :

Fichier + Vecteur + Utilisateur = Risque

• Nous examinons toutes les données (et pas seulement les données classifiées).
• Nous prenons en compte les détails du vecteur (point d'extrémité, nuage, courrier électronique, domaines de confiance ou non, entreprise ou particulier).
• Nous prenons en compte tous les utilisateurs (et pas seulement ceux qui disposent d'un accès privilégié actuel ou passé).

Lorsque les trois variables de l'équation sont prises en compte, vous obtenez un signal de risque d'initié qui est - si j'ose dire - réel. En voici un exemple : 

Les indicateurs du risque d'initié résultant de l'exposition des données sont plus forts lorsque l'on tient compte des données, du vecteur et de l'activité du fichier de l'utilisateur (contexte de la menace). Il existe des dizaines de cas d'utilisation du risque d'initié comme celui cité ci-dessus qui passent complètement sous le radar de la plupart des outils de sécurité, d'où la raison d'aborder le risque d'initié de manière holistique :

• L'outil observe en règle générale les données étiquetées ou marquées (par ex. DLP)
• En règle générale, l'outil surveille les vecteurs spécifiés (par ex. CASB)
• En règle générale, l'outil surveille l'utilisation des applications par les employés sur le réseau (par ex. UBA, UAM)

Maintenant, vous pourriez prendre vos solutions DLP pour les terminaux et le courrier électronique, votre CASB, ajouter UBA pour les utilisateurs, et tirer les journaux du réseau, les journaux de gestion de l'identité et de l'accès , etc. dans votre SIEM, exécuter toutes sortes de corrélations et de requêtes basées sur des politiques et dire que vous êtes couvert. Cette approche basée sur des règles est conçue pour des équipes de sécurité importantes, sophistiquées et matures - et même les équipes de sécurité les plus sophistiquées manquent de temps et sont frustrées par tout le bruit et la complexité qu'implique la maintenance de ces systèmes. Et une fois que tout a été dit et fait, les systèmes fonctionnent-ils vraiment ? D'innombrables exemples montrent que ce n'est pas le cas. 

Menace d'initié ou risque d'initié ? Il s'agit de décider d'adopter une approche politique centrée sur la prévoyance humaine ou une approche mathématique centrée sur l'exposition des données. Lorsqu'il s'agit de résoudre le problème du risque d'initié, suivez une formule simple et faites le calcul. Parce qu'en fin de compte, les mathématiques - par opposition aux suppositions - l'emportent toujours.