En Dieu nous avons confiance, tous les autres que nous surveillons!

Une partie de la série « Contrôles et gestion des risques »

Désolé de vous décevoir, mais non, l'énoncé de mission de la NSA n'est pas « In God We Trust, All the Others We Monitor »mais quelque chose que je trouve beaucoup moins controversé, quoique plus ambitieux:« Defending our Nation. Sécuriser l'avenir. »

Quoi qu'il en soit, j'ai senti que cette légende urbaine était une parfaite introduction à ce blog, où je partage quelques réflexions sur la façon dont les entreprises peuvent résoudre le problème de la« menace interne ».

Menace interne – que ce soit avec une intention malveillante ou en raison d'actions erronées d'un employé, d'un sous-traitant actuel ou précédent, etc. ).

Cette constatation est loin d'être nouvelle et est régulièrement soulevée par des analystes experts. Pourtant, de nombreuses entreprises sont encore dans la phase de maturité précoce de l'atténuation de ce risque.

Dans ce court blog, j'aimerais suggérer quelques options qui, combinées, peuvent aider les entreprises à mieux protéger les informations contenues dans leurs systèmes. surveiller non pas le périmètre, mais les données elles-mêmes.

Bien sûr, ma première suggestion est d'employer un processus de gouvernance d'accès qui définit avec des politiques précises les accès et les autorisations de l'utilisateur. Mais j'aimerais aller plus loin, car je pense que l'approche de la gouvernance d'accès est déjà parfaitement comprise par la plupart des organisations.

Verrouiller les informations

La première étape que vous pourriez envisager est de limiter la surface d'attaque en réduisant le risque de fuite de données sensibles. Pour ce faire, pourquoi ne pas masquer des données spécifiques qui ne sont pas nécessaires aux utilisateurs pour effectuer leurs tâches quotidiennes? En bref: travaillez selon le besoin de savoir. Cette protection pourrait être associée à des rôles ou via des attributs pour des règles plus granulaires et précises afin que le démasquage nécessite des droits d'accès explicites. Par exemple, un opérateur de service d'assistance informatique qui dépanne l'accès à votre portail d'assurance doit-il pouvoir consulter vos informations médicales détaillées?

Considérez cela comme le régulateur de vitesse de votre voiture. Si cette option est définie, à moins que vous ne décidiez de l'écraser, vous ne serez pas pris en flagrant délit de vitesse.

Consigner les actions des utilisateurs

Dans certains cas, le masquage des informations n'est pas possible car les utilisateurs doivent y accéder pour effectuer leur travail. Ici, l'idée est de garder les données accessibles, mais d'enregistrer l'accès pour une analyse plus approfondie. Cela aidera à garantir un accès aux données conforme, mais permettra également l'identification rapide et incontestable des accès irréguliers aux données, si nécessaire.

Poursuivant mon analogie avec l'automobile, ce serait le radar. Si vous saviez qu'il y avait un radar actif sur la partie de la route sur laquelle vous conduisez et qu'il flasherait votre enregistrement si vous ne respectiez pas la limite de vitesse, conduiriez-vous vraiment devant lui à grande vitesse? [19659005] Cette option de «journalisation» peut sembler intéressante, mais pourrait également signifier que les services de cybersécurité sont rapidement submergés par les journaux à analyser, en particulier dans le cas des grandes organisations qui traitent des informations personnelles dans le cadre de la plupart des processus. En effet, cela augmente le risque de faux positifs et, par conséquent, pourrait nécessiter de nombreux examens manuels.

Surveiller les journaux pour identifier les anomalies et l'étendue d'une violation

Ceci nous amène à notre troisième et dernier point: la surveillance. [19659005] En utilisant tous les journaux ci-dessus, mais aussi potentiellement les journaux d'autres solutions, les cyber-experts pourraient automatiquement exécuter des modèles de détection pour identifier les anomalies. Avec le bon outil de surveillance de l'activité, trouver l'aiguille dans la botte de foin devient en fait possible sans avoir à brûler toute la botte de foin et à passer sur les cendres avec un aimant.

En outre, cela aide les enquêteurs à identifier et à arrêter le ou les auteurs une manière opportune. Si les actions malveillantes ont déjà été effectuées, cela les aidera également à comprendre la portée de la violation de données en notifiant les parties concernées, y compris les clients et les régulateurs concernés.

Cela, bien sûr, peut inclure les journaux des actions effectuées avec des super -état de l'utilisateur (aka ID de pompier). C'est l'une des formes d'accès les plus sensibles, car elle permet de modifier les informations critiques directement dans un système productif.

La plupart des entreprises suivent bien sûr ces accès privilégiés, mais certaines ne sont pas en mesure d'obtenir des informations précises sur ce a vraiment été effectuée – sauf dans le rapport fait par le super-utilisateur après coup. Ces entreprises doivent donc compter sur la parfaite exécution (aucune erreur commise) et la bonne foi (aucune intention malveillante) de l'opérateur super-utilisateur. Les deux font partie de la définition d'une menace interne.

Vous cherchez des suggestions supplémentaires?

Il existe bien sûr de nombreuses organisations qui publient des cadres, des recommandations, etc. Mais, depuis que j'ai utilisé la fausse devise de la NSA comme un piège à miel pour obtenir de lire ce blog, je rendrai à César les choses qui appartiennent à César et je vous suggérerai de parcourir le site Cybersecurity Advisories & Technical Guidance de la NSA. L'un de mes actifs préférés qu'ils publient est le Top 10 des stratégies d'atténuation de la cybersécurité car il est très succinct et pragmatique.

Et vous? Comment votre organisation gère-t-elle le sujet des menaces internes? J'ai hâte de lire vos réflexions et commentaires sur Twitter @TFrenehard.

En savoir plus sur le logiciel SAP pour la gestion des risques d'entreprise .

Cet article a été initialement publié sur SAP Community et est republié avec autorisation.