Menaces d’initiés dans la cybersécurité: lorsque le danger vient de l’intérieur

Dans le paysage numérique d’aujourd’hui, les menaces de cybersécurité les plus dangereuses ne sont pas toujours des pirates sophistiqués dans les sweats à capuche écrivant des logiciels malveillants dans l’obscurité. Parfois, ce sont des employés ou des entrepreneurs qui ont déjà un accès légitime. Ils peuvent même ne pas réaliser qu’ils font partie du problème. Les menaces d’initiés, malveillantes ou involontaires, deviennent de plus en plus la voie la plus simple vers le réseau d’une organisation.

Dans l’épisode 150 du cyber podcast Reimagining, l’animateur Ben a accueilli Tyler Moffitt, analyste principal de la sécurité chez OpenText Cybersecurity, pour explorer le numéro complexe et croissant de menaces d’initiés. Des risques de fournisseurs tiers aux schémas de phishing et aux partenariats de ransomwares, cette conversation a souligné pourquoi les menaces d’initiés devaient être une préoccupation majeure pour chaque organisation.

Briser les menaces d’initié

Tyler a commencé par catégoriser les menaces d’initiés en deux types clés:

Initiés malveillants – Ces personnes exploitent sciemment leur accès à un gain personnel ou à une vengeance. Qu’il s’agisse d’employés mécontents, de collaborateurs avec des acteurs de la menace ou simplement sensibles à la corruption, leurs connaissances d’initiés peuvent les rendre extrêmement dangereuses.

Initiés involontaires – Beaucoup plus commun, ce sont des employés ou des entrepreneurs qui sont victimes de phishing, d’ingénierie sociale ou d’autres tactiques manipulatrices. Ils peuvent cliquer sur des liens malveillants sans le savoir, abandonner les références ou tomber pour les escroqueries de phishing vocal (« Vishing »).

Bien que les deux types soient dommageables, les menaces d’initiés involontaires sont plus faciles à évoluer grâce à des campagnes d’ingénierie sociale et représentent une surface de risque plus large.

Étude de cas: Coinbase et le prix de l’accès

Un exemple effrayant du monde réel est venu d’une violation récente à Coinbase, le populaire échange de crypto-monnaie. L’attaque a été facilitée par un tiers entrepreneur dans un centre d’appel externalisé. Les cybercriminels ont usuré le personnel informatique interne, ont contacté l’entrepreneur via une campagne Vishing et les a soudoyées pour accéder aux systèmes internes.

Le résultat? Les criminels ont exfiltré les données des clients sensibles et ont ciblé les personnes avec des campagnes de phishing, les fraudant avec succès de la crypto-monnaie.

Cependant, la réponse de l’entreprise rend le cas Coinbase particulièrement notable. Au lieu de rembourser tranquillement les assaillants pour maintenir la brèche sous les wraps, Coinbase est devenu public, a divulgué la violation et a offert une prime de 20 millions de dollars pour des informations menant aux auteurs. Encore plus impressionnant, ils se sont engagés à rembourser les clients touchés – une décision inhabituelle et louable dans le monde souvent trouble de la crypto.

Cette violation a affecté les opérations internes et a mis en évidence de graves risques dans la gestion des fournisseurs tiers. Comme le souligne Tyler, même si votre entreprise maintient des contrôles de sécurité rigoureux, vous êtes aussi sûr que votre partenaire le moins sécurisé. L’ensemble de votre infrastructure pourrait être compromis si un entrepreneur peut être soudoyé ou trompé dans l’accès.

Araignée dispersée: maîtrise en génie social

Si Coinbase illustre le risque d’initiés malveillants, les violations de détail basées au Royaume-Uni montrent comment les initiés involontaires peuvent être tout aussi dangereux.

Des géants de la vente au détail comme Marks & Spencer, Co-op, et Harrods ont récemment subi des pannes et une exposition aux données liées à un groupe de cybercrimins notoire connu sous le nom de Sported Spider (Octo Tempest ou UNC3944). Ce groupe est spécialisé dans l’ingénierie sociale. Il trompe les employés internes – souvent des anglophones natifs – en abandonnant les informations d’identification ou en réinitialisant l’authentification multi-facteurs (MFA), ce qui permet une infiltration supplémentaire.

Tyler explique que ces groupes agissent comme des «courtiers d’accès», travaillant dans une économie de ransomware plus large. Une fois qu’ils ont eu accès, ils le vendent à des affiliés des ransomwares, qui déploient ensuite les charges utiles et les sociétés d’extorts réelles pendant des millions. Il s’agit d’une opération criminelle bien huilée et les entreprises du monde entier ont du mal à suivre.

Marks & Spencer, par exemple, lutte contre les problèmes du système depuis plus d’un mois après la violation. Il continue de lutter contre les commandes en ligne, les paiements sans contact et même les pénuries d’inventaire. La coopérative a adopté une approche plus décisive en fermant ses systèmes tôt pour couper l’attaque, empêchant des dégâts plus profonds.

Quelle menace d’initiés est pire: malveillante ou involontaire?

La réponse de Tyler est clairement involontaire les initiés représentent la plus grande menace. Pourquoi? Parce que les initiés malveillants, bien que sévères, sont limités à l’échelle. Soudoyer ou tourner un employé prend des efforts et une coordination. Mais des initiés involontaires? Ils sont partout et ils sont vulnérables. Avec les attaques de phishing et d’ingénierie sociale, les acteurs de la menace peuvent cibler des milliers à la fois, en espérant que même un petit pourcentage tombera pour lui.

Et avec AI maintenant les escrocs pour l’autonomisation Pour créer des voix profondes, des courriels usurpés réalistes et convaincre de faux messages de mou, il devient de plus en plus difficile pour les employés de détecter la fraude.

Le travail à distance ajoute du carburant au feu

Les environnements de travail à distance et hybride, qui sont devenus la norme depuis la pandémie, compliquent davantage le paysage des menaces d’initié. La vérification des identités et des intentions est plus difficile lorsque les employés ne sont pas physiquement présents. Tyler note que la nature décentralisée du travail à distance rend les schémas d’identité plus plausibles et réussis.

Défendre contre les menaces d’initiés

Malgré le destin et la morosité, des défenses pratiques peuvent se déployer. Tyler souligne l’importance de la sécurité en couches, notamment:

• État d’esprit zéro-frust: Ne présumez pas que simplement parce que quelqu’un est à l’intérieur du réseau, il est digne de confiance. Valider tout, en particulier identité et accès.
• Accès le moins privilégié: Ne donnez aux employés et aux entrepreneurs le niveau minimal d’accès nécessaire à leurs rôles. Implémentez les protocoles d’escalade sécurisés pour des actions sensibles comme les réinitialisations du MFA.
• Durcissement du MFA: Nécessitent plusieurs niveaux de vérification d’identité, en particulier pour les utilisateurs de support ou de niveau d’administration. La vérification vidéo et les épingles sécurisées peuvent fournir des garanties supplémentaires.
• Analyse des comportements: Surveiller le comportement de l’utilisateur pour détecter les anomaliescomme les connexions à des heures impaires ou des modèles d’accès au système inhabituels.
• Entraînement: Éduquer régulièrement tous les employés, en particulier ceux qui ont des rôles de soutien, sur la reconnaissance du phishing, les tentatives d’ingénierie sociale et les escroqueries internes d’identité.
• Sécurité des vendeurs: Vétérinaire vos fournisseurs tiers soigneusement. Assurez-vous que leurs normes de sécurité correspondent aux vôtres, surtout s’ils gèrent les données des clients ou les systèmes internes sensibles.

La menace d’initié grandira

À mesure que les cybercriminels deviennent plus créatifs et que les organisations deviennent plus distribuées, la menace d’initié ne fera que croître. Qu’il s’agisse d’un entrepreneur soudoyé ou d’un agent d’assistance trompé, les gens sont devenus le nouveau périmètre – et ce périmètre est fragile.

La solution? Investissez dans des stratégies de sécurité d’abord des personnes, durcissez vos contrôles d’identité et ne sous-estimez jamais l’importance de la sensibilisation et de la formation. Dans le monde de la cybersécurité, la confiance doit être gagnée en continu.

Comme l’a dit Tyler, « l’identité est le nouveau périmètre ».

Écoutez ce dernier épisode de Cybersecurity repensé sur votre application de podcast préférée, y compris Pomme, Spotify, Buzzprout ou tout autre plate-forme principale. Vous pouvez également écouter l’un de nos Épisodes précédents à la demande.

Le poste Menaces d’initiés dans la cybersécurité: lorsque le danger vient de l’intérieur est apparu en premier sur Blogs OpenText.

Source link