Pour gérer vos consentements :
Categories: Cybersécurité

Cybersécurité : quelle base pour caractériser les menaces internes ?

Comment caractériser les menaces internes sur les systèmes informatiques ? En s’appuyant sur ATT&CK. Tel est en tout cas le parti de MITRE, l’organisation à l’origine de ce framework axé sur les menaces externes. Elle en a repris les TTP (techniques et tactiques d’attaque) et les a confrontés à des indicateurs relevés en situation réelle par un panel de grandes entreprises.

Constat : les méthodes les plus évidentes – et les plus simples – sont aussi les plus exploitées. C’est peut-être, tempère MITRE, lié au fait qu’on les détecte plus facilement…

Les TTP suivants ont beaucoup d’exemples documentés, chez de multiples entreprises du panel :

– Exploitation de comptes légitimes (autant cloud qu’Active Directory)
– Collecte de données sur des dépôts centralisés (SharePoint notamment)
– Exfiltration sur des supports physiques et par le biais de services web

Les TTP suivants sont d’un usage « modéré » (beaucoup d’exemples dans peu d’entreprises ou vice versa) :

– Création de comptes
– Suppression de traces sur l’hôte
– Agrégation de données en local et archivage
– Exfiltration vers du stockage cloud
– Utilisation de logiciels d’accès distant

MITRE s’en est tenu aux actions détectables dans les logs. Par à celles qui nécessitent de l’analyse de texte, comme les menaces d’un employé envers un autre.

On n’identifie souvent pleinement une menace que lorsque l’enquête touche à sa fin, affirme MITRE. On tend par ailleurs à manquer de contexte pour faire la différence avec des faits de négligence. Les menaces internes sont en outre moins manifestes : par rapport aux menaces externes, elles impliquent moins souvent de la reconnaissance, la diffusion de malwares ou l’élévation de privilèges.

Photo d’illustration © pinkeyes – Adobe Stock

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago