Get best of the week

Cinq risques de sécurité lors d'un travail à distance



Les professionnels de la cybersécurité dans les entreprises ont subitement dû s'adapter au fait que près de 100% des utilisateurs travaillent à distance. Aujourd'hui, face à l'incertitude, les entreprises tentent de préserver les processus métiers et la sécurité s'efface. Les professionnels qui desservaient auparavant principalement des ordinateurs locaux peuvent ne pas être prêts à faire face aux nouvelles menaces d'accès à distance.

Notre équipe de réponse aux incidents aide nos clients à résoudre quotidiennement les problèmes de sécurité. Mais au cours des deux derniers mois, la nature des attaques lors de la connexion d'un VPN et de l'utilisation d'applications et de données cloud a changé. Nous avons compilé une liste de cinq menaces au travail à distance pour vous dire à quoi nos experts sont confrontés pendant la pandémie de COVID-19.

1. Attaques par force brute VPN


Étant donné que de nombreuses personnes travaillent désormais à domicile, les attaquants ont plus de possibilités d'attaques par force brute via VPN. ZDNet rapporte que récemment, le nombre de connexions VPN a augmenté de 33%. Cela signifie que depuis le début de 2020, les attaquants ont plus d'un million de nouvelles cibles.

Dans environ 45% des cas, l'équipe d'intervention de Varonis doit enquêter sur les attaques par force brute. La plupart de ces attaques visent à accéder à un VPN ou à Active Directory. Il est arrivé que les organisations désactivent les verrous intégrés et autres restrictions sur la connexion à un VPN afin de ne pas arrêter de travailler ou de réduire les coûts informatiques. Cela rend le système vulnérable à de telles attaques.

Les attaquants effectuent une attaque par force brute. Ils sélectionnent un portail VPN et essaient à plusieurs reprises de s'authentifier à l'aide de listes d'informations d'identification précompilées. Cette attaque est appelée bourrage d'informations d'identification. Si au moins un identifiant ou un mot de passe est sélectionné correctement, un attaquant peut pirater le système.

De plus, si le système utilise l'authentification unique (SSO), un attaquant peut également obtenir la connexion de domaine correcte. Un attaquant pénètre très rapidement dans le réseau. Il peut commencer la reconnaissance en se connectant au domaine et essayer d'augmenter les privilèges.

Comment Varonis peut vous aider


Les solutions Varonis ont plus d'une centaine de modèles de menaces intégrés pour détecter une authentification suspecte (informations d'identification, usurpation de mot de passe, force brute) dans un VPN ou Active Directory. Vous remarquerez que nos modèles de menaces prennent en compte plusieurs sources: les données d'activité VPN sont complétées par des informations provenant d'Active Directory, des proxys Web et des entrepôts de données tels que SharePoint ou OneDrive.



Vous pouvez également afficher rapidement l'activité VPN contextuelle (journaux traités) dans la bibliothèque de recherches enregistrées, que vous pouvez utiliser pour créer des rapports ou rechercher des menaces:



Plusieurs centaines de tentatives de connexion infructueuses à partir de la même adresse IP ou du même périphérique peuvent servir de preuve d'attaque par force brute. Mais, même si les attaquants agissent discrètement et lentement, Varonis peut détecter des écarts mineurs en analysant la télémétrie de périmètre, l'activité d'Active Directory et l'accès aux données, puis en comparant ces informations avec le modèle de base du comportement de l'utilisateur ou de l'appareil.



2. Gestion et contrôle par phishing


Le phishing est une autre menace bien connue adaptée aux conditions pandémiques. Les attaquants capitalisent sur les peurs des gens lors d'une pandémie, incitant les utilisateurs à cliquer sur des liens malveillants et à télécharger des logiciels malveillants. Le phishing est un véritable mal.
Les criminels ont développé des cartes des centres de distribution de COVID-19 et créé des sites Web qui vendent des fournitures médicales ou offrent des moyens miraculeux, après quoi vous installez des logiciels malveillants sur votre ordinateur. Certains escrocs agissent effrontément, par exemple, en demandant 500 $ pour un masque N-95. D'autres attaques visent à accéder à votre ordinateur et à toutes les données qu'il contient. Dès que vous cliquez sur le lien malveillant, un programme sera téléchargé sur votre ordinateur à l'aide duquel l'attaquant établira une connexion avec le serveur de commandes. Il commencera alors la reconnaissance et élèvera les privilèges pour trouver et voler vos données sensibles.

Comment Varonis peut vous aider


Varonis détecte les activités réseau qui ressemblent à la capture de gestion et de contrôle (pas seulement la connexion à des adresses IP ou des domaines malveillants connus). La solution effectue une analyse approfondie du trafic DNS et détecte les programmes malveillants qui masquent la transmission de données dans le trafic HTTP ou DNS.

En plus de détecter les logiciels malveillants et ses connexions au serveur de commandes, les modèles de menace Varonis détectent souvent un utilisateur compromis en enregistrant des tentatives inhabituelles d'accès aux fichiers ou aux e-mails. Varonis surveille l'activité des fichiers et la télémétrie de périmètre et crée des profils de comportement utilisateur de base. La solution compare ensuite l'activité actuelle avec ces profils de base et un catalogue sans cesse croissant de modèles de menace.



3. Applications malveillantes dans Azure


Ce vecteur d'attaque est relativement nouveau; le mois dernier, il a été discuté pour la première fois sur notre blog . Nous vous recommandons de lire la version complète de l'article, car nous n'en fournissons ici qu'une brève description.
Microsoft a déclaré qu'au cours du dernier mois, le nombre de locataires Azure avait augmenté de 775%. Cela signifie que certains d'entre vous créent maintenant des environnements Azure pour vos employés distants, et beaucoup déploient tous leurs efforts pour maintenir l'entreprise à flot et introduire rapidement de nouvelles fonctionnalités. Peut-être que cela s'applique à vous.

Vous devez savoir quelles applications les utilisateurs autorisent l'accès aux données et planifier des contrôles réguliers des applications approuvées pour pouvoir bloquer tout ce qui comporte un risque.

Les criminels ont réalisé qu'ils pouvaient utiliser des applications malveillantes pour Azure dans les campagnes de phishing, et lorsque l'utilisateur installe l'application, les attaquants auront accès au réseau.



Comment Varonis peut vous aider


Varonis peut suivre les demandes d'installation d'une application Azure et détecter les signes de cette attaque dès le départ. Varonis collecte, analyse et profile tous les événements dans Office 365 pour chaque composant.Par conséquent, dès qu'une application malveillante commence à usurper l'identité d'un utilisateur (envoyer des e-mails et télécharger des fichiers), nos modèles de menaces comportementales fonctionnent.

4. Contourner l'authentification multifacteur


Une autre menace pour les employés distants est une attaque d'homme au milieu. Vos employés n'ont peut-être pas travaillé à distance auparavant et ne sont pas très familiers avec Office 365, ils peuvent donc être induits en erreur par de fausses fenêtres de connexion dans Office 365 . Les attaquants utilisent ces fenêtres de connexion pour voler les informations d'identification et les jetons d'authentification, qui sont suffisants pour simuler un utilisateur et se connecter. De plus, les employés distants peuvent utiliser un routeur Wi-Fi non sécurisé qui peut être facilement piraté.

En bref, un attaquant intercepte un jeton d'authentification que le serveur vous envoie, puis l'utilise pour entrer dans le système depuis son ordinateur. Après avoir obtenu l'accès, un attaquant prend le contrôle de votre ordinateur. Il essaie d'infecter les ordinateurs d'autres utilisateurs ou recherche immédiatement des données sensibles.

Comment Varonis peut vous aider


Varonis peut détecter la connexion simultanée à partir de différents endroits, ainsi que les tentatives de connexion qui ne correspondent pas au comportement de l'utilisateur précédent et servent de preuve de fraude. Varonis surveille vos données pour détecter les tentatives d'accès anormales que les cybercriminels peuvent faire en étant simplement à l'intérieur de votre réseau.



5. Menaces internes


C'est maintenant une période de grande incertitude pour tout le monde. Les gens font tout leur possible pour surmonter la crise, et la peur et l'incertitude les obligent à se comporter de façon inhabituelle.

Les utilisateurs téléchargent des fichiers de travail sur un ordinateur non protégé. Cela est dû à la peur de perdre un emploi ou à l'incapacité de le faire efficacement. Les deux options ont leur place. Cela complique le travail des services informatiques et de sécurité de l'information qui doivent garantir la sécurité des données.

Les menaces internes peuvent être difficiles à détecter, en particulier lorsqu'un employé utilise un appareil personnel pour accéder à des données sensibles . Il ne dispose pas de contrôles de sécurité d'entreprise, tels que DLP, qui pourraient détecter l'utilisateur transmettant ces données.

Comment Varonis peut vous aider


Nous détectons les menaces internes en identifiant l'emplacement des données confidentielles de l'entreprise, puis nous examinons comment les utilisateurs utilisent généralement ces données. Varonis surveille depuis longtemps les actions des utilisateurs avec des données et des fichiers, puis les complète avec des données VPN, DNS et proxy. Par conséquent, Varonis vous avertit lorsqu'un utilisateur télécharge une grande quantité de données sur le réseau ou accède à des données sensibles auxquelles il n'avait pas accès auparavant, et peut fournir une liste complète des fichiers auxquels l'utilisateur a accédé.



Le plus souvent, les employés n'ont pas d'intention malveillante. Cependant, il est important pour l'entreprise de comprendre comment stocker des données sensibles, car les menaces internes sont fréquentes. La capacité de réagir directement au comportement des employés n'est pas seulement un moyen de réduire les risques, mais aussi de discuter des problèmes avec l'équipe.

Dernières pensées


Varonis peut vous aider à enquêter sur tout ce qui semble suspect et vous fournir des recommandations sur la façon de récupérer après une attaque. Si nécessaire, nous fournissons des licences d'essai gratuites.
Comme vous le comprenez, nous ne comptons pas sur un seul type de protection. Nous défendons plusieurs niveaux de protection qui couvrent tous les systèmes, comme une toile. Notre équipe de réponse aux incidents aidera à intégrer Varonis dans votre stratégie de cybersécurité actuelle et fournira des recommandations sur d'autres systèmes de sécurité dans lesquels vous pourriez vouloir investir.

More articles:


All Articles