Détecter l’activité anormale avant une violation de données grâce aux heuristiques
Personne ne connaît mieux votre entreprise que vous. Vous savez quand tout semble normal ou quand quelque chose paraît étrange. Si vous n’avez pas de bureau à Shanghai, pourquoi y a-t-il alors plusieurs tentatives de connexion depuis cet endroit? Si un analyste financier n’a jamais envoyé de fichier de plus de 10 Mo, pourquoi transfère-t-il soudainement des fichiers compressés de 5 Go à un destinataire inconnu? Toute activité qui ne correspond pas aux flux de travail habituels indique probablement une faille ou une attaque potentielle. Vous devez développer des heuristiques pour détecter cette activité anormale et construire une défense proactive et holistique qui couvre toute la surface de menace liée aux flux de travail avec des tiers.
Reprenez le contrôle de vos données avec la Gestion des Risques Fournisseurs
Les menaces liées aux flux de travail avec des tiers ont un thème commun: un utilisateur est l’acteur, et un fichier est l’agent. Une protection complète nécessite une défense qui couvre toute l’étendue de la surface de menace associée: les chemins collectifs de tous les fichiers entrant et sortant de votre organisation. Une défense complète implique de sécuriser, surveiller et gérer tous les flux de travail avec des tiers, incluantla messagerie électronique sécurisée, SFTP, etle partage sécurisé de fichiers, entre autres.
Dans mon billet précédent, j’ai expliqué l’importance de mobiliser toute l’infrastructure de sécurité d’une organisation pour sécuriser vos flux de travail avec des tiers. Dans ce billet, je discuterai de l’importance de développer et d’appliquer des heuristiques afin de détecter les activités anormales le long de vos flux de travail.
Adoptez une approche holistique de la prévention des menaces externes
Les RSSI ne peuvent pas prendre de raccourcis lorsqu’il s’agit de protéger les informations sensibles contre les menaces liées aux flux de travail de tiers. Ils doivent plutôt créer et maintenir une infrastructure de sécurité complète et équilibrée. Seule une défense holistique couvrant toute la surface de menace offre une protection complète contre les menaces liées aux flux de travail de tiers. Chaque communication de tiers – messagerie électronique, transfert sécurisé de fichiers, SFTP, chat, et autres – doit être acheminée à travers un conduit sécurisé qui s’étend sur l’ensemble du chemin de transfert de fichiers. En verrouillant l’ensemble du chemin, vous avez la capacité de canaliser chaque fichier qui entre ou sort de l’organisation à travers des solutions de sécurité de premier ordre, incluant SSO, LDAP, AV, ATP, DLP et SIEM. De plus, un conduit unique pour toutes vos communications de tiers vous permet de voir et de protéger les informations sensibles que vous partagez avec le monde extérieur. Autrement, vous ne pouvez pas protéger ce que vous ne pouvez pas voir.
Établissez des repères pour détecter les anomalies
Les RSSI passent d’une défense réactive à une défense proactive une fois qu’ils ont un contrôle total sur la surface de menace liée aux flux de travail de tiers. Une console d’administration des RSSI permet aux RSSI de voir et de tracer chaque mouvement de fichier : téléchargement, envoi, modification, réception, et plus encore. Les RSSI utilisent cette granularité pour créer une tapisserie de la façon dont l’entreprise interagit avec le monde extérieur. Avec ce trésor de données, les RSSI développent des repères d’activité commerciale normale et appliquent des heuristiques pour détecter les anomalies. Pourquoi le nouvel analyste financier partage-t-il un état financier trimestriel avant le communiqué de presse des résultats ? Pourquoi quelqu’un du service Ingénierie essaie-t-il d’accéder à des dossiers créés par un directeur des RH ? Les RSSI ayant une compréhension approfondie de l’entreprise savent que ce comportement est inhabituel. En conséquence, ils peuvent automatiquement répondre à cette activité anormale avant qu’elle ne devienne une menace, offrant ainsi la défense ultime du contenu le plus sensible de l’organisation.
Maintenant que vous avez établi vos repères pour détecter et arrêter les activités anormales, comment pouvez-vous aider à prévenir les violations et les attaques malveillantes dès le départ? Dans mon dernier article de cette série, je discuterai de l’utilisation de l’automatisation pour aider à arrêter les menaces avant que des dommages durables ne soient causés.
Pour en savoir plus sur la construction d’une défense holistique de la surface de menace des flux de travail tiers, planifiez une démonstration personnalisée de Kiteworks dès aujourd’hui.
Ressources supplémentaires
- Article Sécurité de la gestion des risques
- Article de blog Qu’est-ce qu’un journal d’audit pour la conformité ? [Comprend des solutions]
- Article de blog Règle de notification de violation HIPAA
- Article de blog Exigences de la règle de sécurité HIPAA
- Glossaire Gestion des risques en cybersécurité