Avec la prolifération de marchés noirs obscurs sur le soi-disant « darknet » – des bazars du crime cachés accessibles uniquement via un logiciel spécial qui obscurcit son véritable emplacement en ligne – il n’a jamais été aussi facile pour des employés mécontents de nuire à leur employeur actuel ou ancien. C’est du moins la peur qui anime une écurie croissante d’entreprises à la recherche de solutions techniques pour détecter les initiés potentiels.
Aviva Litanun analyste de la fraude avec Gartner Inc.dit avoir été inondée récemment d’appels d’organisations demandant ce qu’elles peuvent faire pour contrer le scénario suivant : un employé mécontent ou mécontent crée un personnage sur un marché darknet et propose de vendre la propriété intellectuelle de son entreprise ou l’accès au réseau de son employeur.
Litan a déclaré il y a un an qu’elle aurait peut-être reçu une telle demande par mois; maintenant, Litan dit qu’elle reçoit plusieurs appels par semaine, souvent d’entreprises en panique.
« Je reçois des appels de nombreuses grandes entreprises, notamment des fabricants, des banques, des sociétés pharmaceutiques et des détaillants », a-t-elle déclaré. « Il y a un an, personne ne voulait dire s’il s’inquiétait ou s’il s’inquiétait sérieusement des initiés, mais cela est en train de changer. »
Certaines entreprises qui investissent énormément dans la propriété intellectuelle – en particulier les entreprises pharmaceutiques et de soins de santé – travaillent avec les forces de l’ordre ou paient des entreprises de sécurité pour surveiller et suivre les acteurs du darknet qui promettent d’accéder à des données ou à des organisations spécifiques, a déclaré Litan.
« Un pharma à qui j’ai parlé récemment m’a dit qu’il avait rencontré [federal agents] une fois par semaine pour voir si ses employés sont actifs sur le darknet », a-t-elle déclaré. « Il s’avère qu’il y a beaucoup d’employés mécontents qui veulent faire du mal à leurs employeurs. Avant, ce n’était pas toujours clair comment s’y prendre, mais maintenant, ils ont juste besoin de créer un compte gratuit sur un site darknet.
Les statistiques et les chiffres ne suffisent pas à illustrer l’ampleur du problème. UNE Rapport de septembre 2015 à partir de Intel ont constaté que les acteurs internes étaient responsables de 43 % des pertes de données, mais seulement la moitié environ de celles-ci étaient destinées à nuire à l’employeur.
De même, le Rapport d’enquête sur les violations de données 2016 (DBIR), une enquête annuelle sur les violations de données Verizon Entreprise, la découverte d’initiés et/ou l’utilisation abusive des privilèges des employés étaient présents dans la majorité des incidents. Pourtant, il a également conclu qu’une grande partie de cela n’était pas malveillante, mais semblait plutôt liée au fait que les employés envoyaient des informations sensibles ou les chargeaient sur un service de partage de fichiers en ligne.
Peut-être que l’une des raisons pour lesquelles les initiés sont si craints est que les personnes malveillantes peuvent très souvent opérer pendant des années sans être détectées, causant des dommages importants aux employeurs dans le processus. En effet, le DBIR de Verizon a révélé que les violations d’initiés prennent généralement des mois ou des années à être découvertes.
Noam Jollesun expert principal du renseignement à Technologies Avancées Diskin, étudie les communautés darknet. Je l’ai interviewée l’année dernière dans « Bidding for Breaches », une histoire sur un forum secret darknet appelé Enigma où les membres pourraient être embauchés pour lancer des attaques de phishing ciblées contre des entreprises. Certains membres d’Enigma sollicitaient régulièrement des offres concernant les noms de personnes dans des sociétés ciblées qui pourraient servir d’initiés, ainsi que des listes de personnes susceptibles d’être recrutées ou extorquées.
Jolles a déclaré que la prolifération des communautés darkweb comme Enigma a abaissé les barrières à l’entrée pour les initiés et a fourni même aux initiés potentiels les moins sophistiqués de nombreuses opportunités de trahir la confiance de leur employeur.
« Je ne suis pas sûr que tout le monde soit conscient de la simplicité et de la praticité de ce phénomène aux yeux de l’adversaire et à quel point il est éloigné de la notion d’un initié en tant qu’employé sophistiqué et mécontent », a déclaré Jolles. « Les dommages causés par l’initié ne sont pas nécessairement dus à sa position, mais plutôt à la sophistication des acteurs de la menace qui ont mis la main sur lui. »
Qui est l’initié type ? Selon le DBIR de Verizon, près d’un tiers des initiés aux violations en 2015 se sont avérés être des utilisateurs finaux qui avaient accès à des données sensibles pour faire leur travail.
« Seul un petit pourcentage (14%) occupent des postes de direction (direction ou autre direction), ou dans des rôles avec des emplois à privilèges d’accès élevés tels que les administrateurs système ou les développeurs (14%) », a écrit Verizon, notant que les initiés étaient le plus souvent trouvés. dans les métiers de l’administration, de la santé et du secteur public. «La morale de cette histoire est de moins se soucier des titres de poste et plus du niveau d’accès dont dispose chaque Joe ou Jane (et votre capacité à les surveiller). En fin de compte, maintenez un niveau sain de méfiance envers tous les employés.
Si des analystes de l’industrie technologique comme Litan se font cingler à gauche et à droite au sujet de la menace interne ces jours-ci, cela pourrait avoir quelque chose à voir avec la facilité avec laquelle il est facile de trouver des informations exclusives sur l’entreprise ou d’accéder à l’offre dans les forums darknet – dont beaucoup permettent à pratiquement n’importe qui de inscrivez-vous et rejoignez.
L’autre raison peut être qu’il y a beaucoup plus d’entreprises qui recherchent ces informations et notifient activement les organisations concernées. Ces notifications deviennent invariablement des arguments de vente pour la « surveillance du dark web » ou les « services de renseignement sur les menaces », et de nombreuses entreprises ne savent probablement pas quoi penser de cette industrie encore naissante.
Comment les organisations peuvent-elles mieux détecter les initiés avant que le mal ne soit fait ? Litan de Gartner a mis l’accent sur la surveillance et le filtrage continus des initiés de confiance dotés de privilèges élevés. Au-delà de cela, Litan dit qu’il existe un large éventail de solutions technologiques de menaces internes basées sur les données. À une extrémité du spectre se trouvent les entreprises qui effectuent des recherches ciblées par mots-clés pour le compte de clients sur les réseaux sociaux et les destinations darknet. Des offres plus sérieuses et coûteuses appliquent l’apprentissage automatique aux dossiers internes des ressources humaines (RH) et s’efforcent de découvrir et d’infiltrer les réseaux criminels en ligne.
Quelle est la réponse de Verizon à la menace interne ? « Aimez vos employés, créez des liens à la retraite de l’entreprise, apportez des bagels le vendredi, mais surveillez scrupuleusement leur activité quotidienne autorisée, en particulier celles qui ont accès à des données monétisables (informations sur les comptes financiers, informations personnellement identifiables (PII), cartes de paiement, dossiers médicaux). »
Lecture complémentaire : Les menaces internes s’intensifient et prospèrent sur le Dark Web.