Cybersécurité : quelle base pour caractériser les menaces internes ?

Comment caractériser les menaces internes sur les systèmes informatiques ? En s'appuyant sur ATT&CK. Tel est en tout cas le parti de MITRE, l'organisation à l'origine de ce framework axé sur les menaces externes. Elle en a repris les TTP (techniques et tactiques d'attaque) et les a confrontés à des indicateurs relevés en situation réelle par un panel de grandes entreprises.

Constat : les méthodes les plus évidentes - et les plus simples - sont aussi les plus exploitées. C'est peut-être, tempère MITRE, lié au fait qu'on les détecte plus facilement...

Les TTP suivants ont beaucoup d'exemples documentés, chez de multiples entreprises du panel :

- Exploitation de comptes légitimes (autant cloud qu'Active Directory)
- Collecte de données sur des dépôts centralisés (SharePoint notamment)
- Exfiltration sur des supports physiques et par le biais de services web

Les TTP suivants sont d'un usage « modéré » (beaucoup d'exemples dans peu d'entreprises ou vice versa) :

- Création de comptes
- Suppression de traces sur l'hôte
- Agrégation de données en local et archivage
- Exfiltration vers du stockage cloud
- Utilisation de logiciels d'accès distant

MITRE s'en est tenu aux actions détectables dans les logs. Par à celles qui nécessitent de l'analyse de texte, comme les menaces d'un employé envers un autre.

On n'identifie souvent pleinement une menace que lorsque l'enquête touche à sa fin, affirme MITRE. On tend par ailleurs à manquer de contexte pour faire la différence avec des faits de négligence. Les menaces internes sont en outre moins manifestes : par rapport aux menaces externes, elles impliquent moins souvent de la reconnaissance, la diffusion de malwares ou l'élévation de privilèges.

Photo d'illustration © pinkeyes - Adobe Stock