Les 5 attributs d’une solution de protection efficace contre les menaces liées au Cloud

0

La sécurité du Cloud a énormément évolué ces dernières années. Aujourd’hui, la plupart des fournisseurs de services Cloud d’entreprise assument la responsabilité de la sécurité de l’application sous-jacente et de son infrastructure. Ils assurent une protection contre les intrusions et les attaques visant leurs systèmes. Cependant, c’est au client qu’il incombe de sécuriser l’utilisation et les données dans le Cloud, ce qui implique notamment de contrôler comment le service est utilisé, qui a accès aux données et qui partage quoi avec qui d’autre. Ce modèle, connu sous le nom de modèle de responsabilité partagée, est employé par la plupart des fournisseurs de services Cloud, dont Salesforce, Box, Microsoft et Amazon.

Les menaces qui découlent d’une activité interne ou de la négligence d’un employé relèvent de la responsabilité du client. C’est pourquoi les entreprises investissent dans des solutions de protection contre les menaces liées au Cloud afin de sécuriser leurs données. Selon les prévisions de la dernière étude Gartner, d’ici l’horizon 2020, les entreprises consacreront 60 % de leur budget en matière de sécurité des informations à des solutions garantissant une détection et une résolution rapides, contre moins de 10 % en 2014. Ces solutions doivent intégrer une forme d’analyse du comportement des entités et des utilisateurs (UEBA – User and Entity Behavior Analytics), ainsi que des algorithmes d’apprentissage machine, afin de créer des modèles comportementaux pour les utilisateurs du service Cloud et de détecter les activités anormales symptomatiques d’une menace.

Pour être véritablement efficaces, ces solutions doivent offrir les fonctionnalités suivantes :

1. Visibilité sur les menaces multi-Cloud

La protection contre les menaces liées au Cloud ne peut être efficace qu’avec une visibilité sur les activités et les menaces qui impliquent plusieurs services Cloud. En évaluant les activités des utilisateurs au-delà de la connexion initiale pour inclure l’activité à travers tout le spectre des services Cloud et le contexte associé, une solution est à même de protéger les données d’entreprise à l’échelle des différents systèmes Cloud. Bien que l’échec de plusieurs tentatives de connexion au sein d’un même service Cloud, par exemple, ne soit pas forcément source d’inquiétude, le déclenchement soudain par un utilisateur d’échecs de connexion pour plusieurs services Cloud pourrait être le signe d’une menace réelle.

Autre exemple de situation alarmante : un utilisateur qui télécharge un rapport volumineux à partir de Salesforce et le transfère ensuite sur un service de partage de fichiers non autorisé. Seule une solution de protection contre les menaces multi-Cloud est en mesure d’identifier cette activité comme une menace potentielle.

2. Auto-apprentissage sans saisie manuelle

Les schémas d’activité dans le Cloud, même pour un utilisateur spécifique, se transforment constamment à mesure que les employés endossent de nouveaux rôles au sein de l’entreprise et changent leurs habitudes. Par conséquent, une fois qu’un logiciel a observé un environnement, déterminé les modèles comportementaux et établi des points de référence, il doit continuer à modifier ses modèles, avec une intervention humaine minimale, dès lors qu’il détecte un comportement nouveau. Cette caractéristique distingue l’UEBA de l’heuristique et des modèles statiques traditionnels : en effet, ces approches classiques nécessitent de très nombreuses mises à jour manuelles pour garantir une détection précise des menaces, tandis que les approches axées sur l’UEBA évoluent par elles-mêmes.

3. Réduction des données d’utilisation à un modèle mathématique

Prenons pour exemple une utilisatrice Salesforce dont l’activité a été enregistrée dans des pistes d’audit sur une période de trois ans. Cette utilisatrice a sans doute créé de nombreux points de données stockés dans le système. Lorsque le système consigne une nouvelle activité de la part de cette utilisatrice, il peut la comparer à trois ans de données brutes pour déterminer s’il s’agit là d’une activité anormale. Cependant, cette méthode mobilise une grande partie de la capacité de traitement de l’ordinateur exécutant l’algorithme.

Le système a également la possibilité de convertir les trois ans de données comportementales brutes en modèle mathématique. Cette opération simplifie considérablement le processus de comparaison des nouvelles activités aux activités précédentes afin de détecter celles qui sont anormales, tout en continuant à offrir une représentation riche en informations du comportement des utilisateurs à l’aide de polynômes complexes de degré élevé.

4. Regroupement des utilisateurs en fonction du comportement

Prenons maintenant l’exemple de quatre employés qui prennent régulièrement des vacances (pas au même moment) et qui à leur retour transfèrent une quantité importante de données (leurs photos de vacances) dans des dossiers personnels sur leur compte Box d’entreprise. En regroupant automatiquement ces quatre utilisateurs et leur comportement singulier, il est possible de déduire de ce comportement un schéma qui ne ressortirait pas forcément si leur comportement était observé isolément. Le regroupement des utilisateurs contribue à améliorer la précision de la détection des menaces, en particulier lorsque les données d’utilisation sont limitées. Si peu de données d’utilisation sont disponibles pour un individu pour un service ou une période spécifique, son activité peut être comparée à celle d’utilisateurs similaires afin de déterminer si elle est anormale.

5. Prise en compte du caractère variable de l’utilisation selon l’heure, le jour, la semaine ou le mois

Revenons à notre utilisatrice Salesforce imaginaire. Au début du trimestre, elle effectue de nombreuses tâches sur les comptes qu’elle gère en prévision des trois mois à venir. À l’approche de la fin du trimestre, son activité est à nouveau très importante. Mais entre les deux, il se peut qu’elle se montre peu active. Si un système fait la moyenne de son activité sur l’ensemble du trimestre, il en inférera un faible niveau d’utilisation et signalera de nombreux faux positifs au début et à la fin du trimestre. Par contre, si le système déduit du comportement des schémas saisonniers et cycliques pour des intervalles de temps spécifiques, il corrélera automatiquement le niveau d’activité sur les comptes avec la période du trimestre pour distinguer correctement un comportement normal d’une menace véritable.

En tenant compte de ces 5 éléments, une entreprise peut choisir une solution de protection efficace, prenant en considération la réalité des usages actuels du Cloud.

 

Share.

About Author

Senior Director, Europe du Sud chez CrowdStrike

Leave A Reply