Serveur d'impression

Pourquoi la prévention de la perte de données traditionnelle et les UEBA échouent (et où le point final DLP brille) – Serveur d’impression

Le 11 décembre 2019 - 17 minutes de lecture

De la simple analyse des journaux à la gestion des informations et des événements de sécurité (SIEM) à la prévention de la perte de données (DLP) aux solutions plus récentes telles que l'analyse du comportement des utilisateurs et des entités (UEBA) – les entreprises utilisent toutes sortes de logiciels de sécurité spécialisés pour protéger leurs données sensibles, empêcher les violations de données ou atténuer les menaces internes. Le mot clé ici est «spécialisé». Chacun de ces logiciels a ses propres forces et faiblesses et est utile pour des cas d'utilisation spécifiques. Par exemple, alors qu'un système traditionnel de protection des données (DLP hérité, DLP réseau, ancienne génération de logiciels de détection de perte de données ou DLD et dans une certaine mesure, surveillance et filtrage de contenu ou systèmes CMF) peut agir comme un moyen raisonnable contre l'exfiltration de données, il n'est pas conçu pour détecter des menaces humaines telles qu'un utilisateur privilégié malveillant. D'un autre côté, un UEBA ou des solutions de surveillance des employés sont efficaces pour identifier les anomalies comportementales et les menaces internes, mais ils ne sont pas très efficaces pour empêcher les vols de données sophistiqués tels que stéganographie.

Voyons quelles sont les autres limites des logiciels DLP et UEBA traditionnels. Nous discuterons ensuite de ce qui est une meilleure alternative.

Les DLP traditionnels utilisent une combinaison de mesures de sécurité des données standard telles que la correspondance de signature, le balisage de fichier ou l'empreinte digitale de données structurées et parfois la détection d'intrusion et un pare-feu pour protéger les données sensibles. La majorité d'entre eux sont installés aux points de sortie du réseau, ce qui leur donne une visibilité directe sur toutes les données entrantes et sortantes. Cependant, ces systèmes deviennent inefficaces lorsque les données voyagent en dehors de l'environnement géré, par exemple l'appareil mobile d'un utilisateur. Leur forte concentration sur les données plutôt que sur le consommateur de données (utilisateur) rend également ces DLP inutiles lorsqu'il s'agit d'enquêter sur des menaces «douces» telles que le sabotage d'initié, la manipulation de privilèges, l'ingénierie sociale, etc. Les autres inconvénients des DLP traditionnels sont:

DLP est conçu pour les données, les initiés sont des personnes

Un logiciel DLP, par définition, est conçu pour protéger les données. Un DLP traditionnel ou basé sur le réseau est installé aux points de sortie du réseau qui analyse le trafic réseau tout en appliquant des politiques de sécurité sur le mouvement des données. Ils ne font généralement pas de distinction entre un utilisateur, son intention ou le contexte commercial de ces données. Par conséquent, ces solutions DLP ne peuvent pas détecter la plupart des menaces internes ni identifier la différence entre un comportement malveillant et un accident. Sans une sorte d'analyse comportementale, il leur est impossible d'analyser les actions des utilisateurs et les nuances humaines.

Les DLP traditionnels peuvent coûter cher

UNE enquête dirigé par ComputerWeekly a constaté que le principal défi dans la mise en œuvre du DLP était qu'il était trop cher (32%). Alors que les choses s'améliorent, un DLP traditionnel, en particulier les solutions basées sur le matériel, sont toujours relativement chers. Ce n'est pas seulement la licence du logiciel, une implémentation DLP peut nécessiter un support de service professionnel de la part du fournisseur qui peut coûter des centaines de milliers de dollars pour des projets plus importants. Des utilitaires ou une intégration supplémentaires peuvent également être nécessaires, soit auprès d'un tiers, soit auprès du fournisseur lui-même. Parfois, ceux-ci sont vendus en tant que modules ou appareils séparés, ce qui augmente le coût global.

Les DLP sont difficiles à configurer et à gérer

Les DLP ne sont pas conçus pour fonctionner immédiatement. Ils doivent être correctement configurés pour les cas d'utilisation spécifiques de votre organisation. Beaucoup d'entre eux reposent sur la définition manuelle des données, les classifications et la configuration de règles et de politiques complexes. La configuration du DLP peut prendre du temps et nécessite des ressources coûteuses pour les ajustements et l'optimisation en cours. Alors que les grandes entreprises peuvent se permettre d'investir pour une entreprise aussi massive, les petites entreprises n'ont tout simplement pas les ressources, l'argent ou le temps pour mettre en œuvre et maintenir de tels projets même si elles peuvent se permettre d'acheter le logiciel. Même les grandes entreprises pourraient renoncer à la maintenance continue du DLP et simplement le remettre à un état obsolète. En conséquence, le DLP devient inefficace au fil du temps ou pire, commence à générer trop de faux positifs. Cela, à son tour, est un résultat plus dangereux car l'équipe de sécurité commence à ignorer les avertissements.

Les DLP hérités peuvent être contournés par les utilisateurs

Un administrateur malveillant ou un utilisateur privilégié peut facilement contourner les règles DLP. Comme ils savent comment fonctionne le système de sécurité, ils peuvent exploiter les lacunes et les lacunes ou même se laisser des portes dérobées. Par exemple, s'ils savent que certains mots clés sont signalés par la règle DLP, ils peuvent utiliser d'autres mots clés. Ou, ils peuvent modifier les paramètres d'un système pour leur permettre d'accéder à des données ou des ressources sensibles sans lever de drapeau. Parfois, un utilisateur n'a pas à être un utilisateur privilégié pour exploiter les lacunes d'un système DLP. Au fil du temps, ils peuvent simplement prédire comment cela fonctionne par de simples essais et erreurs. Sans connaissance de l'intention comportementale, un DLP traitera simplement cet accès aux données comme légitime.

Les utilisateurs innocents peuvent également provoquer accidentellement des failles de sécurité. En réalité, l'une des principales causes de violations de données est les erreurs humaines. Souvent, ils sont ciblés par des criminels externes via l'ingénierie sociale ou le phishing. Dans la majorité de ces cas, les informations d'identification volées sont utilisées par les pirates pour voler les données de l'entreprise sans créer d'empreinte de sécurité. La vérité est que les utilisateurs privilégiés compromis et l'utilisation abusive des informations d'identification sont difficiles à détecter.

Enfin, la montée du Bring Your Own Device (BYOD), le travail à distance et les pratiques de freelance ont rendu difficile le maintien d'un jardin fermé approche de la protection des données. Une fois les données hors du réseau géré, l'utilisateur peut à peu près tout faire avec les données.

Les DLP monolithiques peuvent affecter les performances

Un autre inconvénient du DLP traditionnel est qu'il a tendance à créer des workflows encombrants. Cet article sur les OSC l'explique bien. En bref, cela signifie que, si elle est utilisée de manière inappropriée, votre implémentation DLP pourrait sacrifier la productivité de votre équipe pour la sécurité. Les raisons pour lesquelles cela peut se produire sont doubles. Tout d'abord, une installation DLP peut être lourde pour vos utilisateurs ou votre réseau, ralentir les choses, générer un comportement d'application étrange ou même planter certains systèmes. Bien que cela puisse être résolu dans une certaine mesure par des mises à niveau et des correctifs réguliers, il s'agit toujours d'un traitement supplémentaire et certains systèmes critiques peuvent souffrir en raison des frais généraux. Deuxièmement, en conservant des données importantes en otage, DLP perturbe la libre circulation des informations à l'intérieur de votre organisation, créant des barrières et des sauts supplémentaires qui pourraient affecter la productivité et l'efficacité.

Les solutions DLP uniquement n'ont aucun avantage en termes de productivité

DLP est une solution à usage unique. Donc, si vous recherchez des fonctionnalités supplémentaires comme la capacité de surveiller les performances des employés, le suivi du temps, la paie, etc., vous aurez besoin d'une solution distincte comme suivi des employés ou UEBA.

Obtenez le meilleur des deux mondes

Prévention de la perte de données d'un DLP complet et protection contre les menaces internes d'un UEBA

Essayez Teramind DLP gratuitement

Les logiciels d'analyse du comportement des utilisateurs et des entités (UEBA) peuvent identifier et alerter l'organisation d'un large éventail de comportements anormaux et de menaces internes potentielles. Cependant, ils n'ont pas les capacités avancées de découverte, de classification et de corrélation des données d'un DLP. Après tout, l'UEBA se concentre sur la prévention de la compromission de données sensibles en restreignant l'accès à celles-ci, et non sur l'intégrité des données elles-mêmes. C’est à cela que servent les DLP. Il existe également plusieurs autres limitations des UEBA:

UEBA peut être écrasant

Les solutions UEBA capturent des volumes de données pour chaque utilisateur, des activités des sites Web, des e-mails aux frappes individuelles. Certains capturent même des données audio / vidéo. Analyser toutes ces données et les alertes et les journaux système qui en résultent peut être intimidant pour un analyste de la sécurité, surtout s'il doit faire face à de grandes équipes. Alors que de nombreux logiciels UEBA fournissent un filtrage et des règles pour gérer les volumes de données, le mal réside parfois dans les détails. Il n'est pas rare que les analystes de la sécurité se retrouvent à parcourir des milliers de journaux et d'enregistrements de session lors de l'audit d'un utilisateur ou lors d'une enquête. De plus, pour qu'un UEBA soit efficace, les organisations doivent souvent s'appuyer sur un processus de contrôle d'accès et de gestion des identités solide pour chaque utilisateur. Bien que ce ne soit pas une mauvaise chose, cela peut créer un travail supplémentaire pour le service informatique car il doit garder son Active Directory en synchronisation avec les profils d'utilisateurs et de groupes sur l'UEBA. Enfin, pour tirer pleinement parti de l'UEBA, des systèmes d'entités tels que le HR / CRM doivent être intégrés à l'UEBA. Ainsi, l'implémentation n'est pas aussi simple qu'elle en a l'air.

L'UEBA a une portée limitée

La plupart des solutions PureBA UEBA reposent sur un agent pour leur principale source de données. Cela peut limiter leur portée, c'est-à-dire surveiller uniquement les machines locales et laisser des lacunes dans le serveur ou la couche cloud. Étant donné la façon dont les applications évoluent vers un modèle cloud / SaaS, cela peut être une limitation majeure lorsqu'il s'agit d'une telle surveillance UEBA localisée.

L'UEBA pourrait soulever des problèmes de confidentialité

Ces dernières années, la confidentialité des données est devenue le sujet de conversation en raison de l'introduction du RGPD et de lois similaires. Étant donné que l'UEBA collecte une grande quantité de données utilisateur, il comporte certains risques de confidentialité. Alors que certaines solutions offrent l'anonymisation / pseudonymisation, des pannes dynamiques et des fonctionnalités de surveillance configurables, tous les UEBA n'ont pas de telles capacités pour protéger la vie privée des employés et défendre efficacement l'organisation contre les menaces internes.

Les UEBA sont une impasse évolutive

UEBA devient de plus en plus une caractéristique d'un ensemble plus large de produits de sécurité tels que le courtier de sécurité d'accès au cloud (CASB) et les systèmes de gouvernance et d'administration des identités, SIEM, Endpoint DLP, etc. La recherche Gartner a ceci à dire sur UEBA dans leur Guide du marché pour l'analyse du comportement des utilisateurs et des entités, «… Le marché s'éloigne sans cesse des fournisseurs pure-play, vers un ensemble plus large de produits de sécurité traditionnels qui intègrent les technologies et fonctionnalités UEBA de base pour bénéficier de capacités d'analyse avancées.» Avec le temps, l'UEBA cessera d'exister en tant que pure-play produit. Cela se produit déjà.

Donc, la question que vous devez vous poser est: devez-vous attendre que votre fournisseur CASB / SIEM / DLP inclue cette fonctionnalité dans son produit (si ce n'est pas déjà fait)? Ou, avez-vous besoin d'une protection contre les menaces internes maintenant et ne pouvez pas attendre? La bonne nouvelle est, dans les deux cas, la réponse est: non. Il existe déjà une meilleure alternative qui combine les fonctionnalités d'un DLP et les informations d'un UEBA.

Une progression naturelle de tout marché technologique est que cela commence par des produits désespérés, puis que le marché évolue, les fournisseurs s'orientent vers l'intégration. C’est ce qui se passe actuellement sur le marché de la cybersécurité. Une nouvelle génération de solutions DLP, appelée Endpoint DLP ou eDLP, fait son entrée sur le marché et intègre les avantages des deux mondes – la détection des menaces axée sur l'utilisateur, optimisée par l'UEBA et la prévention des pertes centrée sur les données grâce à la technologie DLP arrivée à maturité.

Teramind DLP est un parfait exemple d'un tel costume. Il comprend toutes les capacités de suivi de l'activité des utilisateurs de la plate-forme de surveillance des employés de Teramind, des analyses intelligentes à partir d'un produit UEBA entièrement fonctionnel couplées à un DLP de point final puissant et des fonctionnalités de conformité. Voici quelques avantages à utiliser une telle solution DLP de point de terminaison:

Les DLP Endpoint ont un meilleur contexte de menace

Un DLP de point de terminaison idéal peut surveiller le comportement quotidien d'un utilisateur sur les applications, les sites Web, les e-mails, même les entrées brutes telles que le keylogging, l'activité à l'écran et plus encore. Cela est utile pour détecter les risques «humains» tels que les employés malveillants, la collusion, le sabotage, les vols et autres menaces internes. La combinaison de cette surveillance de l'activité des utilisateurs et de l'analyse du comportement avec une classification automatisée des données, la découverte des menaces avec l'apprentissage automatique, les règles de partage de contenu, les empreintes digitales, le balisage, l'OCR et d'autres fonctionnalités avancées de protection des données confèrent aux DLP terminaux une couverture plus large qu'un DLP traditionnel ou réseau.

Les DLP Endpoint respectent la vie privée

Comme mentionné précédemment, l'utilisation d'une solution UEBA seule peut vous exposer à des risques de confidentialité. Endpoint DLP élimine de nombreuses faiblesses de la mise en œuvre de la confidentialité de l'UEBA en vous permettant de filtrer les données sensibles telles que PII, PHI et PFI tout en offrant une défense solide contre les menaces internes. En matière de respect de la vie privée, un DLP de point de terminaison moderne prend en charge les normes de conformité réglementaires communes, notamment le GDPR, HIPAA, PCI DSS, ISO 27001, NIST, FISMA, etc. En outre, des alertes détaillées, des journaux de session, des anomalies et des analyses de risques et des rapports d'incidents disponible dans un tel point de terminaison DLP peut vous aider à démontrer au DPD et aux auditeurs de conformité que vous avez établi les meilleures pratiques de sécurité des données et que vous êtes prêt à remplir les exigences de signalement des violations et de charge de la preuve.

Les DLP Endpoint génèrent moins de faux positifs

Les DLP Endpoint ont accès à un meilleur contexte grâce à la couche UEBA intégrée. Un tel système peut non seulement détecter ou arrêter une violation de données, mais également suivre d'où provient la menace, quelle était la cause de la menace et les ensembles de données ou ressources affectés. Certains DLP de point final vont encore plus loin en analysant dynamiquement les risques actuels et futurs tout en attribuant des scores de risque pondérés aux utilisateurs, données et applications vulnérables, prévenant ainsi les menaces futures. Cette vue holistique des menaces intégrant l'intention de l'utilisateur et le contexte, réduit considérablement les faux positifs par rapport aux solutions qui s'appuient uniquement sur les données cibles.

Endpoint DLP est facile à configurer et à exécuter

Cela peut ne pas sembler être un avantage évident, mais cela peut vous faire économiser une tonne de temps au stade initial de votre implémentation DLP. Sur un point de terminaison DLP, vous pouvez créer une seule règle effectuant facilement des tâches de plusieurs règles. En utilisant les lignes de base comportementales générées par l'UEBA, les règles peuvent réagir dynamiquement aux anomalies par rapport à la création de règles distinctes avec des paramètres fixes tels que des listes noires / blanches, le filtrage IP et d'autres méthodes rigides. Aussi, comme nous l'avons exploré dans Cet article, le fait d'avoir l'analyse comportementale à portée de main crée également des opportunités pour le DLP d'appliquer des modèles d'apprentissage automatique pour traiter automatiquement de grands volumes de données et créer des modèles de menace, ce qui réduit encore la dépendance vis-à-vis des opérateurs humains.

Les DLP Endpoint offrent des avantages supplémentaires

Les DLP de point d'extrémité modernes comme Teramind DLP regroupent des fonctionnalités supplémentaires telles que l'analyse de la productivité, le suivi du temps, les widgets de paie, etc. Ils peuvent ne pas être aussi essentiels pour les grandes entreprises, les PME peuvent les trouver assez attrayantes. Un logiciel unique qui peut répondre aux besoins de sécurité, de productivité et de ressources humaines est très utile pour les startups et les petites entreprises.

Les DLP Endpoint sont économiques

Les produits Endpoint DLP sont relativement moins chers si l'on considère le fait qu'ils servent à plusieurs produits: surveillance des employés, UEBA, gestion des identités, etc. Ils sont également proposés à des prix compétitifs par les fournisseurs qui cherchent à perturber le marché de la sécurité traditionnel.

Le but de cet article n'est pas de critiquer les solutions DLP ou UEBA traditionnelles. Comme je l'ai mentionné dans l'introduction, toutes les solutions de sécurité ont leur raison d'être. Si vous utilisez déjà un tel produit qui répond à vos besoins, continuez certainement à l'utiliser. Cependant, si vous n'êtes pas satisfait de votre solution actuelle ou si vous êtes sur le marché à la recherche des dernières solutions de surveillance des employés, de détection des menaces internes, de prévention des pertes de données et de gestion de la conformité, vous devriez essayer les DLP de point de terminaison.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.