Alors que les solutions digitales sont devenues la norme pour la plupart des activités d’entreprise, les organisations sont de plus en plus vulnérables aux cybermenaces. Et si les risques liés à l’accès à une application d’entreprise peuvent être aussi uniques que l’application elle même, il est fondamental de surveiller les nombreux signaux qui constituent souvent les premiers avertissements de failles de sécurité potentielles.
Votre application web est votre vitrine vis à vis du monde extérieur ainsi que l’interface qui connecte vos interlocuteurs (utilisateurs ou clients) avec votre infrastructure en backend. Il est crucial de permettre à vos utilisateurs externes d’interagir avec vos systèmes informatiques, mais cela expose aussi vos systèmes à diverses cyberattaques. Heureusement, il y a plusieurs signaux susceptibles de vous alerter sur des risques potentiels.
L'UEBA, l’analyse du comportement des utilisateurs et des événements, est une approche de la cybersécurité qui utilise des technologiques informatiques avancées, comme l’intelligence artificielle, le machine learning et l’apprentissage approfondi pour analyser et modéliser un comportement utilisateur normal.
Si le système découvre un comportement anormal, comme un terminal essayant de communiquer avec un serveur externe ou un trafic dense du réseau en dehors des heures de travail, il peut déterminer et préciser si cette anomalie est suspecte.
Les acteurs des menaces utilisent souvent des outils automatisés pour compléter rapidement des formulaires web. Ce comportement peut être le signe qu’une attaque par force brute ou visant à deviner le mot de passe est en cours, car ces techniques reposent sur l’optimisation du nombre et de la vitesse des tentatives.
Cette pratique implique d’utiliser des outils automatisés pour compléter rapidement des formulaires. Par exemple, un bot peut être utilisé pour s’enregistrer plusieurs fois dans un très court laps de temps. Les attaquants peuvent utiliser des outils automatisés pour soumettre un grand nombre de commentaires à un blog en particulier, empêchant celui-ci de réagir.
Les sites marchands demandent fréquemment à leurs clients de créer un compte avant de faire des achats. Plusieurs tentatives visant à passer à la page expédition sans fournir d’informations sur le client peuvent être le signe d’une attaque.
Les acteurs des menaces ont diverses stratégies testées et éprouvées pour voler les identifiants des comptes des utilisateurs. Le phishing, ou hameçonnage, est l’une des plus célèbres d’entre elles. Il est plus facile de tromper les utilisateurs pour les pousser à fournir des informations sensibles que de tenter de contourner les solutions de sécurité qui empêchent les accès non autorisés.
Si vos employés reçoivent des e-mails suspects leur demandant de fournir les identifiants de leur compte ou d’ouvrir des pièces jointes Microsoft Office, PDF ou .exe, c’est clairement le signe d’une tentative d’infiltration.
Certaines applications web demandent aux utilisateurs de recharger leur compte en ligne avec de l’argent ou des « points » pour utiliser certains services ou certaines fonctions. La détection de nombreuses tentatives infructueuses de rechargement de services en ligne, comme l’insertion répétée d’un code de carte cadeau, est le signe clair que des cybercriminels malveillants tentent de deviner un code valide.
Lorsque des utilisateurs légitimes éprouvent des difficultés pour accéder à leurs applis web ou à leurs profils en ligne, ces difficultés peuvent être dues à un chargement ralenti ou à une congestion du réseau. Une hausse des demandes pour ce type d’assistance peut indiquer qu’une cyberattaque, telle qu’une attaque DDoS (distributed denial-of-service), est en cours.
Les API sont largement utilisées dans les applications et les microservices web pour faciliter les interactions entre des composants logiciels. Si les utilisateurs rencontrent un problème pour se connecter à leur application, cela peut être dû à une attaque DDoS en cours contre les gateways des API ou bien à des attaquants ciblant le service d’authentification des API.
Toute application installée sur un terminal utilisateur souhaitant accéder à Internet doit ouvrir une connexion IP. La surveillance de toutes les connexions IP peut révéler l’existence de connexions établies avec des adresses IP suspectes. Par exemple, quelqu’un présentant une menace peut voler des données et les envoyer silencieusement à des serveurs externes.
Un autre exemple consiste à communiquer avec des serveurs C2 (Command-and-Contrôle) pour télécharger un malware ou pour recevoir des clés chiffrées durant des attaques par ransomware. La détection de connexions avec des adresses IP malveillantes est un indicateur évident de cyberattaque.
Les plages d’adresses IP sont un ensemble d’adresses IP dans une plage donnée utilisées par un service particulier/acteur malveillant. Aussi, au lieu d’avoir une seule adresse IP, un service peut utiliser plusieurs adresses IP dans une plage donnée. Cela peut vouloir dire que vous devez associer un risque donné à une plage donnée d’adresses IP plutôt qu’à une seule adresses IP spécifique. Par exemple, des acteurs malveillants, notamment les groupes APT et de ransomwares, peuvent utiliser des adresses IP spécifiques dans une plage particulière pour déployer des malwares qui communiquent avec leur serveur C&C (command and control).
Pour gérer cela, ces adresses IP malveillantes peuvent être stockées dans une base de données connectée à une solution de surveillance de la sécurité qui met à terme à toute connexion entrante/sortante utilisant ces adresses IP dès qu’elles sont découvertes.
Les adresses IP ont une réputation. Plusieurs entreprises de sécurité et organisations gouvernementales surveillent les adresses IP et leur attribuent un niveau de sûreté. Les adresses IP connues pour envoyer des spams se voient attribuer un faible score ou sont tout simplement mises sur liste noire. Votre organisation peut utiliser des listes de suivi de la réputation des adresses IP pour empêcher celles qui ont mauvaise réputation d’accéder à vos environnements informatiques ou de communiquer avec vos applications web. Ceci est généralement réalisé avec l’aide de web firewalls.
En informatique, la vitesse renvoie au nombre de fois qu’un événement a lieu. Par exemple, un attaquant peut utiliser la même adresse IP pour se connecter à divers comptes utilisateurs pendant une courte durée (comme c’est le cas avec les attaques par diffusion de mots de passe).
Un utilisateur essayant d’accéder à de trop nombreuses reprises à un compte en particulier sur une courte durée peut être le signe d’une attaque par force brute. Egalement, si l’utilisateur était inactif depuis un certain temps et qu’il essaye maintenant de se connecter, il est conseillé de lui demander plus de facteurs de validation, par exemple en répondant à des questions de sécurité ou en confirmant un mot de passe à usage unique (OTP) envoyé à son numéro de téléphone ou son adresse électronique enregistrée.
Lorsqu’un utilisateur se connecte pour la première fois à son compte, les informations sur son terminal sont enregistrées. Ces informations incluent le type de terminal, le type et la version du système d’exploitation, le type et la version du navigateur web, ainsi que les add-ons installés. Ainsi, le fait qu’il y ait plusieurs tentatives d’accès à un compte depuis un terminal ayant des caractéristiques totalement différentes, est fortement suspect.
Lorsqu’un utilisateur essaye de se connecter avec un terminal ou un navigateur web différent ou bien depuis un lieu différent, ceci doit être considéré comme le signe d’une activité suspecte. Les informations IP donnent des informations sur tous ces facteurs et peuvent être utilisées pour détecter de telles tentatives.
Essayer de créer de nombreux comptes avec des informations fausses, répétitives ou bien utiliser des lettres aléatoires est considéré comme une alerte indiquant des actions malveillantes.
Lorsqu’un utilisateur accède à une application web, votre système peut récupérer les informations techniques du terminal. Les informations techniques d’un navigateur, appelées empreintes, peuvent être utilisées pour distinguer un seul utilisateur parmi des millions. Typiquement, l’empreinte de chaque navigateur fournit les informations suivantes :
Type de navigateur (navigateur TOR, Chrome, Firefox, Opera)
Version du navigateur
Plug-in installés
Thème utilisé sur le navigateur
Configurations/Réglages du navigateur
Base de données locale du navigateur
Attributs du header HTTP
Cookies (activés ou non)
Les informations techniques du terminal et du navigateur permettent d’identifier efficacement un utilisateur unique pour aider à sécuriser les comptes contre des accès non autorisés. Ces informations incluent notamment :
Les polices de caractères installées dans le système
Le type de terminal (tablette, ordinateur portable, smartphone, poste de travail fixe)
Le type de système d’exploitation (Windows, Android, iOS)
La disposition du clavier
Les informations sur le CPU, le GPU
Les applications installées
Le fuseau horaire
La langue installée (anglais, français, arabe, allemand)
Des tentatives d’accès depuis un terminal avec des réglages différents de ceux qu’indique l’historique de l’utilisateur peut indiquer une activité malveillante.
Lorsqu’un utilisateur essaye de se connecter à son compte depuis un lieu anormal, il peut s’agir d’une alarme. Par exemple, il est peu probable qu’un utilisateur canadien veule accéder à son compte bancaire depuis la Chine cinq heures après y avoir accédé depuis chez lui.
Le lieu de présence de l’utilisateur est fondamental pour les applications sensibles, telles que les applis financières et médicales. Par exemple, même si la chronologie est faisable, un utilisateur basé aux États-Unis dont le compte indique une tentative de connexion depuis la Russie est probablement victime d’une tentative de cyberattaque.
Un utilisateur qui navigue rapidement dans une application ou un site web est probablement non autorisé ou cherche à faire quelque chose de malveillant. Imaginez par exemple un compte LinkedIn avec un faible nombre de connexions visitant un grand nombre d’autres profils. Un tel comportement inhabituel pourrait être le signe qu’un attaquant utilise un outil automatisé pour récupérer des informations depuis la base de données LinkedIn.
Aujourd’hui, les environnements informatiques sont à la fois sur site et dans le cloud. Il est fondamental de surveiller toutes les interactions digitales dans ces environnements hybrides pour détecter tout changement dans les activités du réseau, qui seraient potentiellement le signe d’une cyberattaque.
Par exemple, les solutions NDR (détection et réponse du réseau) fonctionnent en créant un modèle d’activité du réseau dans des conditions normales et en les comparant à l’activité du réseau en cours. Une alerte est lancée pour informer l’administrateur du réseau si une activité anormale est détectée.
Utiliser des réseaux anonymes, comme TOR et I2P, pour accéder à des comptes web est considéré comme suspect. Ces réseaux peuvent efficacement cacher l’adresse IP de l’utilisateur connecté et masquer l’empreinte de son navigateur web, indiquant qu’il a potentiellement des raisons de rester totalement anonyme.
Par exemple, des collaborateurs internes malveillants pourraient utiliser le réseau TOR pour masquer leur adresse IP et envoyer des informations professionnelles sensibles en dehors du réseau de l’organisation. Egalement, des acteurs des menaces, en particulier ceux qui réalisent des ATP et des ransomwares, utilisent des réseaux anonymes TOR et I2P pour envoyer des instructions d’attaque à leur malware sur des réseaux cibles distants.
La capacité à détecter des bots est essentielle pour prévenir les attaques contre votre site web, vos applis mobiles et vos API. Les acteurs des menaces utilisent des bots pour réaliser des attaques automatisées, comme les attaques par force brute et DDoS. Il existe plusieurs manières de détecter un trafic de bot au sein d’un trafic légitime. Certains comportements et caractéristiques de bots incluent :
Visiter un nombre extrêmement élevé de pages en un court laps de temps
Un taux élevé de rebonds : Un bot visite en général une seule page du site avant de partir
Des taux de session faibles ou élevés
Les acteurs des menaces utilisent des émulateurs lorsqu’ils attaquent des applications sensibles, comme des applications bancaires en ligne. Un émulateur est une application logicielle qui imite les terminaux Android et Apple. Bien qu’il fonctionne plus lentement que de réels terminaux mobiles, il peut tromper les systèmes les plus protégés.
Les cybercriminels utilisent des émulateurs pour récupérer le code d’une application cible et comprendre son fonctionnement dans un environnement de production. Il est fondamental de détecter les émulateurs pour protéger les applications sensibles, en particulier celles qui incluent des portefeuilles bancaires ou de cryptomonnaies.
La capacité à détecter les tentatives de connexion infructueuses est essentielle pour protéger les systèmes informatiques. Toutefois, savoir qu’un attaquant essaye de se connecter à votre système ou à vos applications ne suffit pas à empêcher les attaques. Vous pouvez consulter les logs d’audit pour savoir si l’attaquant utilise un ordinateur au sein de votre nom de domaine ou si un terminal externe réalise cette attaque.
Une organisation peut utiliser des indicateurs de menace personnalisés pour détecter des menaces avant qu’elles n’entrent dans la place.
Par exemple, les indicateurs de menaces personnalisés :
Utilisent des technologies d’intelligence artificielle et de machine learning pour surveiller le trafic du réseau et identifier des activités anormales en temps réel
Créent une base de référence du trafic normal pour la comparer au trafic en cours. Ceci permet à une organisation de détecter rapidement des anomalies et y répondre automatiquement ou manuellement après réception d’alertes automatiques depuis les solutions de surveillance du réseau.
Les extractions de bases de données font référence à l’extraction de données depuis différentes bases au sein de votre environnement informatique. Vous pouvez réaliser des extractions de données pour supporter des processus de prise de décision, par exemple lorsque vous développez votre prochain plan marketing, en combinant des informations telles que l’historique des ventes, la rétention et le recrutement client ainsi que le feedback des fournisseurs, qui peuvent être collectés dans des bases de données distinctes.
Toutefois, les extractions de bases de données peuvent constituer un avertissement lorsqu’elles ont lieu en dehors des créneaux prévus. Par exemple, des acteurs de menaces avancées peuvent essayer de voler des informations depuis plusieurs bases de données en dehors des heures de travail et les rassembler en un seul lieu afin de les transmettre ultérieurement en dehors du réseau cible.
La surveillance des fichiers est une procédure de sécurité utilisée pour contrôler différents fichiers au sein des systèmes informatiques, comme les fichiers des bases de données, les applications et les fichiers des systèmes d’exploitation. Lorsqu’un changement est détecté, qui peut signaler l’existence d’un malware trafiquant des documents, un avertissement est émis.
À chaque fois qu’une nouvelle API est introduite dans le système, elle devrait être analysée pour identifier toute vulnérabilité de sécurité et tout problème susceptible d’entraîner des dysfonctionnements.
Il est crucial de surveiller l’activité des API, en particulier celles qui exécutent des fonctions critiques comme l’autorisation ou l’authentification. Le coût du temps d’interruption des API peut être élevé, le coût horaire moyen de l’arrêt d’un serveur allant de 301 000 $ à 400 000 $ dollars.
Il est essentiel d’utiliser des solutions de sécurité pour détecter autant de signaux d’attaques différents que possible. Pour être plus efficaces, ces solutions doivent inclure l’utilisation de l’IA et du ML pour détecter des comportements suspects. De plus, elles doivent pouvoir déclencher une demande d’authentification supplémentaire ou mettre fin à une session dès qu’apparaissent un comportement risqué ou des signaux de risques élevés. De plus, une surveillance avancée doit rester active tout au long du parcours utilisateur, et non pas seulement au moment de la connexion.
Lancez-vous dès Aujourd'hui
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite