Pourquoi chaque VPN a besoin d'un SIEM puissant à ses côtés ?

Les réseaux privés virtuels sont utilisés par les particuliers et les organisations depuis près de deux décennies. Un VPN crée un tunnel sécurisé qui permet de transférer des informations cryptées d'un point à un autre. Dans le monde des affaires, il permet aux employés de se connecter au réseau de leur organisation et d'envoyer et de recevoir des informations en toute sécurité. Les VPN ont joué un rôle plus important compte tenu du travail effectué depuis l'environnement domestique dans lequel nous nous trouvons.

On ne sait pas combien de temps les gens travailleront à domicile. Certaines organisations ont déjà montré que même après la fin de la pandémie, une partie de leur effectif travaillera à distance. Le fait que de plus en plus de personnes travaillent à domicile a attiré l'attention des cybercriminels. Ils voient le travail à domicile comme créant des vulnérabilités qu'ils peuvent exploiter.

Cyberattaques dirigées contre les VPN

Citant des experts, Will Ellis de Privacy Australia a constaté que l'un des principaux moyens par lesquels les cybercriminels perpétraient leurs attaques était de tenter de pénétrer les VPN. Comme il l'a mentionné, «Malheureusement, dans de nombreux cas, ils ont réussi ces derniers mois. Cela a conduit les entreprises et les institutions gouvernementales à renforcer les mesures de sécurité.

Dès que les cybercriminels franchissent le VPN et accèdent au réseau d'une organisation, ils sont comme des enfants dans un magasin de bonbons. Ils peuvent parcourir le réseau et les services. À leur guise, ils peuvent rechercher les vulnérabilités, les erreurs de configuration et les faiblesses. Il n'y a pas de limite aux dommages que les criminels peuvent causer une fois qu'ils ont accès pour manipuler des données, détruire des systèmes ou interrompre des données sensibles en transit.

Recommandé pour vous : VPN vs Proxy : quelles sont les différences ? Quel est le meilleur?

Plus que de simples mesures de sécurité de base sont nécessaires

La plupart des organisations utilisent déjà les étapes de base recommandées pour améliorer leur sécurité VPN. Cela inclut l'exigence de mots de passe forts qui sont complexes, uniques et qui changent périodiquement. Le provisionnement ou l'accès au contrôle basé sur les rôles signifie la limitation des ressources par groupes. L'authentification multifacteur est également utilisée pour les utilisateurs privilégiés ou ceux qui ont besoin d'accéder à des données et des logiciels sensibles.

L'importance de ces étapes ne doit pas être minimisée. Une organisation se tromperait si elle croyait que ces étapes de base suffisaient pour se protéger contre les attaques de cybersécurité dont la sophistication ne cesse de croître.

Les attaques sophistiquées nécessitent une solution sophistiquée, telle qu'une plate-forme de gestion des informations et des événements de sécurité. Les SIEM sont des outils chargés de collecter et de corréler les données des outils de sécurité qu'une organisation utilise, y compris son VPN.

Les SIEM permettent de compiler ensemble les informations recueillies par des outils de sécurité distincts pour donner un aperçu des menaces de sécurité qui pourraient ne pas être faciles à obtenir en examinant les données séparément. Ces plates-formes peuvent aider une organisation à identifier les événements véritablement à haut risque et à les séparer du bruit.

Par exemple, un employé peut se connecter à un VPN depuis New York. Quarante-cinq minutes plus tard, ce même employé se connecte au VPN de l'organisation depuis Minneapolis, MN. Une plate-forme SIEM doit être en mesure de dire que cela est physiquement impossible, puis de signaler cela comme un comportement suspect qui doit faire l'objet d'une enquête.

Comment une plate-forme SIEM peut-elle bénéficier à votre organisation ?

Les solutions SIEM offrent une détection des menaces en temps réel. Ils augmentent l'efficacité, réduisent les coûts, minimisent les menaces potentielles, améliorent la création de rapports et l'analyse des journaux, et assurent la conformité informatique. Étant donné que les solutions SIEM peuvent connecter les journaux d'événements de divers appareils et applications, le personnel informatique peut identifier, répondre et examiner rapidement les failles de sécurité potentielles. Plus une menace de cybersécurité est identifiée rapidement, moins elle peut avoir d'impact. Parfois, les dommages peuvent être entièrement évités.

Les plates-formes SIEM permettent à une équipe informatique d'avoir une vue d'ensemble de toutes les menaces contre lesquelles les outils de sécurité d'une organisation la protègent. Une seule alerte provenant d'un programme malveillant ou d'un filtre antivirus peut ne pas être si grave, ou ne pas déclencher l'alarme. Cependant, s'il y a une alerte simultanée du pare-feu, du filtre antivirus et du VPN, cela peut indiquer qu'une violation grave est en cours. SIEM collectera les alertes de différents endroits et les affichera ensuite sur une console centralisée, maximisant les temps de réponse.

Vous aimerez peut-être : VPN vs RDS vs VDI : que choisir pour un accès distant sécurisé ?

Comment SIEM contribue-t-il à atténuer les risques de sécurité dans un environnement de travail à domicile ?

La pandémie de coronavirus a forcé les organisations à passer du personnel sur place à une main-d'œuvre entièrement distante plus rapidement que de nombreuses organisations ont été réparées. Cela signifiait qu'ils devaient trouver un équilibre et éventuellement un compromis entre la fourniture d'un service cohérent à leurs clients et le maintien d'un niveau élevé de cybersécurité.

La configuration manuelle des règles et des défenses qui pourraient gérer avec succès ce changement prend du temps. Les organisations qui n'utilisaient pas encore les plateformes SIEM ont joué un jeu de rattrapage frustrant, dangereux et coûteux au cours des premières semaines de commandes à domicile.

Les organisations qui utilisaient déjà SIEM pourraient faire la transition plus facilement. Parce qu'ils disposaient d'un système complet qui tirait parti de l'analyse du comportement et de l'apprentissage automatique, ils pouvaient s'adapter automatiquement aux changements de l'environnement de travail. Cela enlève beaucoup de stress à leurs équipes informatiques.

L'un des principaux avantages de l'analyse du comportement est la possibilité d'examiner une activité normale de base pour une organisation et ses utilisateurs, puis de détecter et de déclencher automatiquement l'alarme en cas d'écart par rapport à cette activité normale. De cette façon, les contrôles de sécurité d'une organisation sont flexibles et peuvent changer en fonction de l'évolution de l'environnement commercial. Ils s'adaptent automatiquement à de nouvelles choses, comme la façon dont les employés travaillant à domicile sont devenus la nouvelle norme.

Utiliser SIEM pour détecter et atténuer les dommages causés par la fraude au PDG

L'environnement de travail à domicile a rendu la communication par e-mail plus importante que jamais. En effet, l'interaction en face à face qui faisait partie du travail dans un bureau a disparu. Malheureusement, étant donné qu'une multitude d'e-mails sont envoyés dans les deux sens, il existe la possibilité que des e-mails frauduleux soient envoyés au nom de la direction, des administrateurs ou d'autres personnes responsables.

La fraude au PDG est une forme relativement nouvelle de cybercriminalité. Les attaques d'ingénierie sociale sont utilisées pour inciter une personne de l'organisation à envoyer de l'argent ou des informations confidentielles à l'individu ou aux individus qui commettent une fraude.

La fraude au PDG existait avant le COVID-19. On estime qu'en seulement trois ans, il pourrait produire plus de 2,3 milliards de dollars de pertes. Lorsque les gens travaillaient dans un environnement de bureau où ils avaient un contact individuel avec la direction, de nombreuses organisations pensaient à tort qu'il leur était facile d'identifier les escroqueries par e-mail par eux-mêmes.

Cependant, en examinant les cas de fraude au PDG, il est clair que plusieurs e-mails ont été échangés entre les fraudeurs et la victime sans que la victime en soit plus avisée. La fraude au PDG est un type de fraude sophistiqué et pratiquement impossible à détecter sans les outils appropriés. S'il était difficile de l'attraper dans un environnement de bureau relativement sûr, imaginez l'attraper maintenant avec des employés dispersés et le nombre de contacts en face à face réduit.

La fraude au PDG se présente de deux manières. L'un est le cas où le compte de messagerie d'un cadre supérieur est piraté. L'autre est l'endroit où un e-mail est envoyé à partir d'un domaine similaire au domaine commercial légitime. Dans un premier temps, les fraudeurs vont compromettre les comptes de messagerie des employés seniors. Dans le deuxième cas, le typosquattage est utilisé pour faire croire aux employés qu'ils ont reçu des informations de personnes occupant des postes de surveillance.

Une solution SIEM peut vous aider. Il permet à une organisation d'anticiper les risques liés aux informations d'identification compromises. Si un PDG, un responsable ou une autre personne occupant un poste de responsabilité voit son compte de messagerie compromis, les solutions SIEM peuvent aider à identifier et à arrêter la violation avant qu'elle ne se produise. En effet, les solutions SIEM surveillent les données sur votre réseau. Cela inclut les services d'annuaire actif, O365, les pare-feu, les unités de stockage, Salesforce, etc.

Une fois que toutes les informations ont été publiées dans le SIEM, les données seront collectées, corrélées et examinées par des analyses avancées. L'objectif est de trouver des indicateurs de compromission ou de trouver des modèles qui montrent si un comportement suspect se produit. Ces informations peuvent être enregistrées et immédiatement envoyées à l'équipe de sécurité d'une organisation.

Comme cela se produit en temps réel, de nombreuses attaques peuvent être évitées avant qu'elles n'aient un effet dommageable. L'apprentissage automatique avancé peut être formé pour identifier les attaques lentes qui se faufilent dans le réseau. Des schémas d'activité inhabituels peuvent être détectés et ils peuvent atténuer les menaces avant qu'elles ne surviennent. Ils peuvent utiliser ces mêmes approches pour identifier d'autres types de menaces par e-mail, comme les escroqueries par hameçonnage. Là encore, nous voyons le pouvoir qu'une solution SIEM a d'ajouter de la valeur non offerte par un VPN.

Vous pourriez également aimer : NordVPN vs SiteLock VPN – Lequel vous convient le mieux ?

Utilisation des informations recueillies auprès du SIEM pour améliorer la cybersécurité

Lorsque des anomalies sont détectées, les organisations peuvent mettre en place des protections pour éviter de futures compromissions. Une étape peut consister à éduquer les employés sur les menaces de cybersécurité auxquelles ils sont confrontés. En montrant aux employés les différentes attaques qui ont été tentées, les employés sont encouragés à atténuer les comportements à risque.

Certains conseils de prévention qui peuvent sembler de bon sens pour une équipe informatique peuvent être négligés par les employés. Par exemple, il convient de rappeler aux employés d'ignorer les e-mails spontanés qui exigent une réponse immédiate. Ils doivent être encouragés à vérifier fréquemment les adresses e-mail et les domaines de l'expéditeur et à les comparer aux adresses e-mail et domaines authentiques. Il convient de rappeler aux employés de ne pas ouvrir de pièces jointes inattendues et de redoubler de prudence lorsque des e-mails sont reçus d'expéditeurs non reconnus.

Une chose est certaine, les cybercriminels n'arrêteront pas de rechercher des vulnérabilités. Les organisations doivent se protéger, protéger leurs données et leurs employés en utilisant des fonctionnalités de sécurité telles que les VPN, les outils antivirus et la protection contre les logiciels malveillants, puis en les sauvegardant avec des plates-formes SIEM.