Généralement, les cybercriminels attaquent les postes de travail en exploitant les vulnérabilités des programmes couramment utilisés ou les caractéristiques potentiellement dangereuses des logiciels légitimes. Par conséquent, à première vue, il peut sembler raisonnable de restreindre l'utilisation de ces logiciels. Cependant, le blocage inconsidéré des logiciels peut causer de graves dommages aux entreprises, alors comment une telle restriction peut-elle être rendue possible sans affecter les processus commerciaux importants ? Quelle protection poste travail choisit-il ?
À consiste l'approche de protection poste travail ?
Notre approche consiste à minimiser les points d'attaque potentiels grâce à un contrôle adaptatif des anomalies en utilisant des technologies d'apprentissage automatique.
Pendant de nombreuses années, MS Office a été considéré comme le premier chien de garde en termes de "nombre de vulnérabilités exploitées". Mais cela ne signifie pas que le logiciel lui-même est mauvais. Les failles de sécurité sont toujours et partout présentes. Le problème est simplement que les cybercriminels se concentrent principalement sur Office parce que c'est tout simplement l'ensemble Office le plus utilisé. Même si votre entreprise est prête à dépenser de l'argent pour recycler ses employés afin qu'ils passent à des logiciels alternatifs, une autre suite de productivité fera tomber Office du trône des exploits à mesure qu'il gagnera en popularité.
Certains produits comportent des caractéristiques manifestement dangereuses. Par exemple, les macros dans Office peuvent être utilisées pour exécuter un code malveillant. Toutefois, une interdiction générale serait plus qu'impraticable, car les analystes financiers et les comptables en ont besoin dans leur travail quotidien.
Il s'agit donc de surveiller de près ces programmes et de n'intervenir que lorsqu'une activité anormale est détectée. Mais il y a un problème ici.
Protection poste travail : Comment définissez-vous le terme "anormal" ?
L'essence de l'activité cybercriminelle est essentiellement d'apparaître légitime aux yeux des systèmes de protection poste travail. Comment un système de cybersécurité peut-il donc déterminer si un message envoyé à un employé contient un document important contenant une macro ou un cheval de Troie ? L'expéditeur a-t-il envoyé un fichier .js à des fins professionnelles uniquement, ou y a-t-il un virus derrière le fichier ?
Au moins en théorie, il serait possible d'analyser manuellement le travail de chaque employé afin de déterminer les outils dont il a besoin et ceux dont il ne dispose pas, de créer un modèle de menace basé sur ces informations et de bloquer chirurgicalement certaines fonctions du programme.
Mais même à ce stade, de nombreuses complications surviennent. Car plus l'entreprise est grande, plus il est difficile de créer un modèle spécifique et surtout précis pour chaque employé. De plus, même dans une petite entreprise, la configuration manuelle exige beaucoup de temps et d'efforts de la part des administrateurs. En dehors de cela, le processus devra très probablement être répété chaque fois que l'infrastructure ou les outils de l'entreprise seront modifiés.
La seule façon raisonnable de préserver la santé mentale des administrateurs et des responsables de la sécurité informatique est donc d'automatiser la configuration des restrictions.
Protection poste travail : Contrôle adaptatif
Nous avons mis en œuvre le processus d'automatisation comme suit : Tout d'abord, des systèmes basés sur les principes de l'apprentissage machine ont parcouru nos bases de données de menaces et ont créé des modèles standard pour les activités potentiellement dangereuses. Nous avons ensuite mis en place un blocage précis de ces modèles sur chaque poste de travail spécifique.
Deuxièmement, nous avons créé un mode d'ajustement automatique protection poste travail (également appelé mode intelligent) pour analyser l'activité des utilisateurs et déterminer quelles règles peuvent être appliquées et lesquelles de ces règles pourraient ou devraient affecter le fonctionnement normal. L'ensemble fonctionne comme suit : Tout d'abord, en mode d'apprentissage, le système protection poste travail collecte des statistiques sur le déclenchement des règles de contrôle pendant une certaine période et crée ensuite un modèle pour le fonctionnement normal de l'utilisateur ou du groupe (scénario légitime). Ensuite, le mode d'apprentissage est désactivé et seules les règles de contrôle qui bloquent les actions anormales sont activées.
Si le modèle de protection poste travail de l'utilisateur est modifié ou adapté, le système peut être remis en mode d'apprentissage et adapté au nouveau scénario. En outre, le système peut être affiné pour ajouter des exceptions spécifiques.
Bien entendu, il ne s'agit pas non plus d'un remède breveté, mais les points d'attaque possibles peuvent être considérablement réduits de cette manière.