Demandez une démo

Comment la gestion des risques liés aux tiers basée sur les données peut atténuer les risques liés aux ransomwares

Ce cas d'utilisation illustre la valeur de la combinaison des données d'évaluation des contrôles internes et des informations sur les risques provenant de tiers externes.
Par :
Brad Hibbert
,
Directeur général des opérations et directeur de la stratégie
08 avril 2024
Partager :
Blog TPRM axé sur les données 2024 04

Dans le paysage actuel des menaces, qui évolue rapidement, les approches fondées sur les données sont devenues une exigence fondamentale pour des stratégies efficaces de gestion des risques pour les tiers. Après tout, le volume, la vitesse et la variété des données générées par l'évaluation des risques pour les tiers, la collecte de preuves sous forme de documentation et le suivi des événements du monde réel peuvent être extrêmement difficiles à gérer. Une approche axée sur les données permet de s'adapter à l'environnement complexe des menaces d'aujourd'hui.

Du point de vue de la GPRT, les méthodologies fondées sur les données permettent aux organisations non seulement d'aller au-delà des évaluations ponctuelles pour détecter et atténuer les menaces en temps réel, mais aussi de doter les professionnels de la GPRT des connaissances nécessaires pour anticiper les risques émergents et y répondre de manière proactive.

Pour illustrer la valeur d'une approche de la gestion des risques liés aux tiers basée sur les données, cet article examine une entreprise fictive, FakeCo, qui s'inquiète de la possibilité d'une attaque de ransomware de la part d'un tiers. Nous commençons par identifier les outils de gestion des risques en place chez FakeCo, puis nous décrivons comment FakeCo peut utiliser les informations combinées de ces outils pour améliorer sa capacité de prédiction en matière de ransomware.

Outils et données de gestion des risques provenant de tiers

FakeCo a mis en place plusieurs capacités pour évaluer l'hygiène des contrôles des tiers concernant les ransomwares.

Contrôle continu

La société a permis à cyber de surveiller et d'évaluer en permanence les actifs numériques connectés à Internet et le dark web afin de détecter les activités pertinentes concernant des tiers.

  • L'analyse des vulnérabilités externes permet d'identifier les risques critiques, mais fournit également des indications sur le niveau de sécurité que l'entreprise peut appliquer à son infrastructure interne.
  • L'analyse du dark web recherche des éléments tels que les mots de passe d'employés disponibles à la vente sur des sites du dark web et les discussions de pirates concernant une tierce partie. Nombre de ces informations sont des signaux ou des indicateurs d'une compromission.
  • L'analyse du trafic permet de déterminer si une adresse IP héberge des activités de commandement et de contrôle ou si des actifs communiquent avec des serveurs de commandement et de contrôle connus.

Évaluations des contrôles internes

Une analyse externe peut montrer si les actifs orientés vers l'internet sont correctement configurés et patchés, mais elle néglige souvent le vecteur d'attaque le plus courant pour les ransomwares : une formation interne insuffisante et le manque d'application des politiques de sécurité. Pour obtenir une image plus complète, FakeCo recueille davantage d'informations sur les personnes et les processus, en posant à des tiers des questions telles que :

  • Vos systèmes de messagerie électronique sont-ils dotés d'un logiciel anti-malware ?
  • Formez-vous les utilisateurs aux ransomwares afin qu'ils ne cliquent pas sur le bouton d'installation ? Si oui, à quelle fréquence ? Pouvez-vous donner un exemple ?
  • Les employés ont-ils été formés au phishing et aux vecteurs d'attaque associés ?
  • Vos utilisateurs disposent-ils de droits d'administration sur les postes de travail, ce qui facilite la diffusion des charges utiles des ransomwares ?
  • Disposez-vous d'une segmentation du réseau ou mettez-vous en œuvre des outils de gestion des accès privilégiés afin d'éliminer ou de restreindre les mouvements latéraux une fois qu'un attaquant a pris pied dans l'organisation ?

FakeCo comprend que pour obtenir une image complète de l'exposition aux ransomwares, l'entreprise doit également procéder à des évaluations annuelles de la sécurité au cours desquelles les contrôles spécifiques utilisés pour minimiser ou atténuer les attaques de ransomwares peuvent être testés.

La gestion du risque tiers basée sur les données en pratique

Avec toutes les évaluations (et les preuves à l'appui) et les événements de surveillance continue normalisés dans un seul profil de risque de tiers, FakeCo peut maintenant analyser les données ensemble. Toutefois, l'automatisation de l'analyse est essentielle. Pour ce faire, FakeCo devrait mettre en œuvre une règle pour surveiller en permanence les risques actifs générés et contextualisés à partir des évaluations et/ou de l'activité de surveillance.

Par exemple, le tableau ci-dessous présente un ensemble de règles agrégées pour un problème de ransomware. Cette règle permet à une organisation de surveiller en permanence les risques actifs qui sont automatiquement générés et contextualisés à la suite d'évaluations et/ou d'activités de surveillance.

Contrôles de l'évaluation Télémétrie de surveillance correspondante
  • Formation et sensibilisation insuffisantes des employés à la cybersécurité
  • Absence d'authentification multifactorielle pour l'accès aux systèmes et aux données sensibles
  • Des pratiques inadéquates de gestion des correctifs, laissant les systèmes vulnérables aux exploits connus.
  • Logiciels de sécurité et pare-feu mal configurés ou obsolètes
  • Absence de procédures solides de sauvegarde et de récupération des données
  • Absence de mise à jour et de maintenance régulières des solutions antivirus et anti logiciels malveillants
  • Dépendance à l'égard des systèmes existants ou des versions logicielles non prises en charge
  • Contrôles d'accès inefficaces, permettant à des utilisateurs non autorisés d'accéder à des systèmes critiques.
  • Politiques de mots de passe insuffisantes et réutilisation des mots de passe sur plusieurs comptes
  • Absence de segmentation du réseau pour isoler les actifs critiques des menaces potentielles
  • Planification de la réponse aux incidents et mesures de préparation inadéquates
  • Absence d'évaluations et d'audits réguliers de la sécurité pour identifier les vulnérabilités
  • Surveillance et enregistrement insuffisants de l'activité du système et du réseau pour détecter les attaques potentielles de ransomware
  • Validation de la violation de cyber
  • Augmentation de l'exposition aux enregistrements du domaine public
  • Web sombre/chats de pirates informatiques
  • Informations d'identification divulguées
  • Typosquatting

La règle est utilisée pour identifier les risques liés et/ou orientés vers la concentration qui devraient être examinés pour minimiser, prédire ou atténuer l'activité des ransomwares. Ce niveau d'analyse agrégée peut aider à résumer de grandes quantités de données en ensembles plus petits et plus faciles à gérer. Au lieu d'examiner chaque risque et chaque événement séparément, une organisation peut considérer l'ensemble holistique des risques et des activités liés aux ransomwares et fixer des seuils de tolérance au risque.

En exploitant la puissance de l'analyse des données, de l'apprentissage automatique et de l'intelligence artificielle, la règle de FakeCo peut identifier des modèles, des anomalies et des vulnérabilités potentielles plus efficacement que les systèmes traditionnels basés sur des règles. Dans ce scénario, le moteur de règles découvre, contextualise et surveille ces risques en permanence. Il lance ensuite des activités de réponse immédiate s'il déclenche le seuil de risque pour la préparation au ransomware. Ces activités comprennent l'envoi de notifications appropriées, le lancement de flux de travail de réponse ou l'ajustement des scores de risque associés. Il associe également automatiquement un indicateur qui met en évidence le statut et la vulnérabilité de chaque fournisseur.

Les bonnes solutions de gestion des risques d'une tierce partie offrent une bibliothèque de flux de travail de réponse communs qui peuvent être lancés en fonction des besoins spécifiques d'une organisation. Voir l'exemple ci-dessous.

Avantages d'une approche unifiée de la gestion des risques liés aux tiers fondée sur les données

En centralisant la surveillance, la corrélation et l'analyse des données télémétriques provenant de sources multiples, les entreprises peuvent détecter plus efficacement les menaces à la sécurité, les activités anormales ou les violations de la conformité, améliorant ainsi leur position globale en matière de sécurité. Voici quelques avantages à attendre et les capacités à rechercher dans une approche du TPRM axée sur les données.

Amélioration de la prise de décision à l'aide d'une plateforme unique

En regroupant et en conservant toutes les sources de données du TPRM, les décideurs peuvent accéder à des données en temps réel ou en temps quasi réel provenant de l'ensemble de leurs opérations. Ils peuvent ainsi prendre des décisions opportunes et éclairées sur la base d'une compréhension globale de la situation. Recherchez des solutions qui offrent une console unique pour visualiser tous les points de données, les événements et les activités liés à des domaines de risque spécifiques pertinents pour l'utilisateur professionnel du système. Ces événements peuvent être mis en corrélation et les règles et flux de travail correspondants sont lancés, ce qui permet d'amplifier les signaux lorsque des événements sont signalés en même temps.

L'analyse prédictive avec l'IA

Une architecture axée sur les données constitue le fondement de l'activation de l'IA dans la gestion des risques des tiers en garantissant la disponibilité de données de haute qualité, diversifiées et volumineuses, nécessaires à l'entraînement de modèles d'IA efficaces. En s'appuyant sur des ensembles de données complets, les algorithmes d'IA peuvent évaluer plus précisément les risques, identifier des modèles et prendre des décisions éclairées, ce qui conduit à des stratégies d'atténuation des risques plus efficaces et à des processus décisionnels améliorés.

TPRM axé sur les données vs TPRM axé sur l'IA, exploiter l'IA et les données pour la TPRM


Recherchez des solutions qui offrent une télémétrie agrégée à travers des évaluations, des millions d'événements et des milliers de documents. Ces données peuvent être utilisées pour former des modèles prédictifs dans les systèmes d'intelligence artificielle. En analysant les données historiques provenant de sources multiples, les algorithmes d'IA peuvent identifier des modèles et faire des prédictions sur des événements ou des tendances futurs. Cette capacité est inestimable pour la prise de décision proactive et la gestion des risques, et peut contribuer à transformer les programmes de TPRM en TPRM pilotés par l'IA.

Efficacité de la gestion de la sécurité et des risques

Les données télémétriques agrégées du TPRM jouent un rôle crucial dans la cybersécurité et la gestion des risques. En surveillant et en analysant les données provenant de sources multiples, les organisations peuvent détecter plus efficacement les menaces à la sécurité, les activités anormales ou les violations de la conformité, améliorant ainsi leur position globale en matière de sécurité. Par exemple, le système peut rechercher des lacunes dans les domaines de contrôle à partir des données d'évaluation et prédire les événements et les impacts en aval.

Évolutivité et flexibilité

L'analyse télémétrique agrégée offre une évolutivité et une flexibilité dans le traitement de grands volumes de données provenant des diverses sources du TPRM. En adoptant une approche unifiée de l'agrégation et de l'analyse des données, les entreprises peuvent faire évoluer leur infrastructure analytique pour prendre en charge des volumes de données croissants et des types de données divers. Cette évolutivité permet aux entreprises de tirer des enseignements d'un large éventail de sources de télémétrie, de s'adapter à l'évolution des besoins de l'entreprise et de soutenir l'innovation dans les initiatives d'IA et d'analyse.

Adopter une approche unifiée de la gestion des risques liés aux tiers

L'utilisation d'une approche fondée sur les données facilite la surveillance continue et les défenses adaptatives, ce qui permet à votre organisation de garder une longueur d'avance sur des adversaires sophistiqués qui innovent constamment dans leurs tactiques. En fait, l'exploitation des données est essentielle pour renforcer la résilience, améliorer la veille sur les menaces et protéger les actifs numériques dans le paysage dynamique de la cybersécurité d'aujourd'hui. Du point de vue des ransomwares, il s'agit notamment de traiter les risques et les vulnérabilités à plusieurs niveaux, ce qui nécessite à la fois des évaluations et des activités de surveillance.

Pour plus d'informations sur la façon dont Prevalent exploite la puissance de l'IA et de l'analytique pour l'analyse agrégée de la télémétrie des risques des tiers, demandez une démonstration dès aujourd'hui.

Tags :
Partager :
2014 04 10 Headshot Brad Suit
Brad Hibbert
Directeur général des opérations et directeur de la stratégie

Brad Hibbert apporte plus de 25 ans d'expérience de direction dans l'industrie du logiciel, en alignant les équipes commerciales et techniques sur la réussite. Il a rejoint Prevalent après avoir travaillé pour BeyondTrust, où il a assumé la direction de la stratégie des solutions, de la gestion des produits, du développement, des services et du support en tant que COO et CSO. Il a rejoint BeyondTrust via l'acquisition d'eEye Digital Security par la société, où il a contribué au lancement de plusieurs premières sur le marché, notamment des solutions de gestion de la vulnérabilité pour les technologies de cloud computing, de mobilité et de virtualisation.

Avant eEye, Brad a occupé le poste de vice-président de la stratégie et des produits chez NetPro avant son acquisition en 2008 par Quest Software. Au fil des ans, Brad a obtenu de nombreuses certifications industrielles pour soutenir ses activités de gestion, de conseil et de développement. Brad a obtenu un baccalauréat en commerce, une spécialisation en systèmes d'information de gestion et un MBA de l'Université d'Ottawa.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo