Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’exfiltration de données est une attaque par laquelle un acteur interne ou externe effectue un transfert de données non autorisé de ressources d’entreprise sensibles. L’exfiltration de ressources d’entreprise sensibles est souvent réalisée en raison d’un manque de contrôles d’authentification et d’autorisation appropriés. Microsoft cherche à se prémunir contre les accès malveillants et l’exfiltration de données vers des emplacements en dehors de leur portée organisationnelle prévue en utilisant une suite de contrôles d’atténuation pour traiter plusieurs scénarios à risque. Ce faisant, Microsoft prend en charge la posture de défense en profondeur de ses clients et réduit la menace d’exfiltration de données.
Cet article fournit un examen approfondi de l’approche holistique que Microsoft adopte pour la protection contre l’exfiltration des données pour le compte de ses clients. Il montre comment la suite de contrôles d’atténuation de Microsoft détecte et empêche les comportements malveillants, gère l’accès entre les locataires et protège contre les attaques par relecture.
Microsoft Defender for Cloud Apps
Les actions susceptibles de compromettre la sécurité des données client doivent être détectées et empêchées. Par exemple, les employés peuvent utiliser une application cloud non approuvée pour stocker des données d’entreprise sensibles ou télécharger un grand nombre de fichiers sensibles pour l’exfiltration. Ces actions peuvent être évitées par Microsoft Defender for Cloud Apps.
Microsoft Defender for Cloud Apps est un service Cloud Access Security Broker (CASB). Les casb contrôlent l’accès en temps réel entre les utilisateurs d’entreprise et les ressources cloud qu’ils utilisent, où que les utilisateurs se trouvent et quel que soit l’appareil qu’ils utilisent. Microsoft Defender for Cloud Apps empêche les activités malveillantes dans tous les services cloud Microsoft et tiers en découvrant et en fournissant une visibilité sur l’utilisation de l’informatique fantôme et des applications, en surveillant les activités des utilisateurs pour détecter les comportements anormaux, en contrôlant l’accès aux ressources, en offrant la possibilité de classifier et d’empêcher les fuites d’informations sensibles et en évaluant la conformité des services cloud. Microsoft Defender for Cloud Apps prend en charge différents modes de déploiement, notamment la collecte de journaux, les connecteurs d’API et le proxy inverse. Cette offre CASB permet aux organisations de sanctionner et de bloquer l’utilisation d’applications cloud spécifiées et de bloquer les téléchargements de fichiers malveillants à l’aide du contrôle d’application par accès conditionnel.
Microsoft Defender for Cloud Apps le contrôle d’application par accès conditionnel (CAAC) utilise une architecture de proxy inverse pour fournir les outils nécessaires à la visibilité et au contrôle en temps réel de l’accès aux activités et effectuées dans un environnement cloud. Caac peut être utilisé pour :
Éviter les fuites de données en bloquant les téléchargements
Définissez des règles qui forcent la protection des données stockées dans le cloud par chiffrement.
Mettez en surbrillance des points de terminaison non protégés afin que les organisations puissent surveiller ce qui se fait sur les appareils non gérés
Contrôlez l'accès à partir de réseaux non professionnels ou d'adresses IP à risque.
Réévaluez les stratégies d’accès conditionnel lorsqu’une action sensible se produit dans la session. Autoriser, par exemple, le téléchargement d’un fichier hautement confidentiel à exiger l’authentification multifacteur.
Évaluation continue de l’accès
Un comportement utilisateur à risque qui précède l’exfiltration de données peut également être détecté et empêché par l’évaluation continue de l’accès (CAE). CAE fonctionne pour appliquer des stratégies d’accès en quasi-temps réel en fonction des signaux des utilisateurs, des sessions et des appareils, et peut révoquer des sessions en cas de risque. Par exemple :
Lorsqu’un utilisateur a été arrêté et que son accès aux ressources d’entreprise doit être immédiatement révoqué.
Lorsqu’un utilisateur s’authentifie à l’intérieur de la limite de l’entreprise, il suffit de traverser la rue pour se connecter au réseau le plus risqué tout en étant authentifié dans des ressources cloud contenant des données sensibles.
Lorsqu’un compte d’utilisateur est supprimé ou désactivé.
Lorsque le mot de passe d’un utilisateur est modifié ou réinitialisé.
Lorsque l’administrateur révoque explicitement tous les jetons d’actualisation pour l’utilisateur.
Lorsqu’un risque utilisateur élevé est détecté par Protection Microsoft Entra ID (non-conformité de l’appareil, déplacement impossible, etc.)
CaE peut également être utilisé pour empêcher l’exportation de jetons, un risque courant d’exfiltration de données. Les jetons, par exemple, les jetons d’accès, sont fournis à un utilisateur autorisé lorsqu’une session est lancée. À l’aide d’outils de développement, ces jetons peuvent être exportés en dehors du réseau interne vers des utilisateurs externes qui fournissent ensuite le jeton à un service Microsoft 365, contournant Microsoft Entra ID et obtenant l’accès à cette ressource et aux données qu’il contient. CAE empêche l’exportation de jetons en limitant l’accès aux ressources d’entreprise aux adresses IP approuvées et au VPN always-on. Dans un scénario d’exportation de jeton, l’évaluation continue détecte la demande d’accès provenant d’un emplacement non autorisé et révoque l’accès à la ressource, ce qui empêche l’exfiltration des données.
Atténuation du risque d’accès non autorisé au locataire
Microsoft comprend qu’un élément clé de l’entreprise implique la collaboration et la communication avec d’autres entreprises. La collaboration et l’accès invité comportent leurs propres risques inhérents. Les employés peuvent être invités à utiliser leurs identités personnelles pour devenir des invités dans un autre locataire ou inviter des invités d’un autre locataire dans la leur. Les employés peuvent également tenter d’utiliser les comptes d’entreprise d’un autre locataire pour accéder au locataire à partir de leur réseau, créant ainsi un canal d’exfiltration. Les utilisateurs malveillants ou négligents peuvent également utiliser leurs ressources Microsoft personnelles pour le stockage de données d’entreprise sensibles (par exemple, Outlook, OneDrive personnel). C’est pourquoi Microsoft utilise des restrictions de locataire v2 (TRv2). TRv2 est un plan de contrôle d’autorisation basé sur une stratégie cloud qui permet de contrôler l’accès des employés aux locataires externes. Avec TRv2, les utilisateurs sur des appareils gérés par l’organisation ou des appareils à l’intérieur du réseau d’entreprise peuvent être empêchés d’accéder à des locataires étrangers non approuvés. Les stratégies d’accès inter-locataires (XTAP) permettent de contrôler davantage la façon dont vous collaborez au sein des locataires d’autres organization (sortants) et la façon dont d’autres organisations collaborent au sein de votre propre organization (entrant). À l’aide de XTAP, les utilisateurs peuvent devenir invités uniquement dans des locataires explicitement approuvés.
TRv2 peut également être utilisé pour empêcher l’importation de jetons. L’importation de jeton a lieu lorsqu’un utilisateur se connecte à un locataire externe non approuvé à partir de l’extérieur du réseau d’entreprise, puis que son jeton est envoyé à un associé à l’intérieur du réseau d’entreprise. L’utilisateur à l’intérieur du réseau d’entreprise tente ensuite d’utiliser le jeton d’accès pour se connecter à un locataire non approuvé à des fins d’exfiltration de données. TRv2 empêche l’importation de jetons en empêchant l’utilisateur interne d’accéder aux locataires étrangers non autorisés. Dans ce scénario, l’utilisateur ne peut pas s’authentifier auprès du locataire externe avec le jeton en raison de TRv2.