News
De nouvelles banques victimes du piratage du réseau Swift, une demi surprise pour Balabit
septembre 2016 par Balabit IT Security
Le réseau interbancaire Swift vient de révéler via une lettre à ses clients, que de nouvelles banques ont été victimes de piratage. Quelques mois après trois premiers cas, les cybercriminels continuent leurs méfaits, sans toutefois que des montants n’ait été dévoilés pour l’heure.
Istvan Szabo, Responsable Produit Syslog-ng chez Balabit IT Security, avait livré son analyse lors des premiers cas et commente cette nouvelle révélation tout en précisant ses conseils pour renforcer la sécurité des banques face à ce type d’attaques, en particulier grâce à l’analyse comportementale :
« Apprendre que de nouvelles banques ont été victime de piratage via le réseau Swift n’est pas une surprise. Les banques peuvent améliorer leurs outils et procédures de sécurité comme cela est recommandé par Swift, il n’en demeure pas moins que leurs outils de sécurité actuels ne peuvent pas localiser ces attaques dans la mesure où les cybercriminels ont déjà franchi le périmètre de leurs défenses. En effet, pour mener leurs attaques, les cybercriminels utilisent des comptes utilisateurs qui bénéficient probablement de hauts niveaux de privilèges, ce qui leur permet ie réaliser des actions importantes tout en couvrant facilement leurs traces. Les utilisateurs privilégiés sont clairement les principales cibles de ce type d’attaques. Des attaques aussi sophistiquées nécessitent des chemins beaucoup plus sophistiqués pour être détectées et stoppées. En d’autres termes, des solutions capables de voir l’invisible.
Tout d’abord il est indispensable de surveiller les utilisateurs privilégiés, de créer des profils spécifiques pour chacun de ces utilisateurs puis d’appliquer sur ces profils de l’analyse comportementale basée sur des algorithmes de machine learning. Ces profils peuvent être obtenus par l’analyse des mouvements de souris, les habitudes de frappe sur le clavier, les habitudes de commandes, les IP utilisateurs, les ports et protocoles de manière transparente lorsqu’il est fait usage d’une technologie de surveillance basée sur les promis etc. Ces habitudes sont des indicateurs uniques impossibles à copier. Ces profils fonctionnent comme une base de comportements normaux pour chaque utilisateur. Ainsi des algorithmes peuvent détecter les anomalies en temps réel lorsqu’un individu exécute une action sensible, offrant à l’équipe de sécurité la possibilité de faire face à la menace.
Cette approche ajoute une couche de sécurité additionnelle, complémentant l’infrastructure de sécurité existante, ce qui lui permet de se concentrer sur les menaces jusque-là inarrêtables. L’entreprise dispose ainsi d’une visibilité complète sur les activités de ses utilisateurs à privilèges, qu’ils soient internes ou des prestataires externes.
Enfin dans ce type d’attaques, l’analyse comportementale ou UBA, apporte des capacités rapides de réponses et investigations,et fournit des indications simples et claires sur les anomalies suspectes. »
