Exfiltration de données via USB (Windows)

DESCRIPTION DU COURS

Les rançongiciels et l’exfiltration de données sont probablement les deux principales craintes des organisations actuellement. On comprend pourquoi en connaissant le danger potentiel que représente la finalité de ces actions: impact sur les clients et sur la réputation de l’entreprise, épuisement des ressources, coûts importants pour les services tiers (remise en service, restauration, soutien aux employés), etc.

Au Québec, quand on parle d’exfiltration de données via un appareil de stockage amovible (ex.: USB), on a pratiquement tous le même cas en tête. Comme ces situations peuvent arriver à n’importe qui et surtout qu’il est difficile d’investiguer si certains paramètres ou configurations ne sont pas en place, nous en verrons quelques-unes afin que vous soyez en mesure d’être mieux outiller pour prévenir ou répondre à ce type de situation.

Il s’agit d’un sujet qui comporte plusieurs variables (budget, outils, ressources disponibles, volume des journaux, etc.), nous allons donc garder le cap sur un scénario où vous êtes une PME avec un budget restreint, la majorité de vos postes sont sur un domaine AD, vous n’avez pas de solution de cybersécurité permettant la détection et la prévention de l’exfiltration de données et qu’il n’est pas envisageable de bloquer tous les périphériques USB par défaut.

Attention: Même si je mets un peu de contenu autour du sujet principal, il s’agit d’un tutoriel très spécifique sur l’activation de l’audit pour les appareils de stockage amovibles sur Microsoft Windows. Ceci s’adresse principalement aux TI ou analyste en cybersécurité désirant prendre une action relativement simple qui pourrait les aider advenant un potentiel cyberincident au sein de leur organisation. La formation SOC 101 qui sera disponible prochainement traitera de façon plus complète le processus d’investigation lors d’une exfiltration de données.

OBJECTIFS D’APPRENTISSAGE

• Comprendre ce qu’est une « Menace interne » et l’exfiltration via USB
• Être en mesure de configurer les stratégies de sécurité afin de permettre l’audit des actions effectuées via le stockage amovible
• Connaître les options afin de prévenir l’utilisation d’appareils de stockage USB (ou procéder à l’autorisation selon certains paramètres)