Score de risque (Analyse des risques de Workspace ONE Intelligence)
Utilisez Workspace ONE Intelligence pour afficher les données collectées et identifier les risques associés aux scores. Workspace ONE Intelligence assure le suivi des actions et des comportements de l'utilisateur et du terminal, puis calcule le risque potentiel. Elle affiche ce potentiel avec des niveaux de risque et d'autres métadonnées afin que vous puissiez rapidement mesurer la vulnérabilité de votre déploiement Workspace ONE UEM. Vous pouvez également afficher les scores de risque de connexion de Workspace ONE Access ; ces scores ingèrent des informations à partir de l'emplacement de connexion d'un utilisateur et peuvent signaler si l'utilisateur présente un comportement anormal et à risque.
Qu'est-ce que le score de risque ?
Le score de risque dans Workspace ONE Intelligence est une fonctionnalité d'analyse des risques qui effectue le suivi des actions et des comportements des utilisateurs et des terminaux. Elle affiche les scores sous forme de niveaux pour accélérer le processus d'approbation. Certains niveaux impliquent que vous pouvez faire confiance à un utilisateur ou un terminal, d'autres suggèrent une atténuation immédiate de la confiance à lui accorder. Le score de risque commence par une ligne de base ou un niveau de risque « normal ». Lorsque le comportement d'un utilisateur ou d'un terminal diffère de la normale, le score identifie cet écart comme suit : Élevé, Moyen et Faible.
- Élevé : ce score indique un risque élevé d'introduction de menaces et de vulnérabilités sur le réseau et dans les ressources internes. Ce niveau est le moins fiable.
- Moyen : ce score indique un risque modéré d'introduction de menaces et de vulnérabilités sur le réseau et dans les ressources internes.
- Faible : ce score indique un risque faible d'introduction de menaces et de vulnérabilités sur le réseau et dans les ressources internes. Ce niveau est le plus fiable.
Vous pouvez réagir par le biais de diverses actions en fonction du score et des politiques de sécurité de votre organisation. Par exemple, une organisation avec des stratégies de sécurité laxistes pourrait avertir les utilisateurs en cas de scores de risque élevés. Cependant, une autre organisation appliquant des stratégies de sécurité restrictives pourrait refuser des privilèges en cas de scores de risque moyens. Autres méthodes d'actions des organisations face aux scores de risque :
- Surveillance du terminal ou de l'utilisateur.
- Envoi de notifications au terminal ou à l'utilisateur pour l'avertir.
- Refus des privilèges du terminal ou de l'utilisateur.
- Ajout de méthodes d'authentification pour l'utilisateur ou le terminal avec l'intégration de Workspace ONE Access.
Quels comportements influencent les scores de risque ?
Le score de risque change en fonction des comportements que le système identifie quant à un terminal ou un utilisateur. Ces comportements sont également appelés indicateurs de risque. Les comportements positifs diminuent le score ou le rendent plus fiable. Les comportements négatifs augmentent le score ou le rendent moins fiable. Le système reconnaît et agrège plusieurs indicateurs de risque pour calculer les écarts de score de risque.
Comportements identifiés
| Indicateurs de risque | Description | Risque |
|---|---|---|
| Activité d'alerte anormale | Un terminal produit un nombre inhabituel, un type inhabituel ou une gravité inhabituelle d'alertes de sécurité. | Un nombre inhabituel, un type inhabituel ou une gravité inhabituelle d'alertes de menace indique qu'un terminal est potentiellement compromis. |
| Collecteur d'applications | Personne qui installe un nombre anormalement élevé d'applications. | N'importe quelle application peut inclure des vulnérabilités connues ou non protégées. Ces vulnérabilités peuvent devenir des vecteurs d'attaque. La surface des cyberattaques augmente avec le nombre d'applications sur le terminal. |
| Téléchargement d'applications de manière compulsive | Personne qui installe un nombre inhabituel d'applications dans un court laps de temps. | Les utilisateurs qui installent frénétiquement des applications inhabituelles sur leurs terminaux risquent davantage d'être victimes d'une activité malveillante. Certaines applications qui semblent utiles, conviviales ou divertissantes ont en réalité pour objectif de nuire à l'utilisateur. Les approches de Marketplace pour filtrer un contenu dangereux (programme malveillant) varient d'un fournisseur à l'autre. Un utilisateur peu attentif peut être suivi, piraté ou escroqué. |
| CVE critiques excessives | Un terminal avec un nombre excessif de CVE (Common Vulnerabilities and Exposures) critiques non corrigées. | Plus le nombre de CVE critiques présentes sur un terminal est élevé, plus la surface d'attaque du terminal est grande. |
| Mise à jour tardive | Personne qui tarde à mettre à jour le système d'exploitation du terminal ou qui refuse de le mettre à jour. | Ignorer les mises à jour logicielles peut rendre un terminal vulnérable aux attaques et augmente le risque d'être compromis. |
| CVE critiques persistantes | Un terminal disposant d'une ou de plusieurs CVE (Common Vulnerability Exposure) critiques restées non corrigées lorsque la majorité des terminaux éligibles dans l'organisation ont été corrigés. | Plus le nombre de CVE critiques présentes sur un terminal est élevé, plus la surface d'attaque du terminal est grande. |
| Collecteur d'applications rares | Personne qui installe un nombre anormalement élevé d'applications rares. | Contrairement aux applications largement utilisées, les applications rares sont d'origine douteuse et présentent un risque plus élevé d'exposition à des logiciels malveillants ou à des failles de sécurité. |
| Paramètre de sécurité à risque | Personne qui possède un ou plusieurs terminaux et qui a explicitement désactivé les fonctionnalités de protection de sécurité ou a des terminaux déclarés perdus de manière explicite. | La désactivation des mesures de sécurité sur un terminal augmente le risque d'être compromis. |
| Téléchargement d'applications inhabituelles | Personne qui a récemment installé des applications inhabituelles. | Les applications qui semblent utiles, conviviales ou divertissantes ont en réalité pour objectif de nuire à l'utilisateur. Les approches de Marketplace pour filtrer un contenu dangereux (programme malveillant) varient d'un fournisseur à l'autre. Un utilisateur peu attentif peut être suivi, piraté ou escroqué. |
Sur quels types de terminaux la notation du score de risque fonctionne-t-elle ?
La notation du score de risque fonctionne sur les plates-formes Android, iOS, macOS et Windows. Elle fonctionne également sur les terminaux dédiés aux entreprises, partagés par les entreprises, personnels (utilisation de terminaux personnels) et non définis.
Indicateurs de risque pris en charge par plateforme
| Plateforme du terminal | Activité d'alerte anormale | Collecteur d'applications (applications non gérées et publiques) | Téléchargement d'applications de manière compulsive (applications non gérées et publiques) | CVE critiques excessives | Mise à jour tardive | CVE critiques persistantes | Collecteur d'applications rares (applications non gérées et publiques) | Paramètre à risque | Téléchargement d'applications inhabituelles (applications non gérées et publiques) |
|---|---|---|---|---|---|---|---|---|---|
| Mobile (iOS et Android) | ✕ | ✓ | ✓ | ✕ | ✓ | ✕ | ✓ | ✓ | ✓ |
| Poste de travail (Windows et macOS) | ✓ | ✕ La fonctionnalité ne collecte pas les données de l'application. |
✕ La fonctionnalité ne collecte pas les données de l'application. |
✓ (Windows uniquement) | ✓ | ✓ (Windows uniquement) | ✕ La fonctionnalité ne collecte pas les données de l'application. |
✓ | ✕ La fonctionnalité ne collecte pas les données de l'application. |
Indicateurs de risque pris en charge par type de propriété du terminal
| Type de propriété du terminal | Activité d'alerte anormale | Collecteur d'applications (applications non gérées et publiques) | Téléchargement d'applications de manière compulsive (applications non gérées et publiques) | CVE critiques excessives | Mise à jour tardive | CVE critiques persistantes | Collecteur d'applications rares (applications non gérées et publiques) | Paramètre à risque | Téléchargement d'applications inhabituelles (applications non gérées et publiques) |
|---|---|---|---|---|---|---|---|---|---|
| Dédié à l'entreprise, partagé par l'entreprise, non défini | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Personnel (utilisation de terminaux personnels) | ✓ | ✕ Bien que les paramètres de confidentialité de Workspace ONE UEM par défaut empêchent la collecte des données d'application sur les terminaux BYOD, les administrateurs peuvent modifier les paramètres de confidentialité afin que Workspace ONE Intelligence puisse collecter les données d'application. Vérifiez la stratégie de confidentialité de votre organisation avant de modifier les configurations de confidentialité dans Workspace ONE UEM. |
✕ Bien que les paramètres de confidentialité de Workspace ONE UEM par défaut empêchent la collecte des données d'application sur les terminaux BYOD, les administrateurs peuvent modifier les paramètres de confidentialité afin que Workspace ONE Intelligence puisse collecter les données d'application. Vérifiez la stratégie de confidentialité de votre organisation avant de modifier les configurations de confidentialité dans Workspace ONE UEM. |
✓ | ✓ | ✓ | ✕ Bien que les paramètres de confidentialité de Workspace ONE UEM par défaut empêchent la collecte des données d'application sur les terminaux BYOD, les administrateurs peuvent modifier les paramètres de confidentialité afin que Workspace ONE Intelligence puisse collecter les données d'application. Vérifiez la stratégie de confidentialité de votre organisation avant de modifier les configurations de confidentialité dans Workspace ONE UEM. |
✓ | ✕ Bien que les paramètres de confidentialité de Workspace ONE UEM par défaut empêchent la collecte des données d'application sur les terminaux BYOD, les administrateurs peuvent modifier les paramètres de confidentialité afin que Workspace ONE Intelligence puisse collecter les données d'application. Vérifiez la stratégie de confidentialité de votre organisation avant de modifier les configurations de confidentialité dans Workspace ONE UEM. |
Quelles sont les conditions requises pour voir les scores de risque ?
Pour utiliser l'analyse des risques, intégrez les systèmes suivants et suivez les restrictions répertoriées.
- Enregistrez Workspace ONE UEM.
- Pour afficher les scores de risque dans Workspace ONE Intelligence, chaque terminal géré par Workspace ONE UEM doit disposer d'un compte unique dans Workspace ONE UEM Console. N'utilisez pas de comptes génériques attribués à plusieurs terminaux.
- Déployez au moins 100 terminaux de la même plate-forme pour permettre au système de notation de produire des résultats. L'indicateur de risque compare les indicateurs de terminaux à l'ensemble des terminaux dans l'organisation. Pour fournir des scores statistiquement significatifs, le système a besoin d'un ensemble de données avec au moins 100 terminaux de la même plate-forme.
- Les utilisateurs doivent disposer d'au maximum six terminaux inscrits avec le même compte. Le système considère que les utilisateurs disposant de plus de six terminaux appartiennent à un environnement de terminal partagé. Il est difficile pour le système de mesurer avec précision les risques des utilisateurs et des terminaux dans un environnement partagé.
- Vous pouvez également enregistrer Workspace ONE Access pour configurer des stratégies d'accès dans Workspace ONE Access avec des scores de risque utilisateur.
- Pour utiliser l'indicateur de risque Activité d'alerte anormale, répondez aux exigences répertoriées.
- Utilisez Carbon Black Endpoint Standard comme plate-forme de protection de point de terminaison (EPP) Cloud native.
- Ingérez les données Carbon Black dans Workspace ONE Intelligence à l'aide de l'API Trust Network.
Où puis-je trouver les scores de risque dans la console ?
Workspace ONE Intelligence signale les scores de risque et d'autres données de risque dans différents tableaux de bord.
- Les données de risque de l’utilisateur se situent sur le tableau de bord Workspace > Sécurité de Workspace > Risque de l’utilisateur.
- Les données de risque du terminal se situent sur le tableau de bord Workspace > Sécurité de Workspace > Risque de sécurité.
La notation de risque comporte des modules que vous pouvez utiliser dans vos tableaux de bord personnalisés. Utilisez la catégorie Workspace ONE UEM > Score de risque du terminal ou Score de risque de l'utilisateur pour accéder aux modules.
Que pouvez-vous faire avec les scores de risque ?
Vous pouvez agir sur les workflows dans Workspace ONE Intelligence.
- Vous pouvez atténuer le risque et agir en sélectionnant Automatiser directement dans le tableau de bord Risque de l'utilisateur ou le tableau de bord Risque de sécurité. Créez des workflows et sélectionnez les différentes actions Workspace ONE UEM.
- Vous pouvez créer un workflow personnalisé à l'aide de la catégorie Workspace ONE UEM, avec Score de risque du terminal ou Score de risque de l'utilisateur.
- Vous pouvez utiliser des modèles de workflow préconfigurés .
- Terminal à risque détecté : ce modèle nécessite une connexion Slack.
- Hiérarchisation des déploiements des applications MTD
- Mettre à jour les terminaux qui n'ont pas encore effectué la dernière mise à jour : ce modèle fonctionne uniquement pour iOS.
- Gérez l'accès aux ressources avec les stratégies d'accès dans Workspace ONE Access.
- Enregistrez votre environnement Workspace ONE Access dans Workspace ONE Intelligence pour accéder aux scores de risque dans la console du gestionnaire Workspace ONE Access.
- Les stratégies d'accès dans Workspace ONE Access créent et appliquent des protocoles d'authentification pour les utilisateurs avec une construction Si-Alors. Vous pouvez spécifier un score de risque utilisateur dans la section Si qui régit la méthode d'authentification autorisée dans la section Alors. Si un utilisateur présente un niveau de risque élevé, moyen ou faible, il peut s'authentifier auprès des ressources à l'aide d'une méthode spécifiée, conforme aux politiques de sécurité de votre organisation.
- Selon le niveau de risque de l'utilisateur, le système peut appliquer une politique d'accès restrictive pour les utilisateurs à risque élevé, afin d'améliorer la sécurité des ressources internes. À l'inverse, le système peut appliquer une politique d'accès plus laxiste pour les utilisateurs présentant un risque faible ou moyen.
Quels systèmes contribuent aux données pour les scores de risque ?
Workspace ONE UEM s'intègre à Workspace ONE Intelligence pour les scores de risque afin d'obtenir des données pour les terminaux gérés dans votre déploiement Workspace ONE. Il utilise le compte d'enrôlement de l'utilisateur stocké dans Workspace ONE UEM pour reconnaître l'activité de l'utilisateur sur les terminaux gérés.
À quelle fréquence les scores sont-ils calculés ?
Les scores de risque sont exécutés quotidiennement et fournissent une mesure exploitable pour identifier et potentiellement isoler les utilisateurs qui ont des comportements de sécurité médiocres et qui présentent des risques pour l'organisation.
La notation de risque est semblable à la notation de crédit des consommateurs. Le système de notation de crédit ne vérifie pas le compte de carte de crédit d'un utilisateur pour voir le solde à un instant T. La notation de risque fonctionne de manière asynchrone et ne connaît pas nécessairement le statut actuel des terminaux. Elle est exécutée une fois par jour et analyse les données signalées sur le terminal jusqu'à ce que le processus de notation soit exécuté. Les modèles de notation utilisent des données historiques (par exemple, sur les 14 derniers jours) pour déterminer le risque des comportements de l'utilisateur.
Que sont les scores de risque de connexion ?
Les scores de risque de connexion de Workspace ONE Intelligence font partie de la fonctionnalité d'analyse des risques dans Workspace ONE Intelligence, mais, actuellement, ils ne reposent pas sur les mêmes exigences que les autres scores de risque. Le système crée et affiche ces scores à partir des données de Workspace ONE Access où ils sont prêts à l'emploi dans les stratégies d'accès. Ces scores ingèrent des informations provenant de l'emplacement de connexion d'un utilisateur et peuvent signaler si l'utilisateur présente un comportement anormal et à risque. Le modèle apprend des modèles de connexion des utilisateurs. Si des changements de comportement à long terme se produisent, par exemple un employé se déplaçant dans une autre ville, le modèle s'ajuste pour considérer les informations de connexion à partir de la nouvelle ville comme étant les nouvelles informations normales.
Qu'est-ce qu'un score de risque de connexion ?
Intelligence attribue un score de risque Faible, Moyen ou Élevé à chaque demande de connexion, comme d'autres scores de risque. Ce score est contrôlé par des modèles d'apprentissage automatique qui prennent en compte les demandes de connexion historiques et l'emplacement de l'utilisateur pour déterminer si une tentative est malveillante ou sûre. Ce score est mis à jour en temps réel, ce qui signifie que les dernières données de connexion sont toujours incluses pour chaque utilisateur. Pendant le premier mois de l'activité de connexion, tous les utilisateurs disposent d'une période de grâce pour établir leur modèle de connexion normal. Lorsque le système établit leur modèle de connexion, il renvoie un score de risque de connexion Faible pendant la période de grâce.
Où puis-je utiliser les scores de risque de connexion ?
Vous pouvez utiliser les scores de risque de connexion dans Workspace ONE Access, les stratégies d'accès et dans Workspace ONE Intelligence, si vous avez intégré les deux systèmes. Ils peuvent également être utilisés dans les workflows, les tableaux de bord et les widgets.
