Les pirates ne franchissent plus les pare-feu ; ils se connectent simplement avec des informations d’identification volées, ce qui signifie que votre système d’identité constitue le nouveau périmètre de sécurité.
La manière « rétro »
La protection d’un périmètre réseau spécifié a été l’objectif principal de la stratégie de sécurité des entreprises pendant plusieurs décennies. Les entreprises ont réalisé d’importants investissements dans des pare-feux, des systèmes de détection d’intrusion, des systèmes de sécurité des terminaux et des contrôles de segmentation, tous basés sur le principe qu’une organisation resterait en sécurité si les attaquants étaient empêchés d’accéder au réseau.
À une époque où les utilisateurs, les infrastructures et les applications étaient pour la plupart confinés dans des frontières bien définies, cette hypothèse était logique, mais dans le monde d’aujourd’hui, cet environnement n’existe plus.
La prolifération du cloud computing, de l’utilisation du SaaS, des pratiques de travail hybrides, des microservices et des connexions pilotées par API ont fondamentalement transformé la structure informatique des entreprises. Les systèmes critiques sont désormais situés en dehors des centres de données conventionnels et les employés s’authentifient désormais en dehors des réseaux de confiance dans les scénarios BYOD. Les fournisseurs s’intègrent également directement dans les systèmes internes, ce qui signifie qu’il s’agit du plan de contrôle le plus important dans les environnements modernes.
Les acteurs de la menace moderne ne cherchent plus principalement à fouiller dans des failles techniques cachées ou à contourner les mesures de périmètre de manière spectaculaire ; c’était le bon vieux temps. Ces derniers temps, ils se connectent avec des informations d’identification volées, des jetons de session rejoués ou des autorisations d’accès mal utilisées. La violation qui s’ensuit peut ressembler à un comportement légitime d’un utilisateur car, du point de vue du système, c’est exactement ce dont il s’agit – « ».
Cette réalité nécessite de repenser la façon dont les responsables de la cybersécurité perçoivent le risque.
La dissolution du périmètre
À mesure que les charges de travail organisationnelles ont migré vers le cloud, l’authentification est devenue la clé pour accéder à pratiquement tout ce qui est important : les systèmes financiers, les plateformes de collaboration, les données clients, la propriété intellectuelle et les contrôles administratifs. L’accès est moins médiatisé par l’emplacement du réseau que par les affirmations d’identité et les réglementations d’autorisation, en particulier dans des contextes hautement fédérés. Si un attaquant réussit à usurper l’identité d’une identité fiable, de nombreuses protections traditionnelles offrent une résistance minimale avec des systèmes d’authentification unique qui couvrent plusieurs plans d’authentification.
Les programmes de sécurité qui continuent de donner la priorité à la résilience du périmètre sans investir autant dans l’intégrité de l’identité défendent efficacement le modèle de menace d’hier et seront laissés pour compte. En effet, on ne se demande plus si les acteurs de la menace peuvent accéder à un réseau mais plutôt s’ils peuvent voler, manipuler ou abuser des identités auxquelles le système fait généralement confiance.
Ce que les violations modernes exploitent réellement
Des thèmes cohérents ressortent de l’examen des modèles de violations contemporains. L’accès initial résulte souvent d’attaques de credential stuffing utilisant des mots de passe précédemment utilisés, d’un phishing par consentement OAuth qui offre des autorisations au niveau de l’application, de frameworks d’adversaire au milieu qui interceptent les flux d’authentification ou d’efforts de phishing qui collectent des informations d’identification. Dans de nombreux cas, ces méthodes d’attaque n’utilisent pas d’exploits Zero Day ni de logiciels malveillants sophistiqués, car elles exploitent les faiblesses de la manière dont les identités sont vérifiées et dont les sessions sont gérées.
Une fois dans l’environnement, les attaquants utilisent des comptes de service mal surveillés, des privilèges excessifs ou des attributions de rôles mal configurées pour avancer latéralement après authentification. Les opportunités de persistance sont créées par des comptes de service dotés d’autorisations étendues, mais peu de contrôle et les sessions peuvent également être rejouées, non grâce à des sessions de jetons indépendantes du contexte de l’appareil.
Ici, les violations surviennent à la suite de la manipulation de relations de confiance ancrées dans les systèmes d’identité.
Limites de l’AMF
Une avancée essentielle et significative en matière de sécurité d’entreprise a été réalisée grâce à l’utilisation généralisée de l’authentification multifacteur. L’idée selon laquelle l’authentification multifacteur (MFA) a définitivement résolu la compromission de l’identité reflète cependant davantage un excès de confiance que la réalité.
En réalité, la protection offerte et la force de l’authentification dépendent fortement des détails et du type de mise en œuvre. L’AMF basée sur le push peut être manipulée par le biais de tactiques de fatigue de l’AMF, dans lesquelles des invites répétées font pression sur les utilisateurs pour qu’ils approuvent les demandes malveillantes. L’authentification proxy des kits Adversary-in-the-middle circule en temps réel, capturant les cookies de session après une validation MFA réussie avec certains kits de phishing comme Starkiller utilisant des pages en direct ces derniers temps plutôt que des pages statiques qui peuvent facilement être détectées.
Le phishing basé sur OAuth contourne complètement les protections centrées sur les mots de passe en convainquant les utilisateurs de fournir une autorisation d’application et les utilisateurs peuvent être socialement conçus pour y parvenir.
Le privilège comme multiplicateur de dégâts
L’accès initial n’entraîne pas toujours des conséquences désastreuses, car ce que l’identité qui a été compromise est autorisée à faire détermine la gravité de la violation. Malheureusement, de nombreuses entreprises ont une dette importante en matière de permissions, accumulée au fil des années de choix motivés par la commodité. Certaines pratiques sont généralement observées dans les environnements informatiques ; des rôles privilégiés largement attribués qui sont rarement révisés, l’accès temporaire accordé pour des raisons opérationnelles ne peut jamais être révoqué et les comptes de service conservent parfois des droits étendus sans surveillance adéquate comme mentionné ci-dessus.
Ces pratiques créent des environnements dans lesquels un seul identifiant compromis peut exposer des données sensibles, perturber les opérations ou permettre une fraude financière.
Le principe du moindre privilège (POLP) est largement adopté dans l’industrie, mais il reste inégalement mis en œuvre dans la pratique. L’établissement de modèles d’accès juste à temps, l’application d’une élévation des privilèges basée sur l’approbation et la conduite de contrôles d’accès continus exigent une coordination soutenue entre les équipes de sécurité, les opérations informatiques et les parties prenantes de l’entreprise, ce qui peut être complexe sur le plan opérationnel et « politiquement » sensible. Cependant, sans cette discipline, une seule identité compromise peut avoir un impact bien plus important que nécessaire. La sécurité des identités s’étend donc bien au-delà des mécanismes d’authentification et doit être traitée comme une question de gouvernance ancrée dans une gestion délibérée et cohérente des privilèges.
Faire de la surveillance des identités une fonction de sécurité essentielle
Grâce aux solutions de détection et de réponse étendues (EDR), de nombreuses entreprises ont amélioré leurs capacités de détection des points finaux et de surveillance du réseau ; Pourtant, la télémétrie liée à l’identité reçoit souvent relativement moins d’attention, et il devient de plus en plus difficile de défendre cette disparité.
Les premiers indicateurs de compromission, tels qu’un comportement de connexion anormal, des schémas de déplacement impossibles ou atypiques, des règles de boîte aux lettres suspectes, des autorisations OAuth inhabituelles et des élévations rapides de privilèges, fournissent souvent des indicateurs précoces de compromission. Naturellement, les organisations se concentrent sur les attaques de ransomwares, l’exfiltration de données et les fuites. Toutefois, ces signaux basés sur l’identité doivent être collectés, corrélés et traités avec le même sérieux et la même habileté que les détections de logiciels malveillants. Si les seuils sont mal configurés ou si les alertes sont traitées comme du bruit secondaire, les attaques basées sur l’identité peuvent persister sans être détectées tout en semblant opérationnellement normales.
Étant donné que des informations d’identification valides sont désormais au cœur de nombreux scénarios de violation, les journaux d’identité doivent être traités comme une preuve médico-légale principale plutôt que comme un contexte supplémentaire. Les centres d’opérations de sécurité qui élèvent la surveillance des identités au rang de priorité stratégique sont mieux placés pour détecter et contenir les abus avant qu’ils ne dégénèrent.
Réaligner les investissements en matière de sécurité autour du risque d’identité
L’allocation des ressources et la supervision des dirigeants sont affectées lorsque l’identité est identifiée comme la principale surface d’attaque. Puisqu’ils constituent l’architecture défensive fondamentale d’une entreprise axée sur le cloud, les investissements dans des techniques d’authentification plus robustes, des informations d’identification basées sur le matériel, des politiques d’accès conditionnel qui prennent en compte les signaux de risque contextuels et des cadres de gestion strictes des privilèges ne doivent pas être considérés comme des améliorations progressives.
La congruence des procédures commerciales et des contrôles de sécurité est tout aussi significative. La compromission d’identité doit être considérée comme une possibilité dans les flux de travail financiers, les approbations administratives et les intégrations de fournisseurs. Les processus conçus en tenant compte de la vérification forcée, de la séparation des tâches et de la détection des anomalies réduisent encore davantage la possibilité qu’un seul titre puisse causer un préjudice disproportionné.
Conclusion
En conclusion, la répartition des risques a été subtilement remodelée par le développement de l’informatique d’entreprise et l’utilisation d’environnements cloud et hybrides. Les décisions en matière d’autorisation et d’authentification doivent désormais être prises quotidiennement pour protéger les actifs les plus importants. Lorsque ces choix font l’objet de manipulations ou d’abus, les répercussions n’affectent pas seulement les comptes individuels mais se répercutent également sur l’ensemble de l’entreprise.
L’exploitation de la confiance que les entreprises ont accordée aux systèmes d’identité est plus courante dans les violations modernes que dans les intrusions techniques dramatiques, comme indiqué précédemment. Sur le plan opérationnel, l’identité doit être traitée comme la principale surface d’attaque et les entreprises qui reconnaissent cette réalité et conçoivent leurs environnements de manière appropriée seront mieux équipées pour faire face au paysage actuel des menaces, plutôt que celui qu’elles avaient initialement prévu de protéger.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
