cloud technology protection information cybersecurity indentity

Comment configurer OAuth dans Microsoft 365 Defender et garder votre cloud sécurisé

Lucas Morel

Lorsqu’il s’agit de mettre en œuvre la technologie d’autorisation ouverte (OAuth), la surveillance et l’examen constants sont la clé pour maintenir une organisation correctement sécurisée.

L’authentification cloud offre autant d’avantages dans les affaires. Il peut permettre à vos utilisateurs de s’authentifier de manière transparente entre les applications, il est rentable et il est évolutif, et il offre d’excellentes options de sécurité. Mais comme pour tout ce qui est bon dans cette ligne de travail, il a le potentiel d’être maltraité.

Un exemple de ceci est la technologie d’autorisation ouverte (OAuth), un protocole de standard ouvert conçu pour permettre aux applications tierces d’accéder aux informations de l’utilisateur sans partager les informations d’identification de l’utilisateur, telles que les mots de passe. Il permet aux utilisateurs d’accorder un accès limité aux ressources d’un site à un autre sans exposer les informations de connexion.

Lorsqu’il est utilisé pour de bon, il permet aux utilisateurs de faire des connexions persistantes. Lorsqu’il est utilisé pour le mal, il peut permettre aux acteurs malveillants de prendre pied sur un réseau, même un emplacement sur site.

Microsoft 365 Defender peut être utilisé pour alerter les utilisateurs des compromis potentiels des e-mails commerciaux et des attaques de phishing qui peuvent conduire à des attaques liées à OAuth. Lorsqu’un utilisateur de votre organisation reçoit un e-mail et clique sur un lien malveillant créé via un kit de phishing adversaire dans le milieu (AITM), le compte est compromis lorsque le cookie ou le jeton de session de session de l’utilisateur est volé. L’attaquant utilise ensuite ce cookie volé pour se connecter à partir d’un autre endroit.

Gérer les connexions OAuth

Comme l’indique Microsoft, vous souhaitez revoir qui et quoi (identités non humaines incluses) ont des connexions OAuth dans votre organisation et gardez un œil sur toute connexion nouvelle ou malveillante. Comme indiqué dans son document, utilisez Microsoft Defender pour effectuer la requête suivante:

  1. Réglez le filtre sur le niveau d’autorisation «haute gravité» et utilisation de la communauté à «non commun». En utilisant ce filtre, vous pouvez vous concentrer sur des applications potentiellement très risquées, où les utilisateurs peuvent avoir sous-estimé le risque.
  2. Sous les autorisations, sélectionnez toutes les options particulièrement risquées dans un contexte spécifique. Par exemple, vous pouvez sélectionner tous les filtres qui garantissent l’autorisation d’accès par e-mail, tels que l’accès complet à toutes les boîtes aux lettres, puis consulter la liste des applications pour s’assurer qu’elles ont toutes besoin d’accès lié au courrier. Cela peut vous aider à étudier dans un contexte spécifique et à trouver des applications qui semblent légitimes mais contiennent des autorisations inutiles. Ces applications sont plus susceptibles d’être risquées.
  3. Sélectionnez les applications de requête enregistrées autorisées par les utilisateurs externes. En utilisant ce filtre, vous pouvez trouver des applications qui pourraient ne pas être alignées sur les normes de sécurité de votre entreprise.

Filtrez sur «Last autorisé» à examiner lorsqu’une application a récemment saisi votre réseau. Filtrez ensuite sur le nombre d’utilisateurs et assurez-vous de consulter les applications OAuth qui ont peu d’utilisateurs. Assurez-vous d’effectuer cette revue sur une base semi-régulière.

Ensuite, passez en revue le niveau d’autorisation pour toutes les applications OAuth, en vous assurant que vous connaissez et avez autorisé toute application OAuth qui a un niveau de permission à haute permission dans votre environnement. Décidez si ces applications devraient toujours être autorisées aux autorisations les plus élevées de votre organisation.

Passez en revue la réputation de n’importe quelle application dans l’industrie et assurez-vous qu’elle est largement installée. Sinon, passez en revue le type d’application qu’il s’agit – il pourrait s’agir d’une application de sauvegarde ou de ne pas avoir beaucoup d’utilisateurs. Déterminez son objectif et son examen selon lequel la demande n’a que des autorisations liées à cette intention.

Comment mettre en place l’approbation d’Oauth

Les organisations doivent examiner si elles peuvent activer l’approbation administrative OAuth pour les applications qui demandent des informations et un accès Microsoft 365. Comme l’a noté Microsoft, vous devrez vous connecter à Entrad pour définir ce paramètre d’approbation.

Connectez-vous au Microsoft Entra Admin Center en tant qu’administrateur de rôle privilégié.

  1. Parcourez l’identité> Applications> Applications d’entreprise> Consentement et autorisations> Paramètres de consentement de l’utilisateur.
  2. Sous le consentement de l’utilisateur pour les applications, sélectionnez le paramètre de consentement que vous souhaitez configurer pour tous les utilisateurs.
  3. Sélectionnez Enregistrer pour enregistrer vos paramètres.

Selon les besoins de votre entreprise et l’analyse des risques, vous pouvez choisir d’être plus sécurisé de manière plus proactive et nécessiter une approbation administrative pour toutes les applications ajoutées à votre réseau. Alternativement, vous pouvez ajuster les autorisations pour permettre aux utilisateurs d’obtenir automatiquement l’autorisation des applications considérées comme «faible impact». Ces applications proviennent d’éditeurs ou d’applications vérifiés enregistrés dans cette organisation.

Je vous recommande fortement de ne pas choisir de permettre aux utilisateurs de consenter aux applications qui permet à tous les utilisateurs de consentir à toute application pour accéder aux données de l’organisation.

Exiger l’approbation administrative peut ajouter une couche de frais généraux qui peut être difficile à administrer pour une organisation. Mais ces frais généraux peuvent faire la différence entre une organisation sécurisée et qui est frappé par le compromis des e-mails commerciaux. Surtout à cette époque d’utilisation élevée des nuages, l’identité est le bord de votre organisation.

Passez en revue les journaux de l’intégration OAuth et assurez-vous que l’accès est approprié. Une fois qu’une identité a été compromise avec la réutilisation d’un jeton OAuth, vous devrez réinitialiser les mots de passe, réautoriser l’authentification à deux facteurs et éventuellement envisager d’isoler ce compte d’utilisateur et de mettre en place une toute nouvelle identité.

Active Directory sur site est également vulnérable

De peur que vous ne pensiez que les compromis de Active Directory sur site sont plus faciles à éliminer, devinez à nouveau. Un récent article de blog de Microsoft a montré comment les attaquants sont tout aussi désireux de s’en occuper des identités Active Directory et d’attaquer les attaquer également.

Microsoft recommande des outils inclus dans 365 Defender pour aider à identifier vos points faibles. Commencez par réviser votre section Defender for Identity du score sécurisé et passez en revue les recommandations qui y apparaissent.

Ensuite, considérez les mouvements latéraux que les attaquants peuvent éventuellement faire dans le réseau de votre organisation. Je réitère à nouveau l’importance de l’utilisation et du déploiement de la solution de mot de passe administrative locale (LAP) pour prévenir l’entrée en premier lieu.

Cela gère automatiquement le mot de passe du compte d’administrateur intégré sur les appareils Windows. La configuration initiale d’une station de travail est généralement accomplie avec une image et un mot de passe commun. Si l’attaquant est en mesure d’obtenir la valeur de ce mot de passe partagé, il est alors en mesure d’effectuer un mouvement latéral dans tout le réseau.

Même avec l’utilisation des tours, vous pourriez avoir d’autres outils qui ont un mot de passe partagé similaire. Le logiciel de sauvegarde introduit souvent le risque d’un compte partagé sur de nombreux actifs qui peuvent introduire le risque de mouvement latéral.

Prenez le temps de revoir votre authentification cloud ainsi que votre identité Active Directory et les protections que vous avez mises en place. Revenez ensuite en arrière et recommencez-les et révisez-les à nouveau. La surveillance et l’examen constantes sont essentielles à une organisation correctement sécurisée.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

1887170134 attack surface programming abstract
Des packages NPM malveillants ont été trouvés pour créer une porte dérobée dans le code légitime
Les développeurs innovent le casino de New Virginia
Les développeurs innovent le casino de New Virginia
Trotz Hinweise: Oracle Demetier Cyberattacke
Trotz Hinweise: Oracle Demetier Cyberattacke