Inscrivez-vous pour ne pas manquer notre Newsletter chaque semaine
5 choses à savoir sur la détection et réponse aux menaces liées à l'identité (ITDR)
La sécurité de l’identité est plus importante que jamais. Gartner® a publié son premier rapport autonome sur la détection et la réponse aux menaces d’identité (ITDR), « Améliorez votre préparation aux cyberattaques grâce à la détection et à la réponse aux menaces d’identité« , le 20 octobre 2022. Le rapport complet est disponible ici. (abonnement requis)
Grace à ce rapport, les professionnels de la sécurité et de la gestion des risques ont désormais accès à de nouvelles recherches, des informations et des recommandations pour aborder les problèmes de sécurité des identités. Voici cinq points clés que vous devez savoir sur l’ITDR :
1. L'identité est le principal vecteur des cyberattaques
Selon Gartner, « la dépendance des organisations à l’égard de leur infrastructure d’identité pour permettre la collaboration, le travail à distance et l’accès des clients aux services a transformé les systèmes d’identité en cibles privilégiées pour les acteurs de la menace, l’utilisation abusive des informations d’identification étant la voie la plus populaire vers les failles de sécurité en 2021 »
Au cours des dernières années, les organisations ont dû faire face aux réalités opérationnelles d’une main-d’œuvre qui ne pouvait pas venir travailler au bureau. La crise sanitaire liée au COVID-19 a accéléré ce qui aurait dû être des initiatives de transformation numérique de plusieurs années en quelques mois de mise en œuvre. Comme pour toute adoption de nouvelle technologie, les attaquants ont tourné leur attention vers l’exploitation de ce changement.
Selon le Identity Theft Resource Center, les attaques de ransomware ont doublé en 2020 et ont encore doublé en 2021. Cette fréquence accrue d’attaques de ransomware doit être partiellement attribuée aux défis auxquels les organisations ont été confrontées pour permettre une philosophie de travail à distance, l’expansion de nouveaux systèmes basés sur le cloud et les initiatives de sécurité de type « zero trust », toutes avec les identités au cœur; des identités que les attaquants ont prouvé être vulnérables à l’exploitation.
Les recherches d’Illusive ont ont révélé que les identifiants de compte privilégiés, tels que les sessions RDP mises en cache qui permettent aux administrateurs à distance d’accéder aux ordinateurs, sont laissés exposés sur plus d’un ordinateur sur dix. Par ailleurs, les identifiants RDP et VPN sont les comptes les plus populaires et les plus précieux parmi les courtiers d’accès initial des attaques de ransomwares. Le vol d’identifiants mis en cache est la principale méthode d’attaque. Les attaques de prise de contrôle de compte (ATO) sont très répandues.
2. L'identité est la nouvelle vulnérabilité
Avec l’adoption du cloud computing et la nécessité de prendre en charge le travail à domicile, on entend souvent dire que l’identité est le nouveau périmètre – beaucoup soutiennent que l’identité est la base de la cybersécurité. En tant que nouveau périmètre, cela implique que l’identité est également la nouvelle vulnérabilité, car tout ce dont un attaquant a besoin pour compromettre les ressources de l’entreprise est un seul ensemble d’informations d’identification privilégiées exposées.
Selon Gartner, « les menaces liées à l’identité sont multiples. Les mauvaises configurations et les vulnérabilités de l’infrastructure d’identité peuvent être exploitées ».
Les recherches d’Illusive ont révélé que ces vulnérabilités de sécurité liées à l’identité sont présentes sur 1 actif sur 6 et elles sont classés en trois catégories :
Non gérées : Les comptes privilégiés doivent être stockés dans des solutions de gestion d’accès privilégié (PAM), mais il peut être difficile d’obtenir la visibilité nécessaire pour inventorier complètement ces comptes. Par exemple, 87 % des administrateurs locaux ne sont pas inscrits dans la solution « Local Administrator Password Solution » de Microsoft.
Mal configurées : Les mauvaises configurations dans Active Directory et d’autres solutions de gestion de l’identité et de l’accès (IAM) peuvent entraîner la création d’« administrateurs fantômes », qui ont obtenu des privilèges inutilement élevés grâce à des stratégies de groupe ou d’autres erreurs de configuration sans visibilité sur leurs droits.
Exposées : Même lorsque les identités privilégiées sont correctement provisionnées et gérées, elles peuvent encore devenir exposées au cours des activités normales de l’entreprise. Les informations d’identification mises en cache sont fréquemment stockées sur des points d’extrémité et des serveurs en mémoire, enregistrement ou disque, où elles peuvent être extraites par des outils d’attaque couramment utilisés.
Parce qu’ils sont multifacettes, les facteurs de risque liés à l’identité peuvent exister dans plusieurs dimensions. Il est mauvais qu’une identité soit accordée des privilèges d’administrateur inutiles, c’est pire quand son mot de passe n’a pas été mis à jour depuis plus d’un an et le pire arrive lorsque ses informations d’identification sont exposées – surtout si elles n’ont pas été protégées par une solution PAM.
3. Les attaquants exploitent les lacunes entre les systèmes d'identité et de sécurité
La complexité des identités d’une organisation entraîne le déploiement de systèmes d’identité tels que IAM, PAM et MFA en projets à plusieurs phases, laissant les identités exposées jusqu’à ce que ces déploiements soient entièrement terminés. Ces déploiements qui s’étalent sur plusieurs années sont également confrontés aux changements constants des identités, qui doivent être redécouvertes au fil du temps pour que ces déploiements soient réussis.
De plus, le processus de découverte et d’audit des comptes par rapport aux politiques informatiques et autres exigences de conformité, telles que les politiques de mot de passe et les audits PAM, est un processus fastidieux, manuel et sujet aux erreurs, maintenu dans des feuilles de calcul. Au-delà du coût de ces découvertes intensives en main-d’œuvre, elles sont presque immédiatement obsolètes, laissant les organisations dans l’ignorance de l’étendue de leurs identités vulnérables et incapables de hiérarchiser les efforts de remédiation ou d’optimiser les projets liés à l’identité.
D’autre part, l’approche d’analyse comportementale de plus en plus utilisée pour détecter les cyberattaques échoue lors de la surveillance des comptes privilégiés pour une activité malveillante en raison de la difficulté à distinguer entre l’utilisation acceptable d’un compte privilégié par un administrateur et les activités néfastes des attaquants qui ont compromis le compte. Cela conduit à des indicateurs de compromission (IOC) de faux positifs et de faux négatifs qui laissent les équipes de sécurité dans l’obscurité. Par conséquent, les attaques de prise de contrôle de compte passent régulièrement sous le radar jusqu’à ce qu’il soit trop tard pour prévenir l’attaque.
En ciblant les identités privilégiées, les acteurs de la menace peuvent également accélérer les étapes de leur attaque. Par exemple, lors d’une attaque bien connue de ransomware Lapsus$, des informations d’identification d’accès RDP ont permis à une ATO d’établir une persistance et d’escalader ses privilèges en téléchargeant simplement un outil depuis Github.
Selon Gartner, « Les contrôles préventifs de sécurité et de gestion des identités et des accès conventionnels sont insuffisants pour protéger les systèmes d’identité contre les attaques. Pour renforcer la préparation aux cyberattaques, les responsables de la sécurité et de la gestion des risques doivent ajouter des capacités ITDR à leur infrastructure de sécurité ».
4. Un gramme de prévention vaut mieux qu'un kilogramme de guérison
Les acteurs de la menace utilisent des outils d’attaque automatisés, tels que Mimikatz, pour découvrir et exploiter des identités vulnérables. En fait, Mimikatz était précisément l’outil d’attaque que Lapsus$ a téléchargé depuis GitHub pour voler les informations d’identification mises en cache dont ils avaient besoin pour escalader leurs privilèges.
Bien que ces attaques semblent nouvelles, la réalité est que Mimikatz est un outil d’attaque bien connu qui a été documenté par le cadre MITRE ATT&CK depuis 2017. Cette attaque de Lapsus$ et beaucoup d’autres comme elle servent de preuve de la manière dont les outils des attaquants permettent aux acteurs de la menace d’accélérer les étapes de leur attaque.
Par conséquent, il est logique que si les organisations veulent réduire de manière démontrable les risques, elles devraient se concentrer sur l’élimination des vulnérabilités liées aux identités que les acteurs de la menace exploitent couramment, ce qui leur permet d’éviter la détection et de mener à bien leurs attaques en quelques jours seulement. Bien que cela ait été pratiquement impossible dans le passé sans l’automatisation, cela peut être accompli aujourd’hui grâce à la disponibilité de solutions ITDR qui découvrent en continu ces vulnérabilités, hiérarchisent leur résolution en fonction des risques qu’elles présentent et, dans certains cas, automatisent leur résolution.
Selon Gartner, « Préparez-vous à l’ITDR avec des mesures d’hygiène en répertoriant leurs contrôles de prévention existants et en auditant leur infrastructure IAM pour les mauvaises configurations, les vulnérabilités et les expositions ».
5. L'ITDR est une priorité absolue en matière de cybersécurité
Selon Gartner, « Les menaces d’identité modernes peuvent contourner les contrôles préventifs traditionnels de gestion des identités et des accès (IAM), tels que l’authentification multifactorielle (MFA). Cela rend la détection et la réponse aux menaces d’identité (ITDR) une priorité de cybersécurité pour 2022 et au-delà. »
Les cybercriminels ont fait de l’exploitation des infrastructures d’identité leur principal objectif d’attaque. Leur raisonnement pour cela est devenu clair grâce à la preuve de leur capacité à effectuer rapidement des attaques d’ATO privilégiées sans être détectés.
Les professionnels de la sécurité et de l’informatique ont travaillé ensemble au fil des ans pour sécuriser les réseaux, les points de terminaison, les applications et de nombreuses autres couches de leurs infrastructures informatiques. Avec les attaquants maintenant concentrés sur l’exploitation des identités vulnérables, les organisations doivent maintenant travailler à faire de la sécurisation des identités une priorité absolue.
En conclusion, la sécurité des identités est devenue une priorité absolue pour les organisations car les cybercriminels exploitent de plus en plus les vulnérabilités des infrastructures d’identité pour mener à bien des attaques réussies. Les outils d’attaque automatisés, tels que Mimikatz, sont utilisés pour découvrir et exploiter les identités vulnérables, permettant aux attaquants de contourner les contrôles préventifs traditionnels tels que l’authentification multi-facteurs. Les solutions de détection et de réponse des menaces d’identité (ITDR) sont donc devenues essentielles pour découvrir et éliminer ces vulnérabilités, ce qui peut être automatisé grâce aux outils modernes. En fin de compte, il est clair que les organisations doivent faire de la sécurité des identités une priorité absolue pour réduire les risques et prévenir les attaques réussies.
Source : Illusive
Partager sur :