Menaces liées à l’identité et abus de privilèges
octobre 2024 par Thomas Manierre, Directeur EMEA Sud de BeyondTrust
Dans le paysage actuel de la cybersécurité, l’identité est devenue la nouvelle ligne de front. Alors que les organisations sont aux prises avec des cybermenaces de plus en plus sophistiquées, la sécurisation des identités et des privilèges qui leur sont associés est plus essentielle que jamais.
Comprendre la menace
Aujourd’hui, les acteurs malveillants sont de plus en plus susceptibles de se connecter plutôt que de pirater. Cela signifie qu’ils exploitent des chemins inconnus vers des privilèges pour obtenir un accès non autorisé aux environnements. Chaque identité, qu’elle soit humaine ou non, peut être une cible, ce qui présente des risques importants en tant que point d’entrée potentiel pour les acteurs malveillants qui souhaitent augmenter leurs privilèges. Le grand nombre d’identités et de comptes associés, souvent dotés de privilèges excessifs et évolutifs, est écrasant pour les organisations à gérer et à sécuriser.
Il est fascinant, et un peu alarmant, de voir à quel point la dynamique des cybermenaces a changé. Le fait que les attaquants soient plus susceptibles d’exploiter les accès légitimes plutôt que de percer les défenses par le biais du piratage souligne vraiment la nécessité d’une sécurité complète des identités. Il ne s’agit plus seulement d’empêcher les acteurs malveillants d’entrer ; il s’agit de s’assurer que même un accès légitime ne se transforme pas en passerelle pour les attaques.
Le défi ne consiste pas seulement à gérer les privilèges explicitement attribués, mais également à identifier les chemins cachés vers les privilèges que les attaquants peuvent exploiter. Les outils et approches de sécurité traditionnels, comme la détection et la réponse étendues (XDR) et les plateformes de protection des applications natives du cloud (CNAPP), bien que précieux, ont souvent du mal à fournir la couverture et la visibilité complètes nécessaires pour traiter ces risques de manière proactive. Se fier uniquement à des outils réactifs revient à fermer la porte de l’écurie après que le cheval se soit enfui. Adopter une attitude proactive pour identifier et neutraliser ces risques cachés avant qu’ils ne puissent être exploités est de plus en plus vital dans le paysage actuel de la cybersécurité.
Détecter les chemins critiques vers les privilèges
Les identités inactives et partiellement révoquées / désactivées sont des comptes qui peuvent néanmoins être exploités par des attaquants pour obtenir un accès non autorisé. Elle passent souvent inaperçues, mais constituent une vulnérabilité sérieuse si elles ne sont pas contrôlées.
Nous avons pu le constater avec l’attaque Midnight Blizzard contre Microsoft. Les identifiants de développement inactifs ont été le vecteur d’attaque initial qui a conduit à la compromission des e-mails de production. Des chemins apparemment inoffensifs peuvent donner accès indirectement à des comptes de développement et au véritable privilège d’un administrateur de production.
Adopter une vigilence proactive
Il existe de nombreux autres exemples critiques. Voici les fréquents points de vulnérabilité que les entreprises doivent surveiller de manière proactive pour réduire les risques d’attaque sur les identités :
● Les comptes Entra ID ou Azure Active Directory privilégiés qui ne sont pas gérés par une solution PAM peuvent présenter des risques de sécurité importants s’ils ne sont pas correctement contrôlés .
● L’élévation potentielle des privilèges via la propriété des groupes , c’est-à-dire lorsque des attaquants prennent le contrôle de certains groupes pour augmenter leurs privilèges au sein d’une organisation.
● L’utilisation d’un navigateur obsolète et l’activité dans les comptes de domaine , ce qui peut indiquer des vulnérabilités que les attaquants pourraient exploiter.
● Un nombre inhabituel d’échecs MFA en succession rapide , ce qui pourrait être le signe d’une tentative de pulvérisation de mot de passe ou d’attaque par force brute.
● Une activité sur les identités partiellement désactivées et des comptes privilégiés récemment réactivés pourrait suggérer un accès non autorisé.
● Les vulnérabilités des services de certificats Active Directory (ADCS ), qui sont essentielles pour prévenir les attaques par escalade de privilèges.
● Les identités d’application surprivilégiées avec des informations d’identification faibles . Nous voyons les attaquants les exploiter de plus en plus fréquemment ces derniers temps.
● Les connexions inconnues entre les environnements de production et de non-production , qui sont cruciales pour empêcher les mouvements latéraux au sein d’un réseau.
Couvrir un éventail aussi large de menaces potentielles aide réellement les organisations à obtenir la visibilité dont elles ont besoin pour gérer ces risques de manière proactive et ne négliger aucun effort pour sécuriser l’ensemble de leur parc d’identité. Une visibilité et une couverture complètes sur tous les types d’identités et de systèmes, qu’ils soient sur site, dans le cloud, en mode SaaS ou dans l’infrastructure d’identité, sont essentielles, car si les défenseurs ne peuvent pas voir le risque, ils ne peuvent pas le résoudre. Il ne s’agit pas seulement d’éteindre les incendies, mais aussi d’empêcher qu’ils ne se déclarent.