Les identifiants de connexion compromis et les comptes piratés peuvent donner accès à vos réseaux et systèmes d’entreprise. Compte tenu de la récompense potentiellement lucrative à la clé, les cybercriminels concentrent de plus en plus leurs attaques sur vos identités afin d’exfiltrer des données, de prendre le contrôle d’environnements informatiques et de lancer des attaques de ransomwares.
Pour mieux comprendre comment les leaders du secteur gèrent cette évolution du paysage des menaces, j’ai récemment participé à un webinaire présenté par deux dirigeants de Proofpoint : Tim Choi, Group Vice President of Product Marketing, et Ofer Israeli, Group Vice President et General Manager, Identity Threat Defense.
Nous avons discuté des raisons pour lesquelles les attaques ciblant les identités constituent un problème de plus en plus préoccupant, des défis associés à l’identification des utilisateurs vulnérables et de la manière de protéger les personnes et les données contre les attaques qui exploitent des comptes compromis.
Les identités compromises offrent une voie royale aux cybercriminels
Notre secteur utilise beaucoup l’expression « centré sur les personnes ». Nous savons que les cybercriminels ciblent des personnes afin de pouvoir lancer des campagnes de ransomwares ou d’exfiltrer des données. Mais pour les cyberpirates actuels, ce chapitre est clos.
Les cybercriminels ciblent désormais des personnes pour compromettre des identités. Ils utilisent ensuite ces identités pour élever davantage leur accès et leurs privilèges. Par ailleurs, ils se déplacent latéralement dans les entreprises pour recueillir des renseignements, lancer d’autres attaques et voler toujours plus de données.
Grâce à des outils tels que Mimikatz et BloodHound, qui permettent d’identifier les relations cachées, les autorisations utilisateur et les voies d’attaque, le processus consistant à cibler des identités, à voler des identifiants de connexion et à élever les privilèges est devenu d’une simplicité enfantine.
Comprendre les identités à haut risque
Les cybercriminels ont besoin de savoir deux choses pour augmenter leurs chances de succès : l’endroit où se trouvent les données qui les intéressent et l’identité qui peut leur donner accès à celles-ci.
La plupart du temps, ce second élément est un compte de service. Ces comptes ne sont pas toujours protégés par une solution de gestion des accès à privilèges. Ils ont en outre souvent accès à de nombreux fichiers et systèmes différents avec des mots de passe statiques qui ne sont d’aucune utilité.
Les utilisateurs lambda qui ont un rôle d’administrateur fantôme constituent également des identités à très haut risque. Ils ne sont généralement pas considérés comme des utilisateurs à privilèges, mais ont souvent hérité de toutes sortes d’accès en raison de liens d’appartenance complexes à des groupes Active Directory, qui sont très difficiles à surveiller.
Quels éléments d’une entreprise sont les plus vulnérables aux attaques ciblant les identités ?
La plupart des entreprises se heurtent à des problèmes de gestion des identités et des accès (IAM) depuis de nombreuses années. L’importance des accès est telle que les équipes de sécurité doivent s’assurer de bien les comprendre. Trois domaines posent tout particulièrement problème :
- Les identifiants de connexion partagés
- Les identifiants de connexion stockés
- Les secrets partagés
La plupart des utilisateurs possèdent des dizaines, voire des centaines, de noms d’utilisateur et de mots de passe pour une multitude de comptes. Et il est probable qu’ils utilisent les mêmes identifiants de connexion pour au moins certains de ces comptes. Il suffit qu’un seul site soit victime d’une attaque pour que ces identifiants de connexion puissent être utilisés pour accéder à de nombreux autres comptes et systèmes.
En matière de stockage de mots de passe, les entreprises doivent faire preuve de la plus grande prudence. Pour commencer, il faut les sortir de l’environnement dans lequel ils sont utilisés.
Malheureusement, bon nombre d’attaques ciblant les identités découlent d’un piratage opportuniste, dans le cadre duquel des cybercriminels obtiennent des identifiants de connexion lors de divulgations massives de mots de passe ou de compromissions de données et tentent leur chance via la pulvérisation de mots de passe sur les comptes d’entreprise.
Protection de vos identités
La cybersécurité s’apparente à une guerre asynchrone. Le temps que nous mettions en place un nouveau mécanisme de contrôle ou de défense, les cybercriminels ont déjà trouvé un moyen de le contourner. C’est ce qui se passe actuellement.
De nombreuses statistiques confirment que même dans les compromissions les plus graves, les cybercriminels entrent par la grande porte. Comment ? En obtenant un accès à des identifiants de connexion partagés et à une identité ayant un niveau d’accès plus élevé que ce dont l’entreprise ciblée a conscience.
Fondamentalement, il s’agit d’un problème de mauvaises pratiques. Nous avons tous le tort de nous laisser séduire par de nouvelles fonctionnalités de sécurité révolutionnaires, mais il nous manque certaines bases : de bonnes pratiques de cybersécurité simples, une meilleure visibilité et la compréhension de notre environnement.
Comment Proofpoint Spotlight et Proofpoint Shadow peuvent vous aider
Les solutions Proofpoint Spotlight et Proofpoint Shadow résolvent les deux facettes du problème des attaques ciblant les identités :
- Proofpoint Spotlight gère les bonnes pratiques de cybersécurité, à savoir la découverte et le nettoyage des identités vulnérables dans votre environnement.
- En parallèle, Proofpoint Shadow crée un environnement hostile pour les cybercriminels en le parsemant de leurres pour les inciter à se déplacer latéralement, ce qui avertira les équipes de sécurité de leur présence.
Vous bénéficiez ainsi d’une meilleure visibilité pour identifier et corriger les identités à risque, tout en prenant des mesures pour détecter et bloquer les élévations de privilèges et les dégâts causés à vos données, systèmes et réseaux.
Les identités sont des ressources stratégiques pour une entreprise
Les cybercriminels ont commencé à se concentrer sur la compromission d’identités pour exfiltrer des données, prendre le contrôle d’environnements informatiques et lancer des attaques de ransomwares. Regardez le webinaire « Identity Is the New Attack Surface » (L’identité est la nouvelle surface d’attaque) pour en savoir plus.
Téléchargez gratuitement votre exemplaire de New Perimeters
Accédez à d’autres articles et découvrez comment briser la chaîne d’attaque avec Proofpoint Identity Threat Defense dans le numéro New Perimeters – L’identité est la nouvelle surface d’attaque.