Si l’histoire des cybermenaces nous a appris quelque chose, c’est que les règles du jeu évoluent constamment. Les cybercriminels ont recours à une technique d’attaque. Nous la controns. Ils changent alors de stratégie.
Aujourd’hui, cette nouvelle stratégie consiste à exploiter la vulnérabilité des identités. Les cybercriminels ont conscience que même si le réseau et l’ensemble des endpoints et des terminaux sont sécurisés, ils peuvent tout de même compromettre les ressources d’une entreprise en obtenant un accès à un compte à privilèges.
Et les moyens d’y parvenir ne manquent pas. Dans les entreprises, un endpoint sur six présente des risques liés aux identités, comme le révèlent les recherches menées par Proofpoint pour les besoins de son rapport sur l’analyse des risques liés aux identités.
La situation s’est rapidement détériorée
Le dernier rapport d’enquête sur les compromissions de données de Verizon met en lumière les risques associés aux attaques complexes qui impliquent une intrusion système. Il souligne également la nécessité de perturber les plans des cybercriminels une fois qu’ils ont infiltré votre environnement. Une fois cet accès obtenu, ils cherchent des moyens d’élever les privilèges et d’assurer leur persistance. Ils s’efforcent également de se déplacer au sein de l’environnement afin d’atteindre leurs objectifs, quels qu’ils soient.
Ce problème ne cesse de s’aggraver dans la mesure où la gestion des identités d’entreprise et les systèmes permettant de les sécuriser sont complexes. Les modifications constantes apportées aux comptes et à leurs configurations n’arrangent pas la situation.
Les cybercriminels ont de plus en plus recours à la prise de contrôle de comptes à privilèges, qui leur permet de compromettre des entreprises facilement et rapidement. En tout cas, cette technique est plus simple, plus rapide et plus abordable que l’exploitation d’une vulnérabilité logicielle (CVE).
Cette tendance n’est pas prête de s’essouffler, étant donné que les prises de contrôle de comptes ont réduit la durée d’implantation des cybercriminels de plusieurs mois à quelques jours. Et il y a peu de risques que les cybercriminels soient détectés avant d’avoir pu commettre leurs méfaits.
Comment les responsables informatiques et de sécurité ainsi que leurs équipes peuvent-ils faire face à une telle situation ? Un retour aux bases peut s’avérer utile.
Priorité à la protection des identités
Les équipes de sécurité œuvrent à la protection des réseaux, des systèmes et des endpoints de leur infrastructure, et continuent à renforcer la pile technologique pour sécuriser les applications. Nous devons aujourd’hui nous concentrer davantage sur des moyens d’améliorer la protection des identités. C’est pourquoi une stratégie de détection et de neutralisation des menaces liées aux identités (ITDR) est aussi primordiale à l’heure actuelle.
Nous avons tendance à considérer la sécurité comme une guerre. Et dans cette guerre, l’identité constitue notre nouvelle bataille. Comme nous l’avons fait par le passé avec les réseaux, les endpoints et les applications, nous devons appliquer des règles de cybersécurité de base pour prévenir les risques liés aux identités.
Si les contrôles de prévention et de détection sont tous deux utiles, les premiers sont toutefois préférables. (Leur déploiement peut en outre coûter moins cher.) En d’autres termes, dans notre bataille pour la sécurisation des identités, mieux vaut prévenir que guérir.
L’identité en tant que type de ressource pour la gestion des vulnérabilités
Les entreprises doivent envisager d’assurer la correction des vulnérabilités liées aux identités qui sont les plus souvent attaquées d’une manière identique ou semblable à la façon dont elles gèrent les millions d’autres vulnérabilités de leurs autres types de ressources (réseaux, hôtes, applications, etc.).
Nous devons considérer les identités comme un type de ressource. La gestion de leurs vulnérabilités doit être intégrée au processus de hiérarchisation des vulnérabilités à corriger. Pour ce faire, il faut être capable d’analyser l’environnement en continu afin d’identifier les identités qui sont vulnérables et de découvrir pourquoi elles le sont.
Proofpoint Spotlight™ apporte une solution grâce aux fonctionnalités suivantes :
- Découverte continue des menaces liées aux identités et gestion des vulnérabilités
- Hiérarchisation automatisée de ces menaces en fonction du risque qu’elles présentent
- Visibilité sur le contexte de chaque vulnérabilité
En outre, Proofpoint Spotlight permet une correction entièrement automatisée des vulnérabilités lorsque la correction n’engendre aucun risque de perturbation des activités.
Hiérarchisation des efforts de correction pour tous les types de ressources
Des millions de vulnérabilités pèsent sur les différents types de ressources de la plupart des entreprises. Il est donc essentiel de hiérarchiser les efforts de gestion des menaces et des vulnérabilités, car la majorité des vulnérabilités présentent peu de risques. Plusieurs facteurs clés doivent être pris en considération lors de la hiérarchisation :
- L’importance de la ressource vulnérable pour l’entreprise
- La probabilité que la vulnérabilité soit exploitée
- La force et l’efficacité des contrôles compensatoires qui réduisent le risque associé à la vulnérabilité
Une fois que vous avez pris en compte ces facteurs, les risques liés aux identités et les vulnérabilités associées aux identités à privilèges se hissent assez haut dans la liste des priorités.
Les cybercriminels peuvent utiliser des comptes à privilèges pour endommager les systèmes les plus importants d’une entreprise. La probabilité que ces comptes soient exploités a augmenté, car ils sont aujourd’hui dans la ligne de mire de nombreux cybercriminels. De plus, étant donné que la plupart des prises de contrôle de comptes passent inaperçues, il est clair que des contrôles compensatoires suffisants ne permettent pas de réduire le risque d’émergence de ces vulnérabilités.
La bonne nouvelle est que bon nombre de vulnérabilités liées aux identités à privilèges peuvent être facilement corrigées. Une des approches possibles consiste à supprimer les identifiants de connexion non sécurisés des endpoints, ce qui est bien plus simple que de corriger les vulnérabilités logicielles (CVE), cette tâche pouvant nécessiter des modifications coûteuses du code et des tests de régression complets.
La gestion des menaces et vulnérabilités liées aux identités est un contrôle compensatoire pour de nombreuses CVE non corrigées, car les cybercriminels exploitent souvent des vulnérabilités logicielles pour lancer une attaque. Ensuite, les cyberpirates doivent encore élever les privilèges.
En soi, la correction des vulnérabilités liées aux identités offre un contrôle compensatoire pour de nombreuses CVE non corrigées, en empêchant le cybercriminel d’élever les privilèges et d’aller plus loin.
Webinaire : Identity Is the New Attack Surface (L’identité est la nouvelle surface d’attaque)
Regardez l’enregistrement de notre webinaire pour en savoir plus sur ce sujet et écouter des experts en cybersécurité expliquer comment l’IDTR peut aider votre entreprise à prendre une longueur d’avance sur les vulnérabilités liées aux identités.
Téléchargez gratuitement votre exemplaire de New Perimeters
Découvrez comment une visibilité sur vos identités vulnérables et à risque peut vous aider à briser la chaîne d’attaque dans le numéro New Perimeters – L’identité est la nouvelle surface d’attaque.