Personne n'est à l'abri des brèches, comme l'a démontré la semaine dernière lorsque le géant des réseaux Cisco a signalé une brèche dans son environnement interne. Bien que les rapports indiquent qu'aucun préjudice significatif n'a été causé, cette violation offre l'occasion de réfléchir aux lacunes critiques du paysage actuel de la protection de l'identité à travers les étapes clés d'une trajectoire d'attaque : l'accès initial et les mouvement latéral.
La lacune la plus évidente est le manque de données en temps réel Protection MFA dans un environnement interne. Cela signifie qu'une fois que les attaquants ont obtenu un accès initial à une machine et réussi à compromettre les informations d'identification de l'utilisateur, ils peuvent exécuter un mouvement latéral sans encombre. Silverfort comble ces lacunes avec sa plate-forme de protection unifiée de l'identité qui peut étendre MFA protection à tout utilisateur, système ou environnement, y compris ceux qui n'ont jamais bénéficié de cette protection auparavant.
Le résumé suivant est basé sur des extraits de l'analyse de l'attaque publiée par l'équipe de renseignement sur les menaces Talos de Cisco et se concentre sur les étapes qui illustrent le Protection de l'identité lacunes et les mesures de sécurité respectives qui Silverfort offre.
Étape 1 : Accès initial
- L'attaque: Employant Fatigue AMF pour inciter les utilisateurs à autoriser un accès malveillant
"Après avoir obtenu les informations d'identification de l'utilisateur, l'attaquant a tenté de contourner MFA en utilisant diverses techniques, y compris MFA sensation de fatigue, le processus d'envoi d'un volume élevé de demandes push à l'appareil mobile de la cible jusqu'à ce que l'utilisateur accepte, accidentellement ou simplement pour tenter de faire taire les notifications push répétées qu'il reçoit. - L'écart : MFA statique qui ne répond pas de manière dynamique à l'activité ciblée
Dans le monde d'aujourd'hui, les mesures de sécurité doivent être intelligentes, ce qui signifie être capable de déduire la signification des modèles d'événements, de les communiquer à d'autres produits de sécurité et de réagir en conséquence. Une notification push MFA qui est demandée à plusieurs reprises et refusée dans chacune d'elles est une indication claire qu'une activité suspecte a lieu. En raison de la grande efficacité de la MFA dans la prévention des attaques utilisant identifiants compromis pour accéder aux informations d'identification ciblées, on s'attend simplement à ce que les acteurs malveillants répondent par des techniques de contournement, ce qui rend la protection contre ces informations nécessaire. - Silverfort Protection: Automated Fatigue AMF atténuation
Silverfort fournit une protection dédiée contre la fatigue MFA en supprimant les notifications push de l'utilisateur après cinq tentatives d'accès refusées consécutives. De plus, le score de risque de l'utilisateur est immédiatement élevé pour alerter l'équipe de sécurité que l'utilisateur a été ciblé afin qu'il puisse agir en conséquence.
Étape 2 : Mouvement latéral
- L'attaque: Accéder à un large éventail de systèmes à l'aide d'un compte compromis
"Après avoir établi l'accès au VPN, l'attaquant a alors commencé à utiliser le compte utilisateur compromis pour se connecter à un grand nombre de systèmes avant de commencer à pivoter plus loin dans l'environnement. Ils sont passés à l'environnement Citrix, compromettant une série de serveurs Citrix et ont finalement obtenu un accès privilégié aux contrôleurs de domaine. - Le trou: Manque de MFA pour l'accès en ligne de commande aux systèmes
Outils d'accès en ligne de commande, tels que PsExec (utilisé dans cette attaque), PowerShell et WMI - sont les principaux utilitaires que les administrateurs utilisent pour accéder, configurer et dépanner les machines distantes. Ce sont également les outils de choix des attaquants pour se déplacer latéralement dans un environnement. Et aucune solution ne peut appliquer la protection MFA sur ces interfaces en raison des protocoles d'authentification qu'elles utilisent, ce qui signifie qu'il n'est pas possible de bloquer en temps réel un attaquant qui a compromis les informations d'identification de l'utilisateur. Il s'agit de la lacune la plus critique dans la pile de sécurité actuelle et la principale raison pour laquelle les attaques par mouvement latéral sont encore fréquentes : parce que la technologie utilisée n'a pas eu à évoluer. - Silverfort Protection: Protection MFA sur toutes les ressources de l'environnement
Cette protection MFA s'applique quelle que soit la méthode d'accès - RDP, PsExec, PowerShell, WMI, etc. - et empêche les attaquants de tirer profit des informations d'identification compromises. Chaque fois qu'un attaquant tente d'effectuer une connexion malveillante, Silverfort envoie une notification MFA à l'utilisateur réel afin qu'il puisse refuser l'accès catégoriquement. Et c'est la première fois que la protection en temps réel est introduite dans l'environnement interne.
Étape 1A : accès initial revisité
- L'attaque: Hameçonnage vocal incitant les employés à accorder l'approbation MFA
"L'attaquant a mené une série d'attaques de phishing vocale sophistiquées sous le couvert de diverses organisations de confiance tentant de convaincre la victime d'accepter les notifications push MFA initiées par l'attaquant. L'attaquant a finalement réussi à obtenir une acceptation push MFA, lui accordant l'accès au VPN dans le contexte de l'utilisateur ciblé. - Le trou: Point de défaillance unique MFA
Les humains constituent le maillon le plus faible de toute chaîne de sécurité. Par conséquent, les équipes de sécurité doivent partir du principe qu’un attaquant déterminé réussira finalement à inciter un utilisateur à agir de manière non sécurisée. C'est exactement pourquoi la protection doit être multicouche : car lors de l'attaque Cisco, une fois l'accès VPN compromis, les attaquants n'ont plus jamais eu à interagir avec l'utilisateur. Au lieu de cela, sous le couvert du compromis des comptes d'utilisateurs ou administrateurs, ils pouvaient théoriquement accéder à n’importe quelle ressource de leur choix. - Silverfort Protection: Protection MFA multicouche sur toutes les ressources
Silverfort peut appliquer MFA sur n'importe quelle ressource, y compris les serveurs Citrix et les contrôleurs de domaine ciblés par cette violation. Cela signifie que même si l'hameçonnage vocal des attaquants réussissait, ils devraient répéter cette action chaque fois qu'ils voulaient accéder à une nouvelle ressource, ce qui finirait par éveiller les soupçons même de l'utilisateur le plus confiant.
Conclusion : Combler l'écart
Silverfort's Protection unifiée de l'identité La plateforme répond à une lacune de longue date que les acteurs malveillants ciblent avec succès depuis plus d’une décennie – et plus récemment dans le cas de la faille Cisco. Ce qu'il faut retenir, c'est que la possibilité d'avoir des informations multicouches en temps réel protection contre les mouvements latéraux est un élément clé de toute architecture de sécurité.
En savoir plus sur Silverfortprotection contre les mouvements latéraux ici.