Rechercher

Langue

Attaque Cisco : un rappel douloureux de l'angle mort du mouvement latéral

Août 17th, 2022

Accueil » Blog » Attaque Cisco : un rappel douloureux de l'angle mort du mouvement latéral

Personne n'est à l'abri des brèches, comme l'a démontré la semaine dernière lorsque le géant des réseaux Cisco a signalé une brèche dans son environnement interne. Bien que les rapports indiquent qu'aucun préjudice significatif n'a été causé, cette violation offre l'occasion de réfléchir aux lacunes critiques du paysage actuel de la protection de l'identité à travers les étapes clés d'une trajectoire d'attaque : l'accès initial et les mouvement latéral.

La lacune la plus évidente est le manque de données en temps réel Protection MFA dans un environnement interne. Cela signifie qu'une fois que les attaquants ont obtenu un accès initial à une machine et réussi à compromettre les informations d'identification de l'utilisateur, ils peuvent exécuter un mouvement latéral sans encombre. Silverfort comble ces lacunes avec sa plate-forme de protection unifiée de l'identité qui peut étendre MFA protection à tout utilisateur, système ou environnement, y compris ceux qui n'ont jamais bénéficié de cette protection auparavant.

Le résumé suivant est basé sur des extraits de l'analyse de l'attaque publiée par l'équipe de renseignement sur les menaces Talos de Cisco et se concentre sur les étapes qui illustrent le Protection de l'identité lacunes et les mesures de sécurité respectives qui Silverfort offre.

Table des matières

  • Étape 1 : Accès initial
  • Étape 2 : Mouvement latéral
  • Étape 1A : accès initial revisité
  • Conclusion : Combler l'écart

    • Étape 1 : Accès initial

    • L'attaqueEmployant Fatigue AMF pour inciter les utilisateurs à autoriser un accès malveillant
      "Après avoir obtenu les informations d'identification de l'utilisateur, l'attaquant a tenté de contourner MFA en utilisant diverses techniques, y compris MFA sensation de fatigue, le processus d'envoi d'un volume élevé de demandes push à l'appareil mobile de la cible jusqu'à ce que l'utilisateur accepte, accidentellement ou simplement pour tenter de faire taire les notifications push répétées qu'il reçoit.
    • L'écart : MFA statique qui ne répond pas de manière dynamique à l'activité ciblée
      Dans le monde d'aujourd'hui, les mesures de sécurité doivent être intelligentes, ce qui signifie pouvoir déduire la signification des modèles d'événements, les communiquer à d'autres produits de sécurité et réagir en conséquence. La notification push MFA qui est demandée plusieurs fois de manière répétitive et qui est refusée dans chacun d'eux est une indication claire qu'une activité suspecte a lieu. En raison de la grande efficacité de la MFA dans la prévention des attaques qui utilisent des informations d'identification compromises pour accéder aux informations d'identification ciblées, on s'attend seulement à ce que les acteurs de la menace répondent avec des techniques de contournement, ce qui rend la protection contre eux une nécessité.
    • Silverfort DirectoryAutomatisation Fatigue AMF atténuation
      Silverfort fournit une protection dédiée contre la fatigue MFA en supprimant les notifications push de l'utilisateur après cinq tentatives d'accès refusées consécutives. De plus, le score de risque de l'utilisateur est immédiatement élevé pour alerter l'équipe de sécurité que l'utilisateur a été ciblé afin qu'il puisse agir en conséquence.

    Étape 2 : Mouvement latéral

    • L'attaqueAccéder à un large éventail de systèmes à l'aide d'un compte compromis
      "Après avoir établi l'accès au VPN, l'attaquant a alors commencé à utiliser le compte utilisateur compromis pour se connecter à un grand nombre de systèmes avant de commencer à pivoter plus loin dans l'environnement. Ils sont passés à l'environnement Citrix, compromettant une série de serveurs Citrix et ont finalement obtenu un accès privilégié aux contrôleurs de domaine.
    • Le trouManque de MFA pour l'accès en ligne de commande aux systèmes
      Outils d'accès en ligne de commande, tels que PsExec (utilisé dans cette attaque), PowerShell et WMI - sont les principaux utilitaires que les administrateurs utilisent pour accéder, configurer et dépanner les machines distantes. Ce sont également les outils de choix des attaquants pour se déplacer latéralement dans un environnement. Et aucune solution ne peut appliquer la protection MFA sur ces interfaces en raison des protocoles d'authentification qu'elles utilisent, ce qui signifie qu'il n'est pas possible de bloquer en temps réel un attaquant qui a compromis les informations d'identification de l'utilisateur. Il s'agit de la lacune la plus critique dans la pile de sécurité actuelle et la principale raison pour laquelle les attaques par mouvement latéral sont encore fréquentes : parce que la technologie utilisée n'a pas eu à évoluer.
    • Silverfort DirectoryProtection MFA sur toutes les ressources de l'environnement
      Cette protection MFA s'applique quelle que soit la méthode d'accès - RDP, PsExec, PowerShell, WMI, etc. - et empêche les attaquants de tirer profit des informations d'identification compromises. Chaque fois qu'un attaquant tente d'effectuer une connexion malveillante, Silverfort envoie une notification MFA à l'utilisateur réel afin qu'il puisse refuser l'accès catégoriquement. Et c'est la première fois que la protection en temps réel est introduite dans l'environnement interne.

    Étape 1A : accès initial revisité

    • L'attaqueHameçonnage vocal incitant les employés à accorder l'approbation MFA
      "L'attaquant a mené une série d'attaques de phishing vocale sophistiquées sous le couvert de diverses organisations de confiance tentant de convaincre la victime d'accepter les notifications push MFA initiées par l'attaquant. L'attaquant a finalement réussi à obtenir une acceptation push MFA, lui accordant l'accès au VPN dans le contexte de l'utilisateur ciblé.
    • Le trouPoint de défaillance unique MFA
      Les humains constituent le maillon le plus faible de toute chaîne de sécurité. Par conséquent, les équipes de sécurité doivent partir du principe qu’un attaquant déterminé réussira finalement à inciter un utilisateur à agir de manière non sécurisée. C'est exactement pourquoi la protection doit être multicouche : car lors de l'attaque Cisco, une fois l'accès VPN compromis, les attaquants n'ont plus jamais eu à interagir avec l'utilisateur. Au lieu de cela, sous le couvert du compromis des comptes d'utilisateurs ou administrateurs, ils pouvaient théoriquement accéder à n’importe quelle ressource de leur choix.
    • Silverfort DirectoryProtection MFA multicouche sur toutes les ressources
      Silverfort peut appliquer MFA sur n'importe quelle ressource, y compris les serveurs Citrix et les contrôleurs de domaine ciblés par cette violation. Cela signifie que même si l'hameçonnage vocal des attaquants réussissait, ils devraient répéter cette action chaque fois qu'ils voulaient accéder à une nouvelle ressource, ce qui finirait par éveiller les soupçons même de l'utilisateur le plus confiant.

    Conclusion : Combler l'écart

    Silverfort's Protection unifiée de l'identité La plateforme répond à une lacune de longue date que les acteurs malveillants ciblent avec succès depuis plus d’une décennie – et plus récemment dans le cas de la faille Cisco. Ce qu'il faut retenir, c'est que la possibilité d'avoir des informations multicouches en temps réel protection contre les mouvements latéraux est un élément clé de toute architecture de sécurité.

    En savoir plus sur Silverfortprotection contre les mouvements latéraux ici.

    Prêt pour une démo ?
    Inscrivez-vous aujourd'hui.

    Messages récents

    6 Mai 2024

    Utiliser MITM pour contourner la protection anti-hameçonnage FIDO2

    2 mai, 2024

    Silverfort dévoilera une recherche au RSA 2024 : Utiliser MITM pour contourner les méthodes d'authentification modernes vers le SSO

    24 avril 2024

    5 façons d'améliorer votre hygiène AD avec Silverfort  

    26 mars 2024

    Le rapport Identity Underground : aperçu approfondi des failles de sécurité des identités les plus critiques  
    Voir plus

    Suivez-nous

    Arrêtez les menaces sur l'identité