Atténuer les risques d'identité des comptes des ex-employés

L’une des plus grandes faiblesses de sécurité auxquelles les organisations sont confrontées concerne leurs propres employés. Ce n’est pas agréable, mais c’est une réalité que nous devons accepter. Lorsqu’ils commettent des erreurs, ils ouvrent la porte aux attaquants. Cela est encore plus vrai lorsqu'il s'agit de des comptes d'utilisateurs ou administrateurs des anciens salariés.

On croit souvent à tort que le principal risque associé aux comptes d'anciens employés réside dans la possibilité pour d'anciens travailleurs mécontents d'utiliser leurs identifiants de manière malveillante. Même si les menaces internes représentent un risque important, il existe un autre danger qui passe souvent inaperçu : des attaquants externes compromettant des comptes non surveillés.

Dans de nombreux cas, ces comptes deviennent des reliques oubliées d’emplois antérieurs, laissés sans contrôle ni surveillance alors que les employés se tournent vers de nouvelles opportunités. C’est précisément cette négligence qui en fait des cibles si attractives pour les cybercriminels.

Défis et risques courants liés aux comptes d’anciens employés

Les attaquants sont conscients que ces comptes inactifs ou comptes d'utilisateurs obsolètes, communément appelés « sortants », sont souvent ignorés par les mesures de sécurité de l'organisation. La plupart des équipes informatiques suppriment ces privilèges de compte et l'accès aux ressources critiques, mais ce n'est pas toujours le cas.

Même si nous ne voudrions jamais imaginer que nos employés soient capables d'actions malveillantes, le fait de ne pas révoquer l'accès d'un sortant peut laisser la porte ouverte à une utilisation abusive et à une fuite d'informations sensibles de l'entreprise. Il est également important de noter que les comptes persistants présentent un risque en termes d’utilisation de mots de passe. Si le compte d'un sortant actif utilise un mot de passe en double ou non sécurisé, des tiers peuvent avoir un accès facile à votre organisation.

Étant donné que l’ancien employé peut toujours disposer d’accès et d’autorisations élevés en raison de son poste, les attaquants disposent d’une cible attrayante pour les aider à prendre pied dans un environnement. Qu'il s'agisse d'accéder à des données sensibles, d'infiltrer des systèmes critiques ou de lancer mouvement latéral Au sein du réseau, la compromission de ces comptes négligés peut potentiellement causer des dommages importants.

L’exemple le plus courant serait le cas d’un super administrateur licencié. Leur compte utilisateur a accès aux ressources les plus critiques, mais le service informatique ne déconnecte pas le compte ni ne supprime son accès privilégié.

Exemple concret : des acteurs menaçants ont exploité les comptes d'anciens employés pour pirater les systèmes gouvernementaux de l'État.

Selon le Agence de la cybersécurité et de la sécurité des infrastructures (CISA), un acteur malveillant a eu accès au réseau d'une organisation gouvernementale américaine en utilisant les identifiants de connexion administratifs d'un ancien employé. En utilisant des informations d'identification compromises, les attaquants ont pu accéder à un VPN interne et à l'environnement sur site et exécuter des requêtes LDAP sur un contrôleur de domaine.

L'organisation, que CISA n'a pas nommée, n'a pas réussi à supprimer le compte de l'ancien employé, ce qui permettait à l'acteur menaçant d'analyser l'environnement et ses ressources. Les informations d'identification permettaient d'accéder à deux serveurs virtualisés, SharePoint et le poste de travail de l'employé. Les informations d'identification d'un deuxième employé ont été extraites du serveur SharePoint et utilisées pour s'authentifier auprès du serveur sur site. Active Directory ainsi que le Entra ID (Entra ID), obtenant ainsi un accès administratif.

Les deux serveurs virtualisés ont été mis hors ligne et le compte utilisateur a été désactivé. En plus de modifier les informations d'identification du deuxième compte compromis, l'organisation victime a également supprimé ses privilèges administratifs. De plus, la CISA a noté qu'aucun des comptes administratifs n'avait MFA activée.

Comme l’illustre cet exemple, même suivre les meilleures pratiques tout au long de votre stratégie de sécurité informatique ne suffit pas face aux attaquants. Au lieu de supposer que vous en avez fait suffisamment pour sécuriser les comptes de vos anciens employés, il est préférable d’ajouter des contrôles de sécurité d’identité plus concrets qui refusent l’accès afin d’assurer la sécurité de ces comptes.

Comment Silverfort Sécurise les comptes des anciens employés

Silverfort permet aux équipes d'identité de découvrir facilement les comptes d'anciens employés dans leurs environnements et de les supprimer ou de supprimer leurs autorisations. Silverfort classe les comptes qui n’ont pas été utilisés depuis un an ou plus comme « utilisateurs obsolètes ». Avec Silverfort vous pouvez obtenir une visibilité complète et continue sur les utilisateurs obsolètes et appliquer des mesures de sécurité appropriées, telles que l'application de politiques de blocage d'accès à ces comptes d'utilisateurs.

Voyons exactement comment cela se fait dans Silverfortla console :

Visibilité sur les utilisateurs obsolètes

Silverfort découvre automatiquement tous les comptes de votre environnement, y compris les comptes d'utilisateurs obsolètes, et offre une visibilité en temps réel sur toutes les activités des utilisateurs. Cela vous permet de détecter et de répondre aux menaces de sécurité potentielles, notamment en bloquant l'accès à tout compte affichant un comportement anormal.

In SilverfortSur l'écran Insights de, vous verrez un inventaire d'identité approfondi qui affiche les types d'utilisateurs et de ressources dans votre environnement ainsi que les faiblesses de votre sécurité. Sous Utilisateurs et mots de passe, vous pouvez trouver la liste complète des utilisateurs obsolètes de votre environnement. Silverfort détecte et catégorise ces comptes selon les attributs communs des comptes d'utilisateurs obsolètes.

Cliquer sur l'espace Utilisateurs obsolètes ouvre une fenêtre qui vous montre tous les détails sur ces comptes. Maintenant que vous disposez des noms de ces utilisateurs obsolètes, vous pouvez les localiser dans son IdP et soit supprimer leurs autorisations, soit les supprimer complètement, soit appliquer une stratégie de refus d'accès au compte utilisateur.

Le pouvoir du refus

Pour adopter une approche plus proactive afin d'empêcher les comptes d'utilisateurs d'anciens employés de créer davantage de risques de sécurité, il est recommandé de créer une politique de refus d'accès pour les « sortants ». Cela garantira que si un acteur malveillant utilise un compte obsolète pour accéder à quoi que ce soit dans votre environnement, l'accès lui sera automatiquement refusé.

In Silverfort's Politiques internes écran, créez une nouvelle stratégie. Vérifiez votre IdP comme Type d'authentification, puis vérifiez soit Kerberos/NTLM or LDAP, en fonction de vos besoins. Choisir Basé sur la statique pour le type de police et pour Utilisateur et groupe, il doit être attribué au groupe Quitter ou à un nom similaire que vous avez pour les employés qui partent ou sont partis. Ensuite, sous Action, '; '; ; Refuser.

Une fois activée, cette stratégie refusera automatiquement l’accès à tout compte auquel cette stratégie est attribuée. Si ce compte était compromis, cette politique priverait un adversaire de la possibilité de l'utiliser à des fins malveillantes.

La visibilité et la protection en temps réel sont essentielles pour atténuer les risques liés aux comptes des anciens employés

De nombreux types de menaces de sécurité peuvent mettre votre organisation en danger dans l'environnement hybride actuel. Une sécurité complète nécessite donc une visibilité, une surveillance et une protection complètes. La visibilité des utilisateurs obsolètes et le blocage de toute demande d'accès sont importants pour garantir que les attaquants n'utiliseront pas ces comptes pour accéder à d'autres parties de l'environnement.

En appliquant une surveillance continue et une application active des politiques à chaque forme de compte d'employé, Silverfort peut à la fois automatiser la découverte des utilisateurs obsolètes et fournir une protection en temps réel contre leurs abus.

Vous cherchez à résoudre Protection de l'identité défis dans votre environnement? Contactez l'un de nos experts ici.