Les cyberattaques deviennent de plus en plus fréquentes et sophistiquées, l'identité étant la principale cible des acteurs malveillants et des fournisseurs de ransomware en tant que service (RaaS). 83% d'organisations ont connu des violations impliquant des identifiants compromis, ce qui indique clairement que les attaques basées sur l'identité deviennent la stratégie de prédilection des attaquants. Cette statistique alarmante constitue le fondement de la AIG et Silverfort papier blanc, « L’identité est devenue la cible principale des acteurs de la menace », qui met en lumière la manière dont les attaquants exploitent les lacunes dans les stratégies de gestion des identités et des accès (IAM), en particulier lorsque l'authentification multifacteur (MFA) est mal configurée ou n'est pas entièrement déployée.
Pourquoi l’identité est le nouveau champ de bataille
La dépendance croissante à l'égard de l'identité des utilisateursiiLes environnements cloud, hybrides et sur site ont transformé l'identité en un champ de bataille critique en matière de sécurité. Autrefois considérée comme sécurisée avec des authentification multi-facteur Les identifiants sont devenus un point d'entrée courant pour les cybercriminels. Les attaquants trouvent des moyens de contourner les méthodes MFA traditionnelles, que ce soit par phishing, ingénierie sociale ou compromission directe.
L’une des principales raisons de cette lacune en matière de sécurité est la implémentation incomplète ou mauvaise configuration de l'authentification multifacteur sur tous les systèmes critiques. Cela inclut l'infrastructure héritée et les comptes privilégiés. La couverture MFA est généralement limitée aux applications Web et cloud, laissant les anciens systèmes et les ressources administratives sans protection. Cette lacune offre aux attaquants un chemin direct pour infiltrer les réseaux, élever les privilèges et déployer ransomware.
Les défis de la mise en œuvre de l'AMF
Bien que l’AMF soit largement reconnue comme l’une des défenses les plus efficaces contre attaques basées sur l'identité, de nombreuses organisations ont du mal à le mettre en œuvre de manière globale. Parmi les principaux défis à relever, on peut citer :
- Les systèmes hérités ne prennent pas en charge l'authentification multifacteur:Les systèmes et applications plus anciens ne prennent pas en charge nativement l'authentification multifacteur, ce qui rend difficile pour les organisations de sécuriser ces ressources sans mises à niveau importantes de l'infrastructure.
- Obsolète Insécurisé Authentification Protocoles:Les protocoles tels que NTLM et Kerberos, toujours utilisés dans de nombreux environnements sur site, n'ont pas été conçus en tenant compte des contrôles de sécurité modernes. Ils laissent des lacunes importantes en matière de protection que l'authentification multifacteur ne couvre pas toujours.
- Erreurs de configuration:Même lorsque l'authentification multifacteur est en place, des erreurs de configuration peuvent rendre les systèmes vulnérables aux compromissions. Par exemple, l'authentification multifacteur peut être appliquée au niveau du périmètre, mais les comptes privilégiés, sans doute les plus critiques, peuvent ne pas bénéficier des protections appropriées au sein du réseau interne.
- Limitations basées sur les agents:Les implémentations MFA traditionnelles reposent souvent sur des agents ou des proxys difficiles à déployer sur diverses infrastructures, ce qui entraîne des lacunes de couverture.
Les conséquences d’une MFA incomplète
L'AIG & Silverfort Le livre blanc met en évidence plusieurs exemples concrets dans lesquels les échecs de l'authentification multifacteur ont conduit à des violations dévastatrices. Dans un cas, les identifiants des employés d'une entreprise ont été compromis via une passerelle Citrix qui n'était pas protégée par l'authentification multifacteur. compte privilégié, les attaquants ont accédé au réseau, se sont déplacés latéralement à l'intérieur de celui-ci et ont finalement déployé un ransomware.
Il y a une leçon essentielle à tirer de cet exemple : les lacunes de l’AMF, en particulier dans gestion des accès privilégiés (PAM) peut avoir des conséquences catastrophiques. Grâce à l'accès à un compte privilégié, les attaquants peuvent facilement exécuter des ransomwares ou exfiltrer des données.
Clorox, MoveIt Transfer Software, Zellis Payroll Software et Change Healthcare sont d’autres violations notables qui auraient pu être évitées grâce à une approche unifiée de l’authentification multifacteur.
Combler les lacunes de l’AMF : une approche unifiée
Pour lutter contre ces failles de sécurité, l'AIG & Silverfort Le livre blanc souligne la nécessité d'une approche unifiée et globale de l'AMF. Plutôt que d'appliquer l'authentification multifacteur de manière sélective ou de s'appuyer sur des méthodes obsolètes, les organisations doivent s'efforcer d'étendre la couverture de l'authentification multifacteur à toutes les ressources : cloud, sur site, systèmes hérités et comptes privilégiés. Cela implique :
- Évaluer et combler les lacunes:Effectuez une analyse des risques approfondie pour identifier les erreurs de configuration et les domaines dans lesquels l’authentification multifacteur est absente.
- Prioriser les comptes privilégiés:Protégez les comptes administratifs et autres comptes privilégiés avec des politiques MFA strictes.
- Solutions indépendantes du protocole:Implémentez des solutions MFA qui fonctionnent sur tous les types de protocoles d’authentification, y compris les systèmes plus anciens qui utilisent des protocoles non sécurisés qui ne prennent pas en charge nativement l’authentification multifacteur moderne.
- MFA résistant au phishing: Appliquez des méthodes MFA avancées qui résistent aux attaques de phishing et d’ingénierie sociale, telles que les jetons matériels ou l’authentification biométrique, plutôt que de vous fier à une MFA basée sur SMS ou sur la téléphonie, qui peut être interceptée.
Se préparer aux futures attaques basées sur l’identité
L’identité restera une cible clé pour les attaquants et, sans une couverture MFA complète, les entreprises s’exposent à des attaques de plus en plus sophistiquées. En adoptant une stratégie MFA globale et unifiée, les entreprises peuvent réduire considérablement leur risque de violation de l’identité.
Professionnels de la cybersécurité et cyber assurance Les parties prenantes doivent toutes prendre des mesures proactives pour garantir que chaque point d’accès, en particulier ceux impliquant des comptes privilégiés, soit correctement protégé. À mesure que le paysage des menaces évolue, nos défenses doivent également évoluer, en commençant par combler les failles de l’authentification multifacteur que les attaquants exploitent si souvent.