La connaissance, c'est le pouvoir : l'importance de l'évaluation des risques liés à l'identité
Plus de 80 % des organisations ont été confrontées à une violation d’identité impliquant des informations d’identification compromises. Identifiants compromis sont l’une des faiblesses les plus recherchées par les attaquants pour faciliter les violations d’identité, telles que les mouvements latéraux et la propagation de ransomwares.
Pour déterminer et résoudre leurs faiblesses et expositions en matière d’identité, les organisations doivent procéder à une évaluation des risques liés à l’identité.
Dans cet article, nous examinerons les éléments clés d'une évaluation efficace des risques liés à l'identité et discuterons de la manière d'obtenir une visibilité et des informations complètes sur votre entreprise. sécurité d'identité posture avec Silverfort.
Table des matières
Les risques identitaires commencent par les faiblesses identitaires
Les organisations sont confrontées à des menaces d'identité telles que les piratages de comptes, mouvement latéral et les rançongiciels. Selon un récent rapport de Silverfort et recherche Osterman, plus de 80 % des organisations ont subi une violation d'identité cela impliquait des informations d’identification compromises, avec plus de la moitié de ces violations au cours de la seule année écoulée.
Le succès continu de ces attaques implique qu'il existe des maillons faibles ou des failles de sécurité que les attaquants ciblent pour compromettre les informations d'identification, élever les privilèges et se déplacer latéralement. Le but d’une évaluation des risques liés à l’identité est de découvrir ces lacunes. Par exemple, un rapport récent intitulé « The Identity Underground » a révélé les maillons faibles les plus critiques et les plus répandus et a dévoilé quelques conclusions alarmantes, notamment :
- La synchronisation non sécurisée des mots de passe sur site est un facteur contribuant à la compromission des applications SaaS dans 67 % des organisations.
- 37 % des administrateurs utilisent NTLM pour s'authentifier, et 7 % supplémentaires utilisent NTLMv1.
- 31 % de tous les utilisateurs d'une organisation sont privilégiés.
- 7 % des utilisateurs réguliers disposent de privilèges d’accès de niveau administrateur sans appartenir à aucun groupe d’administrateurs.
Les données ci-dessus ne constituent qu’un petit échantillon illustrant l’ampleur de exposition à une menace d'identité défis.
Éléments clés de l’évaluation des risques liés à l’identité
Les organisations entreprennent des évaluations des risques de sécurité pour mieux comprendre leurs faiblesses et leurs expositions. Le processus de réalisation d’une évaluation des risques implique la collecte et l’analyse de données. Plus précisément, cet article se concentre sur les données liées à l'identité, telles que les comptes, les authentifications et les privilèges d'accès. Une évaluation des risques liés à l’identité comprend généralement les éléments suivants :
Données liées à l'identité
Inventaire des comptes utilisateur
Visibilité complète sur tous des comptes d'utilisateurs ou administrateurs, les comptes de service et les comptes d'administrateur. Un inventaire détaillé comprendra généralement des informations telles que les noms, les descriptions, les appartenances à des groupes et les candidatures associées à chaque élément.
Configurations
Un aperçu complet des configurations sur site et dans le cloud des utilisateurs et des annuaires.
Modèles d'accès
Visibilité complète sur toutes les authentifications et modèles d'accès des utilisateurs et ressources actifs, sur site et dans le cloud, y compris les comptes de service et protocoles d'authentification journaux.
Analyse de risque
Accès aux informations d'identification
Le cadre MITRE ATT&CK définit accès aux informations d'identification comme les techniques utilisées par les attaquants pour voler des informations d'identification telles que les noms de compte et les mots de passe. Les techniques d'accès aux informations d'identification incluent, entre autres, le keylogging, le dumping des informations d'identification et la force brute.
Les protocoles d'authentification les plus récents sont conçus pour empêcher de telles attaques, mais les protocoles plus anciens comme NTLMv1 ont un cryptage faible, qui peut être facilement forcé. L’évaluation des risques liés à l’identité vise à découvrir ces faiblesses qui permettent aux attaquants d’utiliser des techniques d’accès aux identifiants.
Elévation de Privilèges
Comme indiqué dans MITRE ATT&CK, les déplacements verticaux et élévations de privilèges consiste en des techniques utilisées par les attaquants pour obtenir des autorisations de niveau supérieur sur un système ou un réseau. Même après avoir obtenu un premier accès à l'environnement de l'organisation, les attaquants peuvent avoir besoin de privilèges plus élevés pour mener à bien leur attaque. Pour cette raison, comptes privilégiés sont fréquemment ciblés.
Les attaquants tenteront généralement de tirer parti des faiblesses et des mauvaises configurations du système ; par exemple, les administrateurs fantômes, qui sont des utilisateurs réguliers qui ont reçu sans le savoir des privilèges d'administrateur ou des privilèges de configuration/réinitialisation sur les comptes d'administrateur. Les administrateurs fantômes peuvent réinitialiser les mots de passe des administrateurs réels, mais ce sont des utilisateurs réguliers dans tous les autres aspects. Leur anonymat signifie également qu’ils ne sont pas soumis aux mêmes contrôles de sécurité.
Mouvement latéral
Le mouvement latéral, tel que défini dans le cadre MITRE, correspond aux techniques utilisées par les attaquants pour pénétrer et contrôler les systèmes distants. De cette façon, les attaquants peuvent pénétrer dans l’environnement et se déplacer sans être détectés d’un point à un autre jusqu’à ce qu’ils atteignent leur cible. Pour cette raison, les attaquants sont très intéressés par les comptes qui manquent de visibilité et de protection par rapport aux solutions de sécurité existantes.
Les comptes de service, par exemple, sont difficiles à suivre, sont souvent hautement privilégiés et ne peuvent pas être protégés par rotation de mots de passe, ce qui signifie qu'ils peuvent être exploités à des fins de mouvement latéral.
Lacunes de couverture de sécurité
Il existe des comptes et des ressources que les contrôles de sécurité ne peuvent pas couvrir, et certaines faiblesses qui ne peuvent être éliminées.
Par exemple, de nombreuses organisations utilisent encore des systèmes existants qui ne prennent pas en charge nativement MFA. Même tenter de mettre en œuvre manuellement des solutions de sécurité des identités sur chaque application ou serveur existant est difficile, car leur falsification peut entraîner des dysfonctionnements, voire l'arrêt des processus.
Prochaines étapes : Suivi d'une évaluation des risques
Priorisation
Différents risques posent différentes menaces. Pour résoudre efficacement les risques identifiés, les organisations doivent les hiérarchiser en fonction de leur impact potentiel et de leur probabilité afin d'allouer les ressources le plus efficacement possible. Par exemple, une organisation peut commencer avec des comptes hautement privilégiés, des applications critiques et tout autre facteur qu'elle juge nécessaire.
Atténuation
Les risques peuvent être traités en fonction de leur cause profonde : mauvaises configurations, mauvaises pratiques et lacunes en matière de couverture de sécurité. Des mesures d'atténuation peuvent être prises en conséquence afin de réduire ces risques et d'améliorer la posture de sécurité des identités de l'organisation ; Par exemple:
- Erreurs de configuration: Des erreurs de configuration se produisent lorsque des configurations incorrectes ou inadaptées sont appliquées lors de la création d'un utilisateur, ce qui peut entraîner des failles de sécurité. Les erreurs de configuration sont inévitables, et encore plus dans les environnements plus vastes. Les administrateurs fantômes, par exemple, constituent une mauvaise configuration courante. Les erreurs de configuration peuvent être résolues en restaurant les configurations appropriées, par exemple en supprimant les privilèges excessifs accordés à un utilisateur. administrateur fantôme.
- Fautes professionnelles : Le terme « faute professionnelle » fait référence à des actions entreprises involontairement ou de manière inappropriée et qui peuvent entraîner des faiblesses substantielles, telles que des comptes de services hybrides ou des NTLM authentifications. Les comptes de service hybrides se produisent lorsqu'un administrateur utilise un compte de service pour une connexion interactive ou un compte personnel pour automatiser les tâches. Afin de résoudre de telles mauvaises pratiques, il est nécessaire de garantir que le service informatique et les administrateurs adhèrent aux meilleures pratiques de sécurité.
- Lacunes de la couverture de sécurité : Les comptes et les ressources non couverts par les contrôles de sécurité créent d'énormes failles de sécurité. Ces lacunes entraînent des risques identitaires très difficiles à résoudre. Par exemple, MFA pour les applications existantes et rotation des mots de passe pour privilégiés. Les organisations doivent rechercher une solution pour surmonter ces risques, ou bien s'assurer que l'équipe de sécurité surveille de près ces utilisateurs et ces ressources.
Évaluation des risques liés à l'identité avec Silverfort
Silverfort fournit une plate-forme de sécurité d'identité unifiée qui prévient les menaces d'identité en temps réel. Cela permet aux organisations d'avoir une visibilité complète sur toutes les tentatives d'accès et de refuser l'accès aux ressources, quel que soit le protocole d'authentification, pour tous les environnements d'identité sur site, cloud et hybrides.
Avec SilverfortGrâce à la plateforme unifiée de sécurité des identités de , les organisations peuvent effectuer une évaluation complète des risques liés à l'identité pour révéler et atténuer toutes les failles de sécurité, les erreurs de configuration et les mauvaises pratiques que les attaquants peuvent exploiter pour l'accès aux informations d'identification, l'élévation des privilèges et les mouvements latéraux.
Gestion de la posture de sécurité des identités (ISPM)
Visibilité complète sur les expositions aux menaces d'identité telles que les comptes de service, les administrateurs fantômes et les protocoles hérités comme NTLMv1, entre autres. Cela inclut la surveillance et l'analyse des authentifications, des modèles d'accès et des comportements pour recueillir des informations sur la posture de sécurité des identités de l'organisation et fournir des recommandations sur la façon d'éliminer les risques, comme la mise en œuvre de solutions de surveillance et la suppression des autorisations excessives des comptes privilégiés.
Pare-feu d'authentification
Le pare-feu d'authentification est une méthode de contrôle de l'accès des utilisateurs aux ressources en appliquant des contrôles d'accès et d'authentification stricts. SilverfortLe pare-feu d'authentification de permet aux organisations d'appliquer des politiques basées sur les risques et segmentation identitaire pour bloquer les tentatives d'accès non autorisées et garantir que les utilisateurs accèdent uniquement aux ressources dont ils ont besoin. Aucune modification de l'infrastructure sous-jacente n'est nécessaire et les politiques du pare-feu d'authentification peuvent être mises en œuvre rapidement et de manière transparente.
MFA pour tous
Silverfort s'intègre avec Active Directory transmettre toutes les demandes d'accès à Silverfort, ce qui lui permet d'appliquer la vérification MFA sur tous les systèmes de l'infrastructure d'identité de l'organisation, y compris les systèmes existants.
Comptes de service
Découverte et gestion automatiques des comptes de service. Silverfort peut détecter les comptes de service en analysant leurs modèles de comportement et configurer automatiquement les politiques d'accès dans le cas où un compte de service compromis est détecté.
Pour discuter comment Silverfort peut aider votre organisation à évaluer son risque d'identité, remplissez ce document et planifier une réunion avec un Silverfort expert en sécurité de l'identité.