À retenir de MGM Breach : le site sur site est devenu la passerelle des attaquants vers le cloud

La semaine dernière, le groupe de ransomware BlackCat (également connu sous le nom d'ALPHV) a attaqué les opérations de MGM Resorts et les a forcés à fermer leurs systèmes informatiques. Ce qui distingue cette attaque des attaques de ransomware plus traditionnelles est qu'à un certain moment, les attaquants ont pu exploiter leur domination de domaine sur l'environnement sur site pour compromettre le cloud. infrastructure d'identité, récoltant les mots de passe en clair des utilisateurs d'Okta.

Cette attaque s’ajoute désormais à d’autres – notamment contre Okta,  Uber et Cisco – en marquant un nouveau modèle qui exploite l’interconnectivité des environnements sur site et SaaS pour compromettre le SaaS via le sur site. Cela présente aujourd'hui un risque important pour toutes les organisations qui disposent d'un environnement hybride (c'est-à-dire employant à la fois un annuaire sur site et dans le cloud) et souligne la nécessité d'un système unifié. Protection de l'identité approche.

MGM Breach : Parcourir les étapes de l'attaque

À partir de données accessibles au public, nous pouvons construire le flux suivant :

  • Les attaquants ont obtenu des informations sur LinkedIn concernant un employé, ont appelé le service d'assistance et ont utilisé l'ingénierie sociale pour accéder au réseau.
  • Suite à cela, ils ont joué mouvement latéral jusqu'à ce qu'ils aient accès à un contrôleur de domaine (les détails sur les techniques exactes utilisées à cette étape restent floues) et volent les mots de passe des utilisateurs qui y sont stockés.
  • À ce moment-là, les attaquants ont demandé la rançon et, lorsqu'elle a été refusée, ils ont ensuite installé ransomware sur les serveurs ESXi de MGM, puis ont persisté dans leur mouvement latéral jusqu'à accéder au serveur Okta.
  • Une fois sur place, les attaquants ont exfiltré les mots de passe en clair des serveurs, ce qui leur a ensuite donné la possibilité de se connecter à Okta et d'accéder à toutes les applications SaaS qu'il gère.

La domination du domaine sur site utilisée comme tremplin vers l'environnement SaaS

Ce qui est intéressant à propos de cette attaque, c'est que même si les pirates avaient accès à Active Directory (AD), ils n’avaient pas accès aux mots de passe. Les attaquants ont utilisé AD pour basculer vers Okta et ont réussi à voler des mots de passe en clair. Essentiellement, Active Directory a servi de passerelle vers Okta. Cela met en évidence la nécessité pour les organisations d’identifier et de corriger les faiblesses et les erreurs de configuration de leur infrastructure d’identité. De nombreuses organisations se connectent Active Directory à Okta mais négligent souvent de sécuriser cette connexion, ce qui dans ce cas a fourni aux attaquants la possibilité d'exploiter cette faiblesse.

L’écart critique de l’infrastructure d’identité hybride : connectée mais non protégée

Cette violation met en évidence une faiblesse inhérente qui est trop souvent ignorée : la nature fragmentée et cloisonnée de l’infrastructure des identités dans l’environnement hybride. Voyons maintenant cela plus en détail.

La plupart des organisations gèrent leurs utilisateurs sur site dans Active Directory. En parallèle, ils gèrent les mêmes utilisateurs dans un annuaire cloud d'un serveur de fédération (ex : Entra ID, Okta, Ping, etc.). Pour permettre aux utilisateurs de bénéficier d'une expérience de connexion transparente, ces deux fournisseurs d'identité différents sont synchronisés, ce qui signifie que la même combinaison de nom d'utilisateur et de mot de passe est utilisée pour accéder à la fois aux ressources sur site et SaaS. De plus, le répertoire utilisé pour les applications SaaS a souvent une certaine empreinte dans l'environnement sur site (par exemple, le serveur Okta dans le cas de cette violation).

Cette connexion implique que si un attaquant réussit à utilisateur compromis informations d'identification dans l'environnement sur site, ils peuvent ensuite les utiliser pour se connecter directement aux applications SaaS, ainsi que pour se déplacer latéralement et compromettre les composants de l'infrastructure d'identité cloud dans l'environnement sur site.

L'exposition du système sur site aux menaces d'identité en fait le vecteur d'attaque ultime pour compromettre le SaaS.

Le récent livre blanc publié par Osterman Research, « L'état de la surface d'attaque d'identité : aperçu des lacunes critiques en matière de sécurité », montre clairement que l’environnement sur site est extrêmement vulnérable à l’utilisation d’informations d’identification compromises à des fins d’accès malveillant.

Comme le détaille le rapport, le traditionnel authentification multi-facteurs (MFA) et les solutions de gestion des accès à privilèges (PAM) ne parviennent pas à fournir une protection en temps réel suffisante contre les menaces d'identité pour la grande majorité des organisations.

Les auteurs de menaces sont parfaitement conscients de ces angles morts et en tirent parti pour effectuer des mouvements latéraux au sein de l’environnement sur site, ne rencontrant que peu ou pas de résistance. Et le mouvement latéral est le facteur X qui transforme un événement local (comme une seule machine compromise) en un incident au niveau de l’entreprise, comme l’illustre la violation de MGM.

Conclusion : la protection de l'identité sur site équivaut à la protection de l'identité pour le cloud

Toute chaîne est aussi solide que son maillon le plus faible. Et l’environnement hybride est une chaîne où le sur site et le cloud sont étroitement liés. Ainsi, renforcer l’environnement sur site signifie renforcer l’ensemble de la chaîne. Quel que soit le chemin parcouru dans votre migration vers le cloud, si vous disposez toujours d'une partie sur site, il s'agit d'un risque sérieux auquel vous devez remédier.

Mais comment les organisations peuvent-elles exactement combler cette lacune ? Après tout, même avant l’apparition du cloud, il n’existait aucune solution de sécurité capable d’atténuer le risque de mouvement latéral et de l’empêcher en temps réel.

Silverfort Plateforme unifiée de protection de l'identité : bloquer les mouvements latéraux en temps réel

Silverfort a lancé le premier Protection unifiée de l'identité plate-forme spécialement conçue pour prévenir les menaces d'identité en temps réel sur n'importe quel utilisateur, système et environnement. Silverfort s'intègre à l'infrastructure d'identité sur site et dans le cloud pour fournir une surveillance continue, une analyse des risques et des contrôles tels que la MFA ou le blocage d'accès sur chaque protocoles d'authentification et tentative d'accès.

De cette façon, Silverfort peut apporter une protection de l’identité à des ressources qui n’auraient jamais pu être protégées auparavant. Un exemple est l'accès aux postes de travail et aux serveurs en ligne de commande via des outils tels que PsExec ou PowerShell à distance. Ce type d'accès est le moyen par défaut utilisé par les attaquants pour effectuer des mouvements latéraux et dépasse la couverture des systèmes traditionnels. Solutions MFA. Silverfort est la première solution capable d'exiger que MFA détecte et bloque les accès malveillants de ce type.

Comment Silverfort Cela aurait pu empêcher un scénario d'attaque de type MGM

Comme indiqué précédemment, on ne sait pas exactement comment les attaquants ont effectué l'attaque par mouvement latéral sur le réseau. Mais il est probable que Silverfort aurait pu empêcher cette violation de deux manières :

  1. Silverfort aurait probablement détecté le mouvement latéral vers Active Directory, arrêtant les attaquants avant qu'ils ne puissent le compromettre.
  2. Alternativement, Silverfort aurait probablement détecté les attaquants passant d'AD à Okta, empêchant ainsi la compromission du serveur Okta.

Le diagramme ci-dessous illustre comment SilverfortLa protection de aurait stoppé l'attaque à ses débuts :

Votre organisation dispose-t-elle d'un environnement hybride ? Apprenez-en davantage sur la façon dont Silverfort peut vous aider à réduire votre risque. Planifier un appel avec l'un de nos experts.

Arrêtez les menaces sur l'identité