Rechercher

Langue

Silverfort Révolutionne la protection contre les mouvements latéraux avec MFA - Réflexions sur l'attaque SolarWinds

Décembre 24th, 2020

Accueil » Blog » Silverfort Révolutionne la protection contre les mouvements latéraux avec MFA - Réflexions sur l'attaque SolarWinds

*****Par Yiftach Keshet, directeur du marketing produit, Silverfort *****

MFA empêche 99.9 % des compromissions de compte. Cependant, cette mesure de sécurité extrêmement efficace est actuellement inapplicable aux ressources de base de l'entreprise, en premier lieu les points de terminaison et les serveurs sur site. La récente Attaque SolarWinds montre une fois de plus que la protection contre les mouvements latéraux est l'un des points les plus faibles de la pile de sécurité actuelle. Silverfort révolutionne la protection contre les mouvements latéraux en introduisant l'authentification multifacteur pour les terminaux et l'accès aux serveurs dans l'environnement sur site, empêchant de manière proactive les techniques de mouvement latéral tels que ceux utilisés par les acteurs de la menace SolarWinds.

Table des matières

  • Vue d'ensemble du mouvement latéral dans l'attaque SolarWinds
  • La protection contre les mouvements latéraux est brisée
  • MFA n'est pas disponible contre le mouvement latéral
  • Mais si…?
  • Armez votre environnement sur site contre les mouvements latéraux avec Silverfort 
  • Réflexions finales

    • Vue d'ensemble du mouvement latéral dans l'attaque SolarWinds

    Les Mouvement latéral partie de l'attaque SolarWinds a suivi avec des schémas bien connus : après la compromission initiale, les attaquants ont lancé la chasse aux informations d'identification qui s'est finalement terminée par l'obtention d'informations d'identification d'administrateur et la connexion à la cible réelle (dans ce cas, le serveur ADFS). Les connexions aux différentes machines le long du chemin ont apparemment été effectuées avec des outils d'accès à distance en ligne de commande (PSexec, Powershell, etc.).

    La protection contre les mouvements latéraux est brisée

    Il convient de mentionner que la partie accès initial de l'attaque SolarWinds comportait une innovation, une sophistication et une créativité extrêmes. Ce n'est pas le cas avec la partie Mouvement latéral, mais cela ne l'a pas rendu moins efficace.

    La triste vérité est que Techniques de mouvement latéral et les tactiques n'ont pas beaucoup changé depuis une décennie, simplement parce qu'elles n'avaient pas à le faire – du point de vue des attaquants, il n'est pas nécessaire de changer quelque chose qui fonctionne très bien. Et malheureusement, dans ce cas, ils ont raison. La pile de sécurité de l'entreprise échoue à plusieurs reprises contre le mouvement latéral.

    En effet, le mouvement latéral à n'est rien de plus qu'une connexion à des machines avec des informations d'identification valides (bien que compromises). Les contrôles de sécurité existants, qu'ils soient placés directement sur le terminal ou surveillant le trafic réseau, pourraient au mieux détecter qu'une connexion anormale s'est produite et déclencher une alerte. Cependant, ils ne peuvent rien faire en temps réel pour empêcher la connexion ne se produise pas - ce qui, dans la plupart des cas, sera bien trop tard.

    La clé pour prévenir le mouvement latéral est de comprendre le sens réel de ce que nous venons de dire : Le mouvement latéral ne consiste qu'à se connecter à des machines à l'aide d'informations d'identification valides. En d'autres termes, il s'agit d'une authentification non sécurisée que nous devons atténuer - et il existe une technologie spécialement conçue pour contrecarrer un scénario dans lequel un acteur malveillant tente d'accéder aux ressources de l'entreprise avec des informations d'identification valides - l'authentification multifacteur.

    MFA n'est pas disponible contre le mouvement latéral

    L'un des rares points de consensus parmi les praticiens de la sécurité est l'énorme valeur qu'apporte la MFA. Selon Microsoft, L'authentification MFA en place empêche 99.9 % des compromissions de compte. Cependant, l' Active Directory les points de terminaison et les serveurs basés, qui sont les principales cibles du mouvement latéral, sont exclus de la protection apportée par MFA.

    Il n'existe aujourd'hui aucune technologie disponible capable d'appliquer la MFA sur les outils de ligne de commande d'accès à distance que les attaquants utilisent pour se déplacer latéralement entre les machines. MFA est la technologie la plus efficace et la plus éprouvée pour empêcher les connexions malveillantes. Son absence de connexions dans l'environnement sur site est ce qui permet au mouvement latéral de prospérer, comme nous l'avons vu dans de nombreux APT, y compris la dernière attaque SolarWinds.

    Mais si…?

    Toutefois, MFA peut facilement renverser la situation sur les attaquants. Avec une MFA en place, lorsque l'attaquant fournit les identifiants de connexion à la nouvelle machine, le utilisateur réel auquel appartiennent ces informations d'identification reçoit une notification sur son téléphone ou son ordinateur. La notification demanderait s'il faut autoriser ou refuser l'accès à la machine et la demande serait finalement refusée car l'utilisateur réel n'a jamais effectué cette tentative de connexion - et l'attaquant ne pourrait pas accéder à la machine.

    Armez votre environnement sur site contre les mouvements latéraux avec Silverfort 

    Silverfort Sécurité Protection d'identité Platform (UIPP) est à l'avant-garde de l'extension de MFA à toutes les ressources de l'entreprise, y compris les ressources et les méthodes d'accès. Silverfort est le premier à introduire l'application de MFA politique d'accès sur l'accès aux points de terminaison et aux serveurs sur site via des outils de ligne de commande à distance.

    Une politique simple qui nécessite une vérification MFA chaque fois qu'un administrateur de domaine se connecte à l'aide d'un outil de ligne de commande d'accès à distance réduirait radicalement les taux de réussite des mouvements latéraux. Cela s'appliquerait même dans un scénario d'attaque SolarWinds où les attaquants ont réussi à mettre la main sur les informations d'identification d'un administrateur. Alors que les assaillants en effet avons les informations d'identification, ils ne pourront pas utiliser le pour effectuer la véritable vous connecter aux ressources qu'ils ciblent.

    Réflexions finales

    Comment se fait-il que l'absence de MFA dans l'environnement sur site ait été tenue pour acquise pendant tout ce temps ? Cette absence est si profondément enracinée dans l'état d'esprit commun que la plupart des praticiens de la sécurité, qu'ils soient sur le terrain ou cadres, ne la considèrent probablement même pas comme une faille de sécurité, mais plutôt comme une réalité avec laquelle nous devons vivre. Silverfort est là pour changer cette réalité.

    En savoir plus sur Silverfort ici

    Prêt pour une démo ?
    Inscrivez-vous aujourd'hui.

    Messages récents

    6 Mai 2024

    Utiliser MITM pour contourner la protection anti-hameçonnage FIDO2

    2 mai, 2024

    Silverfort dévoilera une recherche au RSA 2024 : Utiliser MITM pour contourner les méthodes d'authentification modernes vers le SSO

    24 avril 2024

    5 façons d'améliorer votre hygiène AD avec Silverfort  

    26 mars 2024

    Le rapport Identity Underground : aperçu approfondi des failles de sécurité des identités les plus critiques  
    Voir plus

    Suivez-nous

    Arrêtez les menaces sur l'identité