Le rapport Identity Underground : aperçu approfondi des failles de sécurité des identités les plus critiques  

Nous sommes fiers de dévoiler le premier rapport basé sur SilverfortLes données exclusives de : Le rapport sur l'identité souterraine. Ces données, collectées et analysées à partir de centaines d'environnements de production, révèlent les principales failles de sécurité – ou Expositions aux menaces d’identité (ITE) – que les adversaires exploitent pour lancer des menaces d’identité telles que l’accès aux informations d’identification, l’élévation des privilèges et les mouvements latéraux.  

Il s’agit de la toute première analyse complète de ces faiblesses. En fait, certains de ces ITE n’ont jamais été divulgués – jusqu’à présent.  

Les résultats sont alarmants : aucun environnement n'est à l'abri de lacunes qui offrent aux attaquants des opportunités faciles d'accéder aux informations d'identification, d'élever leurs privilèges et de se déplacer latéralement avec peu ou pas de résistance.  

Êtes-vous RSSI ? Ensuite, vous souhaiterez demander à votre équipe si les lacunes courantes du rapport s'appliquent également à votre environnement. Ce sont les coupables des attaques qui vous empêchent de dormir la nuit. Les connaître devrait devenir un facteur dans votre prise de décision. 

Êtes-vous un architecte de sécurité ou un responsable SOC ? Vous savez déjà que l'identité est la plus abusée surface d'attaque en termes de prise de contrôle de compte, de mouvement latéral et de propagation de ransomwares. Vous pouvez désormais avoir un aperçu complet de ce que vous devez protéger. 

Et enfin, êtes-vous responsable de la sécurité des identités dans votre organisation ? Vous retrouverez alors tous les défis auxquels vous êtes déjà confrontés quotidiennement : les administrateurs fantômes, NTLMv1, la délégation sans contrainte, les comptes de service, synchronisation des mots de passe et bien d'autres encore.  

Ces lacunes permettent aux acteurs de la menace de gagner la guerre contre la menace identitaire. 

Les menaces identitaires sont nombreuses. Mouvement latéral, précédé d'un vol d'identifiant et élévation de privilèges, est désormais un élément clé de presque toutes les campagnes de ransomware.  

Pourtant, une compréhension approfondie de l’ampleur et de la nature des lacunes qui rendent ces attaques possibles ne fait pas partie des manuels de cybersécurité des organisations. En fait, ils n'ont même pas de nom. Il ne s’agit pas de vulnérabilités logicielles dotées d’un CVE attribué, ni de logiciels malveillants. Ils sont plutôt le résultat inévitable de mauvaises configurations, de mauvaises pratiques, d’infrastructures existantes et de fonctionnalités intégrées non sécurisées. Ils partagent un dénominateur commun : chacun d'eux expose son environnement à un TTP lié à l'identité, comme l'accès aux informations d'identification, l'élévation des privilèges ou le mouvement latéral. C'est pourquoi nous les appelons Expositions à des menaces d'identité (ITE). 

Le rapport identitaire clandestin est le premier rapport à mettre en lumière les recoins sombres de l'infrastructure de l'identité, en dévoilant les ITE les plus répandues, les plus percutantes et les plus exploitables. En termes simples, au moins certains d’entre eux résident dans votre environnement.  

Faits saillants du rapport : Active Directory ITE met en danger l’environnement SaaS 

Aperçu clé n°1 : Active Directory (AD) est extrêmement exposé aux menaces d’identité 

Environ 90 % des organisations emploient une solution hybride infrastructure d'identité. Ça signifie Active Directory (AD) joue toujours un rôle clé aux côtés des annuaires cloud ou des serveurs de fédération.  

Cependant, AD est infesté de mauvaises configurations, d’infrastructures héritées et de fonctionnalités intégrées non sécurisées. Ces éléments, combinés aux mauvaises pratiques courantes, en font une surface d’attaque à très faible résilience. En termes simples, les attaquants peuvent facilement utiliser l’environnement AD pour accéder à l’environnement cible à des fins de ransomware, de vol de données ou à toute autre fin. Ce rapport révèle les plus importants. 

Aperçu clé n°2 : l'exposition d'AD aux menaces d'identité met également en danger l'environnement SaaS 

La pratique courante consistant à synchroniser les mots de passe AD avec le fournisseur d'identité (IdP) cloud de l'organisation présente des avantages significatifs en termes de productivité. Cela peut également créer une exposition à une menace critique.  

Considérez ceci : lorsque les mots de passe sont synchronisés, les attaquants peuvent utiliser les mots de passe qu'ils ont compromis dans l'environnement AD pour accéder de manière malveillante à l'environnement SaaS. Comme le montre le rapport, les ITE qui exposent les mots de passe des utilisateurs dans l'environnement AD sont extrêmement répandus, permettant aux attaquants d'exploiter les paramètres sur site pour pirater le cloud.  

La connaissance est importante : quelle est l'exposition aux menaces d'identité de mon environnement ? 

Le rôle principal du rapport est de vous donner les moyens d'agir. Comment votre environnement se compare-t-il aux chiffres moyens ? Avez-vous des administrateurs fantômes, des utilisateurs partagés ou un trafic d'authentification NTLM à forte charge ? Y a-t-il des comptes de service qui ont été synchronisés par inadvertance avec votre IdP cloud ? Et ainsi de suite. 

Le rapport identitaire clandestin ne vous donnera pas ces réponses – mais il vous indiquera les bonnes questions à poser pour découvrir votre véritable résilience identitaire.