Rechercher

Langue

L'attaque Okta - Des leçons que seuls les attaquants peuvent enseigner

10 avril 2022

ACCUEIL » BLOG » L'attaque Okta - Des leçons que seuls les attaquants peuvent enseigner

« Il n'y a pas d'enseignant mais l'ennemi. Personne d'autre que l'ennemi ne vous dira ce que l'ennemi va faire. Personne d'autre que l'ennemi ne vous apprendra jamais comment détruire et conquérir. Seul l'ennemi vous montre où vous êtes faible. Seul l'ennemi vous montre où il est fort. Et les règles du jeu sont ce que vous pouvez lui faire et ce que vous pouvez l'empêcher de vous faire.
(le match de Ender, Carte Orson Scott)

Alors que le récemment divulgué attaque sur Okta Même si sa portée et son impact semblent limités, elle fournit néanmoins des informations clés sur le rôle critique joué par l’utilisation d’informations d’identification compromises dans cette violation. Si l'on place cette violation dans le contexte global du paysage actuel des menaces, on révèle que l'identité des utilisateurs est devenue une cible privilégiée. surface d'attaque. Quel impact ce changement dans le manuel des acteurs de la menace devrait-il avoir sur notre architecture et nos pratiques de sécurité afin que nous puissions vaincre les attaques qui emploient des comptes d'utilisateurs ou administrateurs comme principal vecteur d’attaque ? Dans cet article, nous explorons les principales leçons que les acteurs de la menace Lapsus$ nous ont apprises dans cette violation et comment nous pouvons utiliser ces leçons pour améliorer la résilience de nos environnements aux menaces d'identité.

Table des matières

  • Un bref récapitulatif de la brèche d'Okta
  • Leçon n°1 : Les attaquants ciblent vos faiblesses
  • Leçon n° 2 : les informations d'identification compromises étaient l'épine dorsale de l'attaque
  • Leçon n°3 : Une surface d'attaque d'identité ne peut être protégée que lorsqu'elle est unifiée
  • Arrêter l'ennemi
  • Qui sommes-nous Silverfort

    • Un bref récapitulatif de la brèche d'Okta

    Les attaquants du groupe d'attaquants Lapsus$ ont réussi à compromettre un terminal d'un ingénieur de support tiers via RDP. Suite à la compromission du terminal, les attaquants ont désactivé l'agent de protection des terminaux et téléchargé divers outils tels que ProcessHacker et Mimikatz. Ils ont ensuite utilisé ces outils sur le point de terminaison compromis pour obtenir les informations d'identification du compte O365, associé à une société que le fournisseur de services tiers a acquise en août 2021. Une fois cet accès obtenu, les attaquants ont créé un nouveau compte et configuré une règle pour transférer tous mail à ce compte, impactant potentiellement 366 clients Okta.

    Points clés à retenir pour les acteurs de la sécurité :

    Leçon n°1 : Les attaquants ciblent vos faiblesses

    Alors qu'est-ce que l'ennemi nous a appris à travers cette brèche ? Nous croyons… beaucoup. Tout d'abord, on nous a rappelé (rien de nouveau) que la chaîne n'est aussi solide que son maillon le plus faible et que les attaquants ciblent initialement ces maillons faibles pour finalement accéder à ce qui se cache derrière les plus forts. Sur la base du flux d'attaque que nous avons décrit, examinons les maillons les plus faibles Acteurs de la menace Lapsus$ ont ciblé pour lancer leur attaque :

    Faiblesse #1 : Ajout de nouveaux environnements M&A

    Rien de nouveau ici, mais toujours un rappel utile. Les fusions et acquisitions font partie intégrante du cycle de vie d'une entreprise. Cela dit, il n'y a pas de moyen facile d'absorber un environnement informatique en direct dans un autre. Bien qu'il n'y ait pas de solution simple ici, les équipes de sécurité devraient prendre une page du livre de jeu des attaquants et accorder une attention accrue à ces nouvelles parties de leurs réseaux, car elles sont les plus susceptibles d'être ciblées.

    Faiblesse n° 2 : chaîne d'approvisionnement et accès des tiers

    L'environnement informatique d'une entreprise moderne est un écosystème et non une entité autonome. Cela signifie que de par leur conception, les gens se connectent à votre environnement à partir de machines que vous ne gérez pas avec des pratiques de sécurité qui pourraient ne pas s'aligner sur les vôtres, tandis que vous restez responsable d'une violation qui se produit à cause d'eux. En fin de compte, le seul aspect de l'écosystème de la chaîne d'approvisionnement que vous pouvez contrôler est la politique d'accès et les exigences que les tiers doivent remplir pour être dignes de confiance.

    Faiblesse n°3 : les ressources cloud dans un environnement hybride sont exposées à des attaques provenant de machines sur site

    En fin de compte, même si vous êtes natif du cloud et transformé numériquement, il y aura des ressources non Web qui s'interfaceront avec votre environnement ou en feront partie intégrante. L'exemple le plus intuitif est celui des postes de travail que vos employés utilisent pour se connecter aux applications SaaS et aux charges de travail cloud. Si un tel poste de travail est compromis, les attaquants peuvent facilement mettre la main sur les informations d'identification stockées et faire progresser leur présence, non seulement sur des machines supplémentaires sur site, mais également sur des applications SaaS et des charges de travail cloud.

    L'examen de ces faiblesses révèle qu'elles ne sont pas de l'ampleur d'une vulnérabilité non corrigée ou d'une politique mal configurée. Ils ne peuvent pas être simplement éliminés d'un simple clic et ne sont pas le résultat d'une faute professionnelle en matière de sécurité. Ils sont plutôt inhérents à l'infrastructure de tout environnement informatique.

    Leçon n° 2 : les informations d'identification compromises étaient l'épine dorsale de l'attaque

    Alors que chacune des deux premières faiblesses ouvre l'environnement à plusieurs types d'attaques, la troisième faiblesse – l'exposition des ressources cloud aux attaques provenant de l'environnement sur site – intensifie radicalement leur impact. Identifiants compromis a joué un double rôle dans cette attaque. Premièrement, lors de l’accès initial à la machine compromise, et deuxièmement, lors de l’accès à O365. C'est donc le attaque basée sur l'identité vecteur qui a intégré les trois faiblesses dans une attaque extrêmement efficace qui met en danger des ressources qui semblent être sous haute protection.

    Leçon n°3 : Une surface d'attaque d'identité ne peut être protégée que lorsqu'elle est unifiée

    Dispersé Protection de l'identité crée des angles morts. Si l'accès à distance via RDP est protégé par le fournisseur VPN, la connexion SaaS par CASB et la connexion interne entre les machines sur site par un attaquant EDR les contourneront une par une. La meilleure alternative consiste à surveiller et à protéger de manière centralisée chaque authentification et tentative d'accès, de sorte qu'un risque détecté dans la connexion d'un utilisateur à une ressource permet également de restreindre l'accès de cet utilisateur à toutes les autres ressources.

    Chaque partie prenante de la sécurité peut retirer de cette analyse une simple vérité : dans l'environnement d'entreprise actuel, l'identité est la principale surface d'attaque. Et nos architectures de sécurité doivent s'ajuster, réagir et devenir natives à cette idée si nous voulons prendre le dessus dans la bataille contre les cyber-attaquants.

    Arrêter l'ennemi

    La brèche d'Okta met en lumière une tendance qui s'est lentement accentuée ces dernières années. Les attaquants préfèrent lancer des attaques basées sur l'identité, en utilisant des informations d'identification compromises pour accéder aux ressources ciblées. Et ils le font parce que ce vecteur d'attaque est le moins protégé dans l'environnement d'entreprise d'aujourd'hui. La réponse de notre part devrait être de reconnaître que l'identité est une surface d'attaque critique et de la protéger en conséquence - avec une prévention, une détection, une réponse en temps réel menaces d'identité sur site et dans le cloud, cela s'applique également à la connexion RDP aux postes de travail distants, à la connexion Web à une application SaaS et à l'accès en ligne de commande à un serveur sur site.

    Qui sommes-nous Silverfort

    Silverfort a lancé le premier Protection contre les menaces d'identité plate-forme spécialement conçue pour la prévention, la détection et la réponse en temps réel aux attaques basées sur l'identité qui utilisent des informations d'identification compromises pour accéder aux ressources ciblées. Silverfort prévient ces attaques grâce à une surveillance continue, une analyse des risques et une application en temps réel des Zero Trust politiques d'accès pour chaque utilisateur, système et environnement sur site et dans le cloud.

    En savoir plus sur Silverfort protection contre les menaces d'identité.

    Prêt pour une démo ?
    Inscrivez-vous aujourd'hui.

    Messages récents

    24 avril 2024

    5 façons d'améliorer votre hygiène AD avec Silverfort  

    26 mars 2024

    Le rapport Identity Underground : aperçu approfondi des failles de sécurité des identités les plus critiques  

    Mars 2nd, 2024

    Protection MFA pour les réseaux isolés

    Février 21st, 2024

    Atténuer les risques d'identité des comptes des ex-employés
    Voir plus

    Suivez-nous

    Arrêtez les menaces sur l'identité